McAfee MVISION ePO
Integrationsversion: 6.0
Anwendungsfälle für Produkte
Malware-Angriff auf einen Endpunkt
- Malware greift einen Computer in Ihrem von McAfee ePO verwalteten Netzwerk an.
- Die Produktsoftware von McAfee, z. B. McAfee Endpoint Security, bereinigt oder löscht die Malware-Datei.
- Der McAfee-Agent benachrichtigt McAfee ePO über den Angriff.
- McAfee ePO speichert die Angriffsinformationen.
McAfee MVISION ePO-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
Integrationsparameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://api.mvision.mcafee.com | Ja | McAfee MVISION ePO API-Stamm. |
| Client-ID | String | – | Ja | Client-ID des McAfee MVISION ePO-Kontos. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel des McAfee MVISION ePO-Kontos. |
| Bereiche | Durch Kommas getrennte Werte | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Ja | Bereiche des McAfee MVISION ePO-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum öffentlichen Cloud-Server von McAfee MVISION ePO gültig ist. |
| Gruppenname | String | – | Nein | Gruppenname, der zum Suchen nach Endpunkten verwendet wird. Wenn nichts angegeben ist. Alle Gruppen werden verwendet. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu McAfee MVISION ePO mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Beispiele für Anwendungsfälle von Playbooks
Die Aktion wird verwendet, um die Konnektivität auf der Seite „Integrationskonfiguration“ auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden und wird nicht in Playbooks verwendet.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Endpunkt für die Anreicherung
Beschreibung
Systeminformationen des Abrufendpunkts anhand des Hostnamens oder der IP-Adresse abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| MMV_EPO_id | id | Wenn in JSON verfügbar |
| MMV_EPO_uuid | uuid | Wenn in JSON verfügbar |
| MMV_EPO_lastcommunicated | lastcommunicated | Wenn in JSON verfügbar |
| MMV_EPO_managedState | managedState | Wenn in JSON verfügbar |
| MMV_EPO_ipaddress | properties/ipaddress | Wenn in JSON verfügbar |
| MMV_EPO_osplatform | properties/osplatform | Wenn in JSON verfügbar |
| MMV_EPO_operatingsystem | properties/operatingsystem | Wenn in JSON verfügbar |
| MMV_EPO_hostname | properties/hostname | Wenn in JSON verfügbar |
| MMV_EPO_windowsdomain | properties/windowsdomain | Wenn in JSON verfügbar |
| MMV_EPO_dnsname | properties/dnsname | Wenn in JSON verfügbar |
| MMV_EPO_datversion | properties/datversion | Wenn in JSON verfügbar |
| MMV_EPO_username | properties/username | Wenn in JSON verfügbar |
| MMV_EPO_groups | Durch Leerzeichen getrennte Liste von Gruppen/Namen | Wenn in JSON verfügbar |
| MMV_EPO_tags | Durch Leerzeichen getrennte Liste von Tags/tagName | Wenn in JSON verfügbar |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Tag hinzufügen
Beschreibung
Fügen Sie dem Endpunkt in McAfee MVISION ePO ein Tag hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tag-Name | String | – | Wahr | Geben Sie an, welches Tag Sie dem Endpunkt hinzufügen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Tag entfernen
Beschreibung
Entfernen Sie das Tag vom Endpunkt in McAfee MVISION ePO.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tag-Name | String | – | Wahr | Geben Sie an, welches Tag Sie vom Endpunkt entfernen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Tags auflisten
Beschreibung
Liste der Tags, die in McAfee MVISION ePO verfügbar sind.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender Tags | Ganzzahl | 100 | Falsch | Geben Sie an, wie viele Tags zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Gruppen auflisten
Beschreibung
Listen Sie Gruppen auf, die in McAfee MVISION ePO verfügbar sind.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender Gruppen | Ganzzahl | 100 | Falsch | Geben Sie an, wie viele Gruppen zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Endpunkte in Gruppe auflisten
Beschreibung
Listen Sie Endpunkte auf, die sich in derselben Gruppe in McAfee MVISION ePO befinden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Gruppenname | String | – | Wahr | Festlegen, in welchen Gruppen nach Endpunkten gesucht werden soll |
| Maximale Anzahl zurückzugebender Endpunkte | Ganzzahl | 100 | Falsch | Geben Sie an, wie viele Endpunkte zurückgegeben werden sollen. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten