McAfee MVISION ePO
Versión de integración: 6.0
Casos prácticos de productos
Ataque de malware en un endpoint
- El malware ataca a un ordenador de la red gestionada por McAfee ePO.
- El software de productos de McAfee, como McAfee Endpoint Security, limpia o elimina el archivo de malware.
- El agente de McAfee notifica el ataque a McAfee ePO.
- McAfee ePO almacena la información del ataque.
Configurar la integración de McAfee MVISION ePO en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
Parámetros de integración
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://api.mvision.mcafee.com | Sí | Raíz de la API de McAfee MVISION ePO. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la cuenta de McAfee MVISION ePO. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la cuenta de McAfee MVISION ePO. |
| Ámbitos | Valores separados por comas | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Sí | Ámbitos de la cuenta de McAfee MVISION ePO. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de nube pública de McAfee MVISION ePO sea válido. |
| Nombre del grupo | Cadena | N/A | No | Nombre del grupo que se usará para buscar endpoints. Si no se especifica nada. Se usarán todos los grupos. |
Acciones
Ping
Descripción
Prueba la conectividad con McAfee MVISION ePO con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejemplos de casos prácticos de guías
Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, pero no se usa en guías.
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Endpoint de enriquecimiento
Descripción
Obtiene la información del sistema del endpoint de obtención por su nombre de host o dirección IP.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| MMV_EPO_id | id | Cuando esté disponible en JSON |
| MMV_EPO_uuid | uuid | Cuando esté disponible en JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Cuando esté disponible en JSON |
| MMV_EPO_managedState | managedState | Cuando esté disponible en JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Cuando esté disponible en JSON |
| MMV_EPO_osplatform | properties/osplatform | Cuando esté disponible en JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Cuando esté disponible en JSON |
| MMV_EPO_hostname | properties/hostname | Cuando esté disponible en JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Cuando esté disponible en JSON |
| MMV_EPO_dnsname | properties/dnsname | Cuando esté disponible en JSON |
| MMV_EPO_datversion | properties/datversion | Cuando esté disponible en JSON |
| MMV_EPO_username | properties/nombredeusuario | Cuando esté disponible en JSON |
| MMV_EPO_groups | Lista de grupos o nombres separados por espacios. | Cuando esté disponible en JSON |
| MMV_EPO_tags | Lista de etiquetas o nombres de etiquetas separados por espacios | Cuando esté disponible en JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Añadir etiqueta
Descripción
Añade una etiqueta al endpoint en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Verdadero | Especifica la etiqueta que quieres añadir al endpoint. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Quitar etiqueta
Descripción
Quita la etiqueta del endpoint en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Verdadero | Especifica qué etiqueta quieres quitar del endpoint. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Mostrar etiquetas
Descripción
Lista de etiquetas disponibles en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de etiquetas que se devolverán | Entero | 100 | Falso | Especifica cuántas etiquetas quieres que se devuelvan. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Mostrar grupos
Descripción
Lista de grupos disponibles en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de grupos que se devolverán | Entero | 100 | Falso | Especifica cuántos grupos quieres que se devuelvan. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Listar los endpoints de un grupo
Descripción
Lista los endpoints que están en el mismo grupo en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del grupo | Cadena | N/A | Verdadero | Especificar en qué grupos se deben buscar los endpoints |
| Número máximo de endpoints que se devolverán | Entero | 100 | Falso | Especifica cuántos endpoints se deben devolver. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.