McAfee MVISION ePO
Versión de integración: 6.0
Casos de uso del producto
Ataque de software malicioso en un endpoint
- El software malicioso ataca una computadora en la red administrada por McAfee ePO.
- El software del producto de McAfee, por ejemplo, McAfee Endpoint Security, limpia o borra el archivo de software malicioso.
- El agente de McAfee notifica el ataque a McAfee ePO.
- McAfee ePO almacena la información del ataque.
Configura la integración de McAfee MVISION ePO en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
Parámetros de integración
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://api.mvision.mcafee.com | Sí | Es la raíz de la API de McAfee MVISION ePO. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la cuenta de McAfee MVISION ePO. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto de cliente de la cuenta de McAfee MVISION ePO. |
| Permisos | Valores separados por comas | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Sí | Son los permisos de la cuenta de McAfee MVISION ePO. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de nube pública de McAfee MVISION ePO sea válido. |
| Nombre del grupo | String | N/A | No | Es el nombre del grupo que se usará para buscar extremos. Si no se especifica nada. Se usarán todos los grupos. |
Acciones
Ping
Descripción
Prueba la conectividad con McAfee MVISION ePO con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejemplos de casos de uso de manuales
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, no se usa en los cuadernos de estrategias.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Extremo de enriquecimiento
Descripción
Recupera la información del sistema del extremo por su nombre de host o dirección IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| MMV_EPO_id | id | Cuando está disponible en JSON |
| MMV_EPO_uuid | uuid | Cuando está disponible en JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Cuando está disponible en JSON |
| MMV_EPO_managedState | managedState | Cuando está disponible en JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Cuando está disponible en JSON |
| MMV_EPO_osplatform | properties/osplatform | Cuando está disponible en JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Cuando está disponible en JSON |
| MMV_EPO_hostname | properties/hostname | Cuando está disponible en JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Cuando está disponible en JSON |
| MMV_EPO_dnsname | properties/dnsname | Cuando está disponible en JSON |
| MMV_EPO_datversion | properties/datversion | Cuando está disponible en JSON |
| MMV_EPO_username | properties/username | Cuando está disponible en JSON |
| MMV_EPO_groups | Lista de grupos o nombres separados por espacios | Cuando está disponible en JSON |
| MMV_EPO_tags | Lista de etiquetas o nombres de etiquetas separados por espacios | Cuando está disponible en JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Agregar etiqueta
Descripción
Agrega una etiqueta al extremo en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Verdadero | Especifica qué etiqueta quieres agregar al extremo. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Quitar etiqueta
Descripción
Quita la etiqueta del extremo en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Verdadero | Especifica qué etiqueta quieres quitar del extremo. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enumerar etiquetas
Descripción
Enumera las etiquetas disponibles en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Cantidad máxima de etiquetas que se pueden devolver | Número entero | 100 | Falso | Especifica cuántas etiquetas se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Enumerar grupos
Descripción
Enumera los grupos disponibles en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Cantidad máxima de grupos que se pueden devolver | Número entero | 100 | Falso | Especifica la cantidad de grupos que se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Enumera los extremos del grupo
Descripción
Enumera los extremos que se encuentran en el mismo grupo en McAfee MVISION ePO.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del grupo | String | N/A | Verdadero | Especifica en qué grupos buscar extremos |
| Cantidad máxima de extremos que se pueden devolver | Número entero | 100 | Falso | Especifica la cantidad de extremos que se devolverán. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.