McAfee MVISION ePO
Version de l'intégration : 6.0
Cas d'utilisation des produits
Attaque par logiciel malveillant sur un point de terminaison
- Un logiciel malveillant attaque un ordinateur de votre réseau géré par McAfee ePO.
- Le logiciel produit McAfee, par exemple McAfee Endpoint Security, nettoie ou supprime le fichier du logiciel malveillant.
- L'agent McAfee informe McAfee ePO de l'attaque.
- McAfee ePO stocke les informations sur l'attaque.
Configurer l'intégration de McAfee MVISION ePO dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
Paramètres d'intégration
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://api.mvision.mcafee.com | Oui | Racine de l'API McAfee MVISION ePO. |
| ID client | Chaîne | N/A | Oui | ID client du compte McAfee MVISION ePO. |
| Code secret du client | Mot de passe | N/A | Oui | Code secret du client du compte McAfee MVISION ePO. |
| Niveaux d'accès | Valeurs séparées par une virgule | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Oui | Niveaux d'accès du compte McAfee MVISION ePO. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur cloud public McAfee MVISION ePO est valide. |
| Nom du groupe | Chaîne | N/A | Non | Nom du groupe qui sera utilisé pour rechercher des points de terminaison. Si rien n'est spécifié. Tous les groupes seront utilisés. |
Actions
Ping
Description
Testez la connectivité à McAfee MVISION ePO avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations.
Paramètres
N/A
Exemples de cas d'utilisation de playbooks
Cette action permet de tester la connectivité sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Point de terminaison Enrich
Description
Récupérez les informations système du point de terminaison par son nom d'hôte ou son adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| MMV_EPO_id | id | Lorsqu'il est disponible au format JSON |
| MMV_EPO_uuid | uuid | Lorsqu'il est disponible au format JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Lorsqu'il est disponible au format JSON |
| MMV_EPO_managedState | managedState | Lorsqu'il est disponible au format JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Lorsqu'il est disponible au format JSON |
| MMV_EPO_osplatform | properties/osplatform | Lorsqu'il est disponible au format JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Lorsqu'il est disponible au format JSON |
| MMV_EPO_hostname | properties/hostname | Lorsqu'il est disponible au format JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Lorsqu'il est disponible au format JSON |
| MMV_EPO_dnsname | properties/dnsname | Lorsqu'il est disponible au format JSON |
| MMV_EPO_datversion | properties/datversion | Lorsqu'il est disponible au format JSON |
| MMV_EPO_username | properties/username | Lorsqu'il est disponible au format JSON |
| MMV_EPO_groups | Liste de groupes/noms séparés par un espace | Lorsqu'il est disponible au format JSON |
| MMV_EPO_tags | Liste de tags/tagName séparés par un espace | Lorsqu'il est disponible au format JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Ajouter un tag
Description
Ajoutez un tag au point de terminaison dans McAfee MVISION ePO.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du tag | Chaîne | N/A | Vrai | Spécifiez le tag que vous souhaitez ajouter au point de terminaison. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Supprimer le tag
Description
Supprimez le tag du point de terminaison dans McAfee MVISION ePO.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du tag | Chaîne | N/A | Vrai | Spécifiez le tag que vous souhaitez supprimer du point de terminaison. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Répertorier les tags
Description
Liste les tags disponibles dans McAfee MVISION ePO.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nombre maximal de tags à renvoyer | Integer | 100 | Faux | Indiquez le nombre de tags à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Répertorier les groupes
Description
Lister les groupes disponibles dans McAfee MVISION ePO.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nombre maximal de groupes à renvoyer | Integer | 100 | Faux | Spécifiez le nombre de groupes à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Lister les points de terminaison dans un groupe
Description
Répertoriez les points de terminaison qui se trouvent dans le même groupe dans McAfee MVISION ePO.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du groupe | Chaîne | N/A | Vrai | Spécifiez les groupes dans lesquels rechercher les points de terminaison. |
| Nombre maximal de points de terminaison à renvoyer | Integer | 100 | Faux | Indiquez le nombre de points de terminaison à renvoyer. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.