McAfee MVISION ePO
Versão da integração: 6.0
Exemplos de utilização de produtos
Ataque de software malicioso num ponto final
- O software malicioso ataca um computador na sua rede gerida pelo McAfee ePO.
- O software do produto McAfee, por exemplo, o McAfee Endpoint Security, limpa ou elimina o ficheiro de software malicioso.
- O McAfee Agent notifica o McAfee ePO do ataque.
- O McAfee ePO armazena as informações do ataque.
Configure a integração do McAfee MVISION ePO no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
Parâmetros de integração
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.mvision.mcafee.com | Sim | Raiz da API McAfee MVISION ePO. |
| ID do cliente | String | N/A | Sim | ID de cliente da conta do McAfee MVISION ePO. |
| Segredo do cliente | Palavra-passe | N/A | Sim | Segredo do cliente da conta do McAfee MVISION ePO. |
| Âmbitos | Valores separados por vírgulas | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Sim | Âmbitos da conta do McAfee MVISION ePO. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor da nuvem pública do McAfee MVISION ePO é válido. |
| Nome do grupo | String | N/A | Não | Nome do grupo que vai ser usado para pesquisar pontos finais. Se não for especificado nada. Todos os grupos vão ser usados. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao McAfee MVISION ePO com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Exemplos de utilização do manual de estratégias
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Ponto final de enriquecimento
Descrição
Obter as informações do sistema do ponto final pelo respetivo nome do anfitrião ou endereço IP.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| MMV_EPO_id | id | Quando estiver disponível em JSON |
| MMV_EPO_uuid | uuid | Quando estiver disponível em JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Quando estiver disponível em JSON |
| MMV_EPO_managedState | managedState | Quando estiver disponível em JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Quando estiver disponível em JSON |
| MMV_EPO_osplatform | properties/osplatform | Quando estiver disponível em JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Quando estiver disponível em JSON |
| MMV_EPO_hostname | properties/hostname | Quando estiver disponível em JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Quando estiver disponível em JSON |
| MMV_EPO_dnsname | properties/dnsname | Quando estiver disponível em JSON |
| MMV_EPO_datversion | properties/datversion | Quando estiver disponível em JSON |
| MMV_EPO_username | properties/username | Quando estiver disponível em JSON |
| MMV_EPO_groups | lista separada por espaços de grupo/nome | Quando estiver disponível em JSON |
| MMV_EPO_tags | Lista de etiquetas/tagName separadas por espaços | Quando estiver disponível em JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Adicionar etiqueta
Descrição
Adicione a etiqueta ao ponto final no McAfee MVISION ePO.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da etiqueta | String | N/A | True | Especifique a etiqueta que quer adicionar ao ponto final. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Remova a etiqueta
Descrição
Remova a etiqueta do ponto final no McAfee MVISION ePO.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da etiqueta | String | N/A | True | Especifique a etiqueta que quer remover do ponto final. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Etiquetas de listas
Descrição
Liste as etiquetas que estão disponíveis no McAfee MVISION ePO.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de etiquetas a devolver | Número inteiro | 100 | Falso | Especifique o número de tags a devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Listar grupos
Descrição
Liste os grupos disponíveis no McAfee MVISION ePO.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de grupos a devolver | Número inteiro | 100 | Falso | Especifique quantos grupos devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Apresentar pontos finais no grupo
Descrição
Liste os pontos finais que estão no mesmo grupo no McAfee MVISION ePO.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do grupo | String | N/A | True | Especifique em que grupos pesquisar pontos finais |
| Máximo de pontos finais a devolver | Número inteiro | 100 | Falso | Especifique quantos pontos finais devolver. |
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.