McAfee MVISION ePO
Versão da integração: 6.0
Casos de uso de produtos
Ataque de malware em um endpoint
- O malware ataca um computador na sua rede gerenciada pelo McAfee ePO.
- O software de produtos da McAfee, por exemplo, o McAfee Endpoint Security, limpa ou exclui o arquivo de malware.
- O McAfee Agent notifica o ePO da McAfee sobre o ataque.
- O McAfee ePO armazena as informações do ataque.
Configurar a integração do McAfee MVISION ePO no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
Parâmetros de integração
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.mvision.mcafee.com | Sim | Raiz da API do McAfee MVISION ePO. |
| ID do cliente | String | N/A | Sim | ID do cliente da conta do McAfee MVISION ePO. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da conta do McAfee MVISION ePO. |
| Escopos | Valores separados por vírgula | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Sim | Escopos da conta do McAfee MVISION ePO. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor de nuvem pública do McAfee MVISION ePO é válido. |
| Nome do grupo | String | N/A | Não | Nome do grupo que será usado para pesquisar endpoints. Se nada for especificado. Todos os grupos serão usados. |
Ações
Ping
Descrição
Teste a conectividade com o McAfee MVISION ePO usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Exemplos de casos de uso de playbook
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Endpoint de enriquecimento
Descrição
Extrai as informações do sistema do endpoint pelo nome do host ou endereço IP.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| MMV_EPO_id | ID | Quando disponível em JSON |
| MMV_EPO_uuid | uuid | Quando disponível em JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Quando disponível em JSON |
| MMV_EPO_managedState | managedState | Quando disponível em JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Quando disponível em JSON |
| MMV_EPO_osplatform | properties/osplatform | Quando disponível em JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Quando disponível em JSON |
| MMV_EPO_hostname | properties/hostname | Quando disponível em JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Quando disponível em JSON |
| MMV_EPO_dnsname | properties/dnsname | Quando disponível em JSON |
| MMV_EPO_datversion | properties/datversion | Quando disponível em JSON |
| MMV_EPO_username | properties/username | Quando disponível em JSON |
| MMV_EPO_groups | lista separada por espaços de grupo/nome | Quando disponível em JSON |
| MMV_EPO_tags | lista de tags/tagName separada por espaços | Quando disponível em JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Adicionar tag
Descrição
Adicione uma tag ao endpoint no McAfee MVISION ePO.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da tag | String | N/A | Verdadeiro | Especifique a tag que você quer adicionar ao endpoint. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Remover tag
Descrição
Remova a tag do endpoint no McAfee MVISION ePO.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da tag | String | N/A | Verdadeiro | Especifique qual tag você quer remover do endpoint. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Listar tags
Descrição
Listar tags disponíveis no McAfee MVISION ePO.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de tags a serem retornadas | Número inteiro | 100 | Falso | Especifique quantas tags serão retornadas. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Listar grupos
Descrição
Listar grupos disponíveis no McAfee MVISION ePO.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de grupos a serem retornados | Número inteiro | 100 | Falso | Especifique quantos grupos retornar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Listar endpoints no grupo
Descrição
Liste os endpoints que estão no mesmo grupo no McAfee MVISION ePO.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do grupo | String | N/A | Verdadeiro | Especifique em quais grupos pesquisar endpoints |
| Número máximo de endpoints a serem retornados | Número inteiro | 100 | Falso | Especifique quantos endpoints serão retornados. |
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.