McAfee MVISION ePO
集成版本:6.0
产品使用场景
针对端点的恶意软件攻击
- 恶意软件攻击了 McAfee ePO 管理的网络中的一台计算机。
- McAfee 产品软件(例如 McAfee Endpoint Security)会清理或删除恶意软件文件。
- McAfee Agent 会将攻击情况通知 McAfee ePO。
- McAfee ePO 会存储攻击信息。
在 Google Security Operations 中配置 McAfee MVISION ePO 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
集成参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://api.mvision.mcafee.com | 是 | McAfee MVISION ePO API 根。 |
| 客户端 ID | 字符串 | 不适用 | 是 | McAfee MVISION ePO 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | McAfee MVISION ePO 账号的客户端密钥。 |
| 范围 | 逗号分隔值 | epo.device.r、epo.device.w、epo.grps.r、epo.grps.w、epo.sftw.r、epo.tags.r、epo.tags.w | 是 | McAfee MVISION ePO 账号的范围。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 McAfee MVISION ePO 公有云服务器的连接的 SSL 证书是否有效。 |
| 组名称 | 字符串 | 不适用 | 否 | 将用于搜索端点的组名称。如果未指定任何内容。系统将使用所有群组。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 McAfee MVISION ePO 的连接。
参数
不适用
剧本使用场景示例
此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,但不能在 playbook 中使用。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
丰富端点
说明
按主机名或 IP 地址提取端点的系统信息。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 来源(JSON 密钥) | 逻辑 - 应用场景 |
|---|---|---|
| MMV_EPO_id | id | 以 JSON 格式提供时 |
| MMV_EPO_uuid | uuid | 以 JSON 格式提供时 |
| MMV_EPO_lastcommunicated | lastcommunicated | 以 JSON 格式提供时 |
| MMV_EPO_managedState | managedState | 以 JSON 格式提供时 |
| MMV_EPO_ipaddress | properties/ipaddress | 以 JSON 格式提供时 |
| MMV_EPO_osplatform | properties/osplatform | 以 JSON 格式提供时 |
| MMV_EPO_operatingsystem | properties/operatingsystem | 以 JSON 格式提供时 |
| MMV_EPO_hostname | properties/hostname | 以 JSON 格式提供时 |
| MMV_EPO_windowsdomain | properties/windowsdomain | 以 JSON 格式提供时 |
| MMV_EPO_dnsname | 属性/dnsname | 以 JSON 格式提供时 |
| MMV_EPO_datversion | properties/datversion | 以 JSON 格式提供时 |
| MMV_EPO_username | properties/username | 以 JSON 格式提供时 |
| MMV_EPO_groups | 以空格分隔的组/名称列表 | 以 JSON 格式提供时 |
| MMV_EPO_tags | 以空格分隔的标记/tagName 列表 | 以 JSON 格式提供时 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
添加标记
说明
在 McAfee MVISION ePO 中向端点添加标记。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 标记名称 | 字符串 | 不适用 | 正确 | 指定要添加到端点的标记。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
移除代码
说明
从 McAfee MVISION ePO 中的端点移除标记。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 标记名称 | 字符串 | 不适用 | 正确 | 指定要从端点中移除的标记。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
列出标记
说明
列出 McAfee MVISION ePO 中可用的标记。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的标记数上限 | 整数 | 100 | 错误 | 指定要返回的标记数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
列出群组
说明
列出 McAfee MVISION ePO 中可用的群组。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的群组数量上限 | 整数 | 100 | 错误 | 指定要返回的群组数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
列出群组中的端点
说明
列出 McAfee MVISION ePO 中位于同一群组中的端点。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 组名称 | 字符串 | 不适用 | 正确 | 指定要在哪些群组中搜索端点 |
| 要返回的端点数量上限 | 整数 | 100 | 错误 | 指定要返回的端点数量。 |
运行于
该操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。