McAfee TIE DXL
Versi integrasi: 6.0
Mengonfigurasi integrasi McAfee TIE DXL agar berfungsi dengan Google Security Operations
Membuat Sertifikat
Untuk memulai, Anda harus membuat sertifikat agar Trellix ePO dan DXL dapat berkomunikasi dengan benar dengan sistem Google SecOps. Ikuti petunjuk di bawah untuk membuat sertifikat yang akan Anda perlukan agar integrasi ini berfungsi dengan benar.
SSH ke server Google SecOps Anda.
Keluarkan perintah berikut:
pip install dxlclientUbah direktori menjadi /etc/pki/tls/:
cd /etc/pki/tls/Mengalihkan pengguna ke pembuatan skrip:
su -l scriptingBuat direktori untuk sertifikat baru Anda dan buka direktori baru:
mkdir tiedxl cd tiedxl
Ikuti petunjuk di sini untuk membuat sertifikat Anda:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Menambahkan Sertifikat Anda ke Trellix ePO
Ikuti petunjuk di ePO Certificate Authority (CA) Import untuk menambahkan file ca-bundle.crt ke instance Trellix ePO Anda.
Untuk mengetahui informasi selengkapnya, lihat Penyediaan Command Line (Dasar). Folder ini berisi skrip yang membuat file yang diperlukan untuk integrasi.
Selain itu, seperti yang terlihat pada gambar di bawah, di Trellix ePO, kita dapat menemukan alamat broker dan port-nya (Server settings > DXL Topology). Di tab DXL Certificates, kita dapat mengelola file sertifikat (seperti yang didokumentasikan dalam link di atas).
Mengonfigurasi integrasi McAfee TIE DXL di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Tambahkan Tag
Deskripsi
Menambahkan tag ke endpoint. (Hanya tag yang ada dalam sistem).
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Tag | String | T/A | Nama tag yang akan ditambahkan. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Membandingkan DAT Server dan Agen
Deskripsi
Membandingkan DAT server dan agen.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| agent_dat_status | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Informasi Agen
Deskripsi
Mendapatkan informasi terkait endpoint Trellix ePO.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| LastUpdate | Menampilkan apakah ada di hasil JSON |
| ManagedState | Menampilkan apakah ada di hasil JSON |
| Tag | Menampilkan apakah ada di hasil JSON |
| ExcludedTags | Menampilkan apakah ada di hasil JSON |
| AgentVersion | Menampilkan apakah ada di hasil JSON |
| AgentGUID | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Versi Dat
Deskripsi
Mengambil versi DAT yang diinstal di endpoint.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| Versi Dat | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Acara untuk Hash
Deskripsi
Mendapatkan detail acara untuk hash MD5.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Mengambil Peristiwa dari Tabel EPExtendedEvent | Kotak centang | T/A | Apakah akan mengambil peristiwa dari tabel EPExtendedEvent. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| EPOEvents.ThreatCategory | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetUserName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetPort | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetFileName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetIPV4 | Menampilkan apakah ada di hasil JSON |
| EPOEvents.ThreatName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.SourceUserName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetProcessName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.SourceProcessName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.ThreatType | Menampilkan apakah ada di hasil JSON |
| EPOEvents.SourceIPV4 | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetProtocol | Menampilkan apakah ada di hasil JSON |
| VSECustomEvent.MD5 | Menampilkan apakah ada di hasil JSON |
| EPOEvents.SourceURL | Menampilkan apakah ada di hasil JSON |
| EPOEvents.ThreatActionTaken | Menampilkan apakah ada di hasil JSON |
| EPOEvents.TargetHostName | Menampilkan apakah ada di hasil JSON |
| EPOEvents.ThreatHandled | Menampilkan apakah ada di hasil JSON |
| EPOEvents.SourceHostName | Menampilkan apakah ada di hasil JSON |
Insight
Ya
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Mendapatkan Status IP Host
Deskripsi
Mendapatkan status IP untuk host.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_status_received | Benar/Salah | is_status_received:False |
Hasil JSON
N/A
Mendapatkan Status IP Jaringan Host
Deskripsi
Mendapatkan status IP untuk jaringan host.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_status_received | Benar/Salah | is_status_received:False |
Hasil JSON
N/A
Mendapatkan Status Inti Solid Host
Deskripsi
Mengambil status inti solid terkait host.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_status_received | Benar/Salah | is_status_received:False |
Hasil JSON
N/A
Mendapatkan Waktu Komunikasi Terakhir
Deskripsi
Menerima waktu komunikasi terakhir untuk host.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| isSuccess | Benar/Salah | isSuccess:False |
Hasil JSON
N/A
Mendapatkan Versi Agen McAfee EPO
Deskripsi
Mengambil versi agen Trellix ePO.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| Versi Agen McAfee | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Informasi Sistem
Deskripsi
Mendapatkan informasi sistem di endpoint dari Trellix ePO.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| FreeDiskSpace | Menampilkan apakah ada di hasil JSON |
| NamaPengguna | Menampilkan apakah ada di hasil JSON |
| DomainName | Menampilkan apakah ada di hasil JSON |
| LastAgentHandler | Menampilkan apakah ada di hasil JSON |
| IPV4x | Menampilkan apakah ada di hasil JSON |
| OSBitMode | Menampilkan apakah ada di hasil JSON |
| IPV6 | Menampilkan apakah ada di hasil JSON |
| OSType | Menampilkan apakah ada di hasil JSON |
| SysvolFreeSpace | Menampilkan apakah ada di hasil JSON |
| IPHostName | Menampilkan apakah ada di hasil JSON |
| CPUSerialNum | Menampilkan apakah ada di hasil JSON |
| IPSubnetMask | Menampilkan apakah ada di hasil JSON |
| SysvolTotalSpace | Menampilkan apakah ada di hasil JSON |
| IPSubnet | Menampilkan apakah ada di hasil JSON |
| Deskripsi | Menampilkan apakah ada di hasil JSON |
| FreeMemory | Menampilkan apakah ada di hasil JSON |
| CPUSpeed | Menampilkan apakah ada di hasil JSON |
| SubnetMask | Menampilkan apakah ada di hasil JSON |
| IPAddress | Menampilkan apakah ada di hasil JSON |
| DefaultLangID | Menampilkan apakah ada di hasil JSON |
| OSPlatform | Menampilkan apakah ada di hasil JSON |
| ComputerName | Menampilkan apakah ada di hasil JSON |
| OSOEMID | Menampilkan apakah ada di hasil JSON |
| NetAddress | Menampilkan apakah ada di hasil JSON |
| TotalDiskSpace | Menampilkan apakah ada di hasil JSON |
| SubnetAddress | Menampilkan apakah ada di hasil JSON |
| NumOfCPU | Menampilkan apakah ada di hasil JSON |
| TimeZone | Menampilkan apakah ada di hasil JSON |
| SystemDescription | Menampilkan apakah ada di hasil JSON |
| Vdi | Menampilkan apakah ada di hasil JSON |
| OSBuildNum | Menampilkan apakah ada di hasil JSON |
| OSVersion | Menampilkan apakah ada di hasil JSON |
| IsPortable | Menampilkan apakah ada di hasil JSON |
| TotalPhysicalMemory | Menampilkan apakah ada di hasil JSON |
| IPXAddress | Menampilkan apakah ada di hasil JSON |
| UserProperty7 | Menampilkan apakah ada di hasil JSON |
| UserProperty6 | Menampilkan apakah ada di hasil JSON |
| UserProperty5 | Menampilkan apakah ada di hasil JSON |
| UserProperty4 | Menampilkan apakah ada di hasil JSON |
| UserProperty3 | Menampilkan apakah ada di hasil JSON |
| UserProperty2 | Menampilkan apakah ada di hasil JSON |
| UserProperty1 | Menampilkan apakah ada di hasil JSON |
| ParentID | Menampilkan apakah ada di hasil JSON |
| CPUType | Menampilkan apakah ada di hasil JSON |
| UserProperty8 | Menampilkan apakah ada di hasil JSON |
Insight
YA
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Mendapatkan Versi Agen Virus Engine
Deskripsi
Mengambil versi mesin Trellix ePO.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| Versi Agen Mesin Antivirus | T/A | T/A |
Hasil JSON
N/A
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
N/A
Menghapus Tag
Deskripsi
Hapus tag dari endpoint.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Tag | String | T/A | Nama tag yang akan dihapus. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menjalankan Pemindaian Penuh
Deskripsi
Menjalankan pemindaian penuh di endpoint.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Tag | String | T/A | Nama tugas yang akan dijalankan. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| RunTask_Status | T/A | T/A |
Hasil JSON
N/A
Memperbarui Agen McAfee
Deskripsi
Jalankan tugas untuk mengupdate agen McAfee.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Tag | String | T/A | Nama tugas yang akan dijalankan. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| Update_Status | T/A | T/A |
Hasil JSON
N/A
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.