McAfee TIE DXL
Integrationsversion: 6.0
McAfee TIE DXL-Integration für die Verwendung mit Google Security Operations konfigurieren
Zertifikate generieren
Zuerst müssen Sie Zertifikate erstellen, damit Trellix ePO und DXL ordnungsgemäß mit dem Google SecOps-System kommunizieren können. Folgen Sie der Anleitung unten, um das Zertifikat zu generieren, das für die ordnungsgemäße Funktion dieser Integration erforderlich ist.
Stellen Sie eine SSH-Verbindung zu Ihrem Google SecOps-Server her.
Führen Sie dazu folgenden Befehl aus:
pip install dxlclientWechseln Sie in das Verzeichnis /etc/pki/tls/:
cd /etc/pki/tls/Wechseln Sie zum Scripting-Nutzer:
su -l scriptingErstellen Sie ein Verzeichnis für die neuen Zertifikate und öffnen Sie es:
mkdir tiedxl cd tiedxl
Folgen Sie dieser Anleitung, um Ihre Zertifikate zu generieren:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Zertifikate zu Trellix ePO hinzufügen
Folgen Sie der Anleitung unter ePO Certificate Authority (CA) Import (ePO-Zertifizierungsstelle (CA) importieren), um die Datei „ca-bundle.crt“ Ihrer Trellix ePO-Instanz hinzuzufügen.
Weitere Informationen finden Sie unter Bereitstellung über die Befehlszeile (einfach). Es enthält ein Skript, mit dem die erforderlichen Dateien für die Integrationen erstellt werden.
Wie im Bild unten zu sehen ist, finden wir in Trellix ePO die Adresse des Brokers und seinen Port (Servereinstellungen > DXL-Topologie). Auf den Tabs „DXL Certificates“ (DXL-Zertifikate) können wir die Zertifikatsdateien verwalten (wie in den Links oben beschrieben).
McAfee TIE DXL-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Tag hinzufügen
Beschreibung
Endpunkt ein Tag hinzufügen (Nur Tags, die im System vorhanden sind)
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Tag-Name | String | – | Der Name des hinzuzufügenden Tags. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Server- und Agent-DAT vergleichen
Beschreibung
Server- und Agent-DAT vergleichen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| agent_dat_status | – | – |
JSON-Ergebnis
N/A
Agent-Informationen abrufen
Beschreibung
Informationen zu einem Trellix ePO-Endpunkt abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| LastUpdate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ManagedState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ExcludedTags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AgentVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AgentGUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Dat-Version
Beschreibung
Die Version von DAT abrufen, die auf einem Endpunkt installiert ist.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Dat-Version | – | – |
JSON-Ergebnis
N/A
Ereignisse für Hash abrufen
Beschreibung
Termindetails für den MD5-Hash abrufen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Ereignisse aus der Tabelle „EPExtendedEvent“ abrufen | Kästchen | – | Gibt an, ob Ereignisse aus der Tabelle „EPExtendedEvent“ abgerufen werden sollen. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| EPOEvents.ThreatCategory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetUserName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetPort | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetFileName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetIPV4 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.ThreatName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.SourceUserName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetProcessName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.SourceProcessName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.ThreatType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.SourceIPV4 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetProtocol | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| VSECustomEvent.MD5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.SourceURL | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.ThreatActionTaken | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetHostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.ThreatHandled | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.SourceHostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Ja
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Get Host IPs Status
Beschreibung
Ruft den Status einer IP-Adresse für den Host ab.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_status_received | Wahr/falsch | is_status_received:False |
JSON-Ergebnis
N/A
Status von Hostnetzwerk-IPs abrufen
Beschreibung
Status einer IP-Adresse für das Hostnetzwerk abrufen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_status_received | Wahr/falsch | is_status_received:False |
JSON-Ergebnis
N/A
Host-Solid-Core-Status abrufen
Beschreibung
Rufen Sie den Status des Solid Core in Bezug auf den Host ab.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_status_received | Wahr/falsch | is_status_received:False |
JSON-Ergebnis
N/A
Zeitpunkt der letzten Kommunikation abrufen
Beschreibung
Die Zeit der letzten Kommunikation für den Host abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| isSuccess | Wahr/falsch | isSuccess:False |
JSON-Ergebnis
N/A
McAfee EPO Agent-Version abrufen
Beschreibung
Rufen Sie die Agent-Version von Trellix ePO ab.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| McAfee Agent-Version | – | – |
JSON-Ergebnis
N/A
Systeminformationen abrufen
Beschreibung
Systeminformationen zu einem Endpunkt aus Trellix ePO abrufen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| FreeDiskSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzername | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| DomainName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| LastAgentHandler | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPV4x | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSBitMode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPV6 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SysvolFreeSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPHostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUSerialNum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPSubnetMask | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SysvolTotalSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPSubnet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Beschreibung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| FreeMemory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUSpeed | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SubnetMask | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| DefaultLangID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSPlatform | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ComputerName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSOEMID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| NetAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TotalDiskSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SubnetAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| NumOfCPU | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TimeZone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SystemDescription | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Vdi | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSBuildNum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IsPortable | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TotalPhysicalMemory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPXAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty7 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty6 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty4 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty3 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty2 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ParentID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty8 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
JA
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Virus Engine-Agent-Version abrufen
Beschreibung
Rufen Sie die Engine-Version von Trellix ePO ab.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Virus Engine Agent-Version | – | – |
JSON-Ergebnis
N/A
Ping
Beschreibung
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
N/A
Tag entfernen
Beschreibung
Tag vom Endpunkt entfernen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Tag-Name | String | – | Der Name des zu entfernenden Tags. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Vollständigen Scan ausführen
Beschreibung
Führen Sie einen vollständigen Scan auf einem Endpunkt aus.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Tag-Name | String | – | Der Name der auszuführenden Aufgabe. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| RunTask_Status | – | – |
JSON-Ergebnis
N/A
McAfee-Agent aktualisieren
Beschreibung
Führen Sie eine Aufgabe aus, um den McAfee-Agenten zu aktualisieren.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Tag-Name | String | – | Der Name der auszuführenden Aufgabe. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Update_Status | – | – |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten