McAfee TIE DXL
Versión de integración: 6.0
Configura la integración de McAfee TIE DXL para que funcione con Google Security Operations
Genera certificados
Para comenzar, deberás crear certificados para que Trellix ePO y DXL puedan comunicarse correctamente con el sistema de SecOps de Google. Sigue las instrucciones que se indican a continuación para generar el certificado que necesitarás para que esta integración funcione correctamente.
Establece una conexión SSH a tu servidor de Google SecOps.
Ejecuta el siguiente comando:
pip install dxlclientCambia el directorio a /etc/pki/tls/:
cd /etc/pki/tls/Cambia el usuario a la secuencia de comandos:
su -l scriptingCrea un directorio para tus certificados nuevos y ábrelo:
mkdir tiedxl cd tiedxl
Sigue las instrucciones que se indican aquí para generar tus certificados:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Agrega tus certificados a Trellix ePO
Sigue las instrucciones en ePO Certificate Authority (CA) Import para agregar tu archivo ca-bundle.crt a tu instancia de Trellix ePO.
Para obtener más información, consulta Aprovisionamiento de línea de comandos (básico). Contiene un script que crea los archivos necesarios para las integraciones.
Además, como se ve en la siguiente imagen, en Trellix ePO, podemos encontrar la dirección del agente y su puerto (Configuración del servidor > Topología de DXL). En las pestañas de certificados de DXL, podemos administrar los archivos de certificados (como se documenta en los vínculos anteriores).
Configura la integración de McAfee TIE DXL en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Agregar etiqueta
Descripción
Agrega una etiqueta a un extremo. (Solo etiquetas que existen en el sistema).
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Es el nombre de la etiqueta que se agregará. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Compara los DAT del servidor y del agente
Descripción
Compara un DAT del servidor y un DAT del agente.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| agent_dat_status | N/A | N/A |
Resultado de JSON
N/A
Obtén información del agente
Descripción
Obtiene información sobre un extremo de Trellix ePO.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| LastUpdate | Devuelve si existe en el resultado JSON. |
| ManagedState | Devuelve si existe en el resultado JSON. |
| Etiquetas | Devuelve si existe en el resultado JSON. |
| ExcludedTags | Devuelve si existe en el resultado JSON. |
| AgentVersion | Devuelve si existe en el resultado JSON. |
| AgentGUID | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Versión de datos
Descripción
Recupera la versión de DAT que está instalada en un extremo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión de datos | N/A | N/A |
Resultado de JSON
N/A
Obtén eventos para el hash
Descripción
Obtiene los detalles del evento para el hash MD5.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Recupera eventos de la tabla EPExtendedEvent | Casilla de verificación | N/A | Indica si se deben recuperar eventos de la tabla EPExtendedEvent. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| EPOEvents.ThreatCategory | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetUserName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetPort | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetFileName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetIPV4 | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatName | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceUserName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetProcessName | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceProcessName | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatType | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceIPV4 | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetProtocol | Devuelve si existe en el resultado JSON. |
| VSECustomEvent.MD5 | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceURL | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatActionTaken | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetHostName | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatHandled | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceHostName | Devuelve si existe en el resultado JSON. |
Estadísticas
Sí
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Obtener el estado de las IPs del host
Descripción
Obtiene el estado de una IP para el host.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Obtén el estado de las IPs de la red del host
Descripción
Obtiene el estado de una IP para la red host.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Obtén el estado de núcleo sólido del host
Descripción
Recupera el estado del núcleo sólido en relación con el host.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Obtén la hora de la última comunicación
Descripción
Recibe la última hora de comunicación del host.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| isSuccess | Verdadero/Falso | isSuccess:False |
Resultado de JSON
N/A
Obtén la versión del agente de McAfee EPO
Descripción
Recupera la versión del agente de Trellix ePO.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión del agente de McAfee | N/A | N/A |
Resultado de JSON
N/A
Obtén información del sistema
Descripción
Obtén información del sistema en un extremo desde Trellix ePO.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| FreeDiskSpace | Devuelve si existe en el resultado JSON. |
| UserName | Devuelve si existe en el resultado JSON. |
| DomainName | Devuelve si existe en el resultado JSON. |
| LastAgentHandler | Devuelve si existe en el resultado JSON. |
| IPV4x | Devuelve si existe en el resultado JSON. |
| OSBitMode | Devuelve si existe en el resultado JSON. |
| IPV6 | Devuelve si existe en el resultado JSON. |
| OSType | Devuelve si existe en el resultado JSON. |
| SysvolFreeSpace | Devuelve si existe en el resultado JSON. |
| IPHostName | Devuelve si existe en el resultado JSON. |
| CPUSerialNum | Devuelve si existe en el resultado JSON. |
| IPSubnetMask | Devuelve si existe en el resultado JSON. |
| SysvolTotalSpace | Devuelve si existe en el resultado JSON. |
| IPSubnet | Devuelve si existe en el resultado JSON. |
| Descripción | Devuelve si existe en el resultado JSON. |
| FreeMemory | Devuelve si existe en el resultado JSON. |
| CPUSpeed | Devuelve si existe en el resultado JSON. |
| SubnetMask | Devuelve si existe en el resultado JSON. |
| IPAddress | Devuelve si existe en el resultado JSON. |
| DefaultLangID | Devuelve si existe en el resultado JSON. |
| OSPlatform | Devuelve si existe en el resultado JSON. |
| ComputerName | Devuelve si existe en el resultado JSON. |
| OSOEMID | Devuelve si existe en el resultado JSON. |
| NetAddress | Devuelve si existe en el resultado JSON. |
| TotalDiskSpace | Devuelve si existe en el resultado JSON. |
| SubnetAddress | Devuelve si existe en el resultado JSON. |
| NumOfCPU | Devuelve si existe en el resultado JSON. |
| TimeZone | Devuelve si existe en el resultado JSON. |
| SystemDescription | Devuelve si existe en el resultado JSON. |
| Vdi | Devuelve si existe en el resultado JSON. |
| OSBuildNum | Devuelve si existe en el resultado JSON. |
| OSVersion | Devuelve si existe en el resultado JSON. |
| IsPortable | Devuelve si existe en el resultado JSON. |
| TotalPhysicalMemory | Devuelve si existe en el resultado JSON. |
| IPXAddress | Devuelve si existe en el resultado JSON. |
| UserProperty7 | Devuelve si existe en el resultado JSON. |
| UserProperty6 | Devuelve si existe en el resultado JSON. |
| UserProperty5 | Devuelve si existe en el resultado JSON. |
| UserProperty4 | Devuelve si existe en el resultado JSON. |
| UserProperty3 | Devuelve si existe en el resultado JSON. |
| UserProperty2 | Devuelve si existe en el resultado JSON. |
| UserProperty1 | Devuelve si existe en el resultado JSON. |
| ParentID | Devuelve si existe en el resultado JSON. |
| CPUType | Devuelve si existe en el resultado JSON. |
| UserProperty8 | Devuelve si existe en el resultado JSON. |
Estadísticas
SÍ
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Obtén la versión del agente de Virus Engine
Descripción
Recupera la versión del motor de Trellix ePO.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión del agente del motor de virus | N/A | N/A |
Resultado de JSON
N/A
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
N/A
Quitar etiqueta
Descripción
Quita una etiqueta del extremo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Es el nombre de la etiqueta que se quitará. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Ejecutar análisis completo
Descripción
Ejecuta un análisis completo en un endpoint.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Es el nombre de la tarea que se ejecutará. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| RunTask_Status | N/A | N/A |
Resultado de JSON
N/A
Actualiza el agente de McAfee
Descripción
Ejecuta una tarea para actualizar el agente de McAfee.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | String | N/A | Es el nombre de la tarea que se ejecutará. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Update_Status | N/A | N/A |
Resultado de JSON
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.