McAfee TIE DXL
Version de l'intégration : 6.0
Configurer l'intégration McAfee TIE DXL pour qu'elle fonctionne avec Google Security Operations
Générer des certificats
Pour commencer, vous devez créer des certificats afin que Trellix ePO et DXL puissent communiquer correctement avec le système Google SecOps. Veuillez suivre les instructions ci-dessous pour générer le certificat dont vous aurez besoin pour que cette intégration fonctionne correctement.
Connectez-vous en SSH à votre serveur Google SecOps.
Exécutez la commande suivante :
pip install dxlclientPlacez-vous dans le répertoire /etc/pki/tls/:
cd /etc/pki/tls/Passez l'utilisateur au scripting :
su -l scriptingCréez un répertoire pour vos nouveaux certificats et ouvrez-le :
mkdir tiedxl cd tiedxl
Suivez les instructions ci-dessous pour générer vos certificats :
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Ajouter vos certificats à Trellix ePO
Suivez les instructions de la section Importer l'autorité de certification (CA) ePO pour ajouter votre fichier ca-bundle.crt à votre instance Trellix ePO.
Pour en savoir plus, consultez Provisionnement en ligne de commande (de base). Il contient un script qui crée les fichiers nécessaires aux intégrations.
De plus, comme le montre l'image ci-dessous, dans Trellix ePO, nous pouvons trouver l'adresse du courtier et son port (Paramètres du serveur > Topologie DXL). Dans les onglets "Certificats DXL", nous pouvons gérer les fichiers de certificat (comme indiqué dans les liens ci-dessus).
Configurer l'intégration McAfee TIE DXL dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ajouter un tag
Description
Ajoutez un tag à un point de terminaison. (Seuls les tags qui existent dans le système)
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du tag | Chaîne | N/A | Nom de la balise à ajouter. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Comparer les fichiers DAT du serveur et de l'agent
Description
Comparer un fichier DAT de serveur et d'agent
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| agent_dat_status | N/A | N/A |
Résultat JSON
N/A
Obtenir des informations sur l'agent
Description
Obtenez des informations sur un point de terminaison Trellix ePO.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| LastUpdate | Renvoie la valeur si elle existe dans le résultat JSON. |
| ManagedState | Renvoie la valeur si elle existe dans le résultat JSON. |
| Tags | Renvoie la valeur si elle existe dans le résultat JSON. |
| ExcludedTags | Renvoie la valeur si elle existe dans le résultat JSON. |
| AgentVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| AgentGUID | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Version .dat
Description
Récupérez la version du fichier DAT installée sur un point de terminaison.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version .dat | N/A | N/A |
Résultat JSON
N/A
Obtenir les événements pour le hachage
Description
Obtenez les détails de l'événement pour le hachage MD5.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Récupérer les événements de la table EPExtendedEvent | Case à cocher | N/A | Indique s'il faut extraire les événements de la table EPExtendedEvent. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| EPOEvents.ThreatCategory | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetUserName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetPort | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetFileName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetIPV4 | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.ThreatName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.SourceUserName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetProcessName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.SourceProcessName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.ThreatType | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.SourceIPV4 | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetProtocol | Renvoie la valeur si elle existe dans le résultat JSON. |
| VSECustomEvent.MD5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.SourceURL | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.ThreatActionTaken | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetHostName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.ThreatHandled | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.SourceHostName | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Oui
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Obtenir l'état des adresses IP de l'hôte
Description
Obtenez l'état d'une adresse IP pour l'hôte.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_status_received | Vrai/Faux | is_status_received:False |
Résultat JSON
N/A
Obtenir l'état des adresses IP du réseau hôte
Description
Obtenez l'état d'une adresse IP pour le réseau hôte.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_status_received | Vrai/Faux | is_status_received:False |
Résultat JSON
N/A
Obtenir l'état "Hôte Solid Core"
Description
Récupérez l'état du cœur solide concernant l'hôte.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_status_received | Vrai/Faux | is_status_received:False |
Résultat JSON
N/A
Obtenir l'heure de la dernière communication
Description
Recevez l'heure de la dernière communication de l'hôte.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| isSuccess | Vrai/Faux | isSuccess:False |
Résultat JSON
N/A
Obtenir la version de l'agent McAfee EPO
Description
Récupérez la version de l'agent Trellix ePO.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version de l'agent McAfee | N/A | N/A |
Résultat JSON
N/A
Obtenir des informations système
Description
Obtenez des informations système sur un point de terminaison à partir de Trellix ePO.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| FreeDiskSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| Nom d'utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| DomainName | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastAgentHandler | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPV4x | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSBitMode | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPV6 | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSType | Renvoie la valeur si elle existe dans le résultat JSON. |
| SysvolFreeSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPHostName | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUSerialNum | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPSubnetMask | Renvoie la valeur si elle existe dans le résultat JSON. |
| SysvolTotalSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPSubnet | Renvoie la valeur si elle existe dans le résultat JSON. |
| Description | Renvoie la valeur si elle existe dans le résultat JSON. |
| FreeMemory | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUSpeed | Renvoie la valeur si elle existe dans le résultat JSON. |
| SubnetMask | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| DefaultLangID | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSPlatform | Renvoie la valeur si elle existe dans le résultat JSON. |
| ComputerName | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSOEMID | Renvoie la valeur si elle existe dans le résultat JSON. |
| NetAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| TotalDiskSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| SubnetAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| NumOfCPU | Renvoie la valeur si elle existe dans le résultat JSON. |
| TimeZone | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemDescription | Renvoie la valeur si elle existe dans le résultat JSON. |
| Vdi | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSBuildNum | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsPortable | Renvoie la valeur si elle existe dans le résultat JSON. |
| TotalPhysicalMemory | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPXAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty7 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty6 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty4 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty3 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty2 | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| ParentID | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUType | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty8 | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
OUI
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Obtenir la version de l'agent du moteur antivirus
Description
Récupérez la version du moteur de Trellix ePO.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version de l'agent du moteur antivirus | N/A | N/A |
Résultat JSON
N/A
Ping
Description
Testez la connectivité.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
N/A
Supprimer le tag
Description
Supprimez un tag du point de terminaison.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du tag | Chaîne | N/A | Nom du tag à supprimer. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Exécuter une analyse complète
Description
Exécutez une analyse complète sur un point de terminaison.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du tag | Chaîne | N/A | Nom de la tâche à exécuter. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| RunTask_Status | N/A | N/A |
Résultat JSON
N/A
Mettre à jour l'agent McAfee
Description
Exécutez une tâche pour mettre à jour l'agent McAfee.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du tag | Chaîne | N/A | Nom de la tâche à exécuter. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Update_Status | N/A | N/A |
Résultat JSON
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.