McAfee TIE DXL
Versione integrazione: 6.0
Configurare l'integrazione di McAfee TIE DXL per funzionare con Google Security Operations
Genera certificati
Per iniziare, devi creare i certificati in modo che Trellix ePO e DXL possano comunicare correttamente con il sistema Google SecOps. Segui le istruzioni riportate di seguito per generare il certificato necessario per il corretto funzionamento di questa integrazione.
Accedi al server Google SecOps tramite SSH.
Esegui questo comando:
pip install dxlclientCambia directory in /etc/pki/tls/:
cd /etc/pki/tls/Passa all'utente per lo scripting:
su -l scriptingCrea una directory per i nuovi certificati e aprila:
mkdir tiedxl cd tiedxl
Segui le istruzioni riportate qui per generare i certificati:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Aggiungere i certificati a Trellix ePO
Segui le istruzioni riportate in Importazione dell'autorità di certificazione (CA) ePO per aggiungere il file ca-bundle.crt all'istanza di Trellix ePO.
Per ulteriori informazioni, vedi Provisioning da riga di comando (base). Contiene uno script che crea i file necessari per le integrazioni.
Inoltre, come mostrato nell'immagine seguente, in Trellix ePO possiamo trovare l'indirizzo del broker e la relativa porta (Impostazioni server > Topologia DXL). Nelle schede Certificati DXL possiamo gestire i file dei certificati (come documentato nei link precedenti).
Configura l'integrazione di McAfee TIE DXL in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Aggiungi etichetta
Descrizione
Aggiungi un tag a un endpoint. (Solo i tag esistenti nel sistema).
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome tag | Stringa | N/D | Il nome del tag da aggiungere. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Confronto tra DAT server e agent
Descrizione
Confronta un DAT del server e dell'agente.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| agent_dat_status | N/D | N/D |
Risultato JSON
N/A
Recupera informazioni sull'agente
Descrizione
Ricevi informazioni su un endpoint Trellix ePO.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| LastUpdate | Restituisce se esiste nel risultato JSON |
| ManagedState | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| ExcludedTags | Restituisce se esiste nel risultato JSON |
| AgentVersion | Restituisce se esiste nel risultato JSON |
| AgentGUID | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Dat Version
Descrizione
Recupera la versione di DAT installata su un endpoint.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Dat Version | N/D | N/D |
Risultato JSON
N/A
Get Events for Hash
Descrizione
Recupera i dettagli dell'evento per l'hash MD5.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Recupera eventi dalla tabella EPExtendedEvent | Casella di controllo | N/D | Indica se recuperare gli eventi dalla tabella EPExtendedEvent. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| EPOEvents.ThreatCategory | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetUserName | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetPort | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetFileName | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetIPV4 | Restituisce se esiste nel risultato JSON |
| EPOEvents.ThreatName | Restituisce se esiste nel risultato JSON |
| EPOEvents.SourceUserName | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetProcessName | Restituisce se esiste nel risultato JSON |
| EPOEvents.SourceProcessName | Restituisce se esiste nel risultato JSON |
| EPOEvents.ThreatType | Restituisce se esiste nel risultato JSON |
| EPOEvents.SourceIPV4 | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetProtocol | Restituisce se esiste nel risultato JSON |
| VSECustomEvent.MD5 | Restituisce se esiste nel risultato JSON |
| EPOEvents.SourceURL | Restituisce se esiste nel risultato JSON |
| EPOEvents.ThreatActionTaken | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetHostName | Restituisce se esiste nel risultato JSON |
| EPOEvents.ThreatHandled | Restituisce se esiste nel risultato JSON |
| EPOEvents.SourceHostName | Restituisce se esiste nel risultato JSON |
Approfondimenti
Sì
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| null | N/D | N/D |
Risultato JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Get Host IPs Status
Descrizione
Visualizzare lo stato di un IP per l'host.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_status_received | Vero/Falso | is_status_received:False |
Risultato JSON
N/A
Get Host Network IPs Status
Descrizione
Visualizza lo stato di un IP per la rete host.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_status_received | Vero/Falso | is_status_received:False |
Risultato JSON
N/A
Recupera lo stato del core solido dell'host
Descrizione
Recupera lo stato del nucleo solido in relazione all'host.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_status_received | Vero/Falso | is_status_received:False |
Risultato JSON
N/A
Get Last Communication Time
Descrizione
Ricevi l'ora dell'ultima comunicazione per l'host.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| isSuccess | Vero/Falso | isSuccess:False |
Risultato JSON
N/A
Recupera la versione dell'agente McAfee EPO
Descrizione
Recupera la versione dell'agente di Trellix ePO.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Versione di McAfee Agent | N/D | N/D |
Risultato JSON
N/A
Ottenere informazioni sul sistema
Descrizione
Recupera le informazioni di sistema su un endpoint da Trellix ePO.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| FreeDiskSpace | Restituisce se esiste nel risultato JSON |
| Nome utente | Restituisce se esiste nel risultato JSON |
| DomainName | Restituisce se esiste nel risultato JSON |
| LastAgentHandler | Restituisce se esiste nel risultato JSON |
| IPV4x | Restituisce se esiste nel risultato JSON |
| OSBitMode | Restituisce se esiste nel risultato JSON |
| IPV6 | Restituisce se esiste nel risultato JSON |
| OSType | Restituisce se esiste nel risultato JSON |
| SysvolFreeSpace | Restituisce se esiste nel risultato JSON |
| IPHostName | Restituisce se esiste nel risultato JSON |
| CPUSerialNum | Restituisce se esiste nel risultato JSON |
| IPSubnetMask | Restituisce se esiste nel risultato JSON |
| SysvolTotalSpace | Restituisce se esiste nel risultato JSON |
| IPSubnet | Restituisce se esiste nel risultato JSON |
| Descrizione | Restituisce se esiste nel risultato JSON |
| FreeMemory | Restituisce se esiste nel risultato JSON |
| CPUSpeed | Restituisce se esiste nel risultato JSON |
| SubnetMask | Restituisce se esiste nel risultato JSON |
| IPAddress | Restituisce se esiste nel risultato JSON |
| DefaultLangID | Restituisce se esiste nel risultato JSON |
| OSPlatform | Restituisce se esiste nel risultato JSON |
| ComputerName | Restituisce se esiste nel risultato JSON |
| OSOEMID | Restituisce se esiste nel risultato JSON |
| NetAddress | Restituisce se esiste nel risultato JSON |
| TotalDiskSpace | Restituisce se esiste nel risultato JSON |
| SubnetAddress | Restituisce se esiste nel risultato JSON |
| NumOfCPU | Restituisce se esiste nel risultato JSON |
| TimeZone | Restituisce se esiste nel risultato JSON |
| SystemDescription | Restituisce se esiste nel risultato JSON |
| Vdi | Restituisce se esiste nel risultato JSON |
| OSBuildNum | Restituisce se esiste nel risultato JSON |
| OSVersion | Restituisce se esiste nel risultato JSON |
| IsPortable | Restituisce se esiste nel risultato JSON |
| TotalPhysicalMemory | Restituisce se esiste nel risultato JSON |
| IPXAddress | Restituisce se esiste nel risultato JSON |
| UserProperty7 | Restituisce se esiste nel risultato JSON |
| UserProperty6 | Restituisce se esiste nel risultato JSON |
| UserProperty5 | Restituisce se esiste nel risultato JSON |
| UserProperty4 | Restituisce se esiste nel risultato JSON |
| UserProperty3 | Restituisce se esiste nel risultato JSON |
| UserProperty2 | Restituisce se esiste nel risultato JSON |
| UserProperty1 | Restituisce se esiste nel risultato JSON |
| ParentID | Restituisce se esiste nel risultato JSON |
| CPUType | Restituisce se esiste nel risultato JSON |
| UserProperty8 | Restituisce se esiste nel risultato JSON |
Approfondimenti
SÌ
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Get Virus Engine Agent Version
Descrizione
Recupera la versione del motore di Trellix ePO.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Versione dell'agente del motore antivirus | N/D | N/D |
Risultato JSON
N/A
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| null | N/D | N/D |
Risultato JSON
N/A
Rimuovi tag
Descrizione
Rimuovi un tag dall'endpoint.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome tag | Stringa | N/D | Il nome del tag da rimuovere. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Esegui scansione completa
Descrizione
Esegui una scansione completa su un endpoint.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome tag | Stringa | N/D | Il nome dell'attività da eseguire. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| RunTask_Status | N/D | N/D |
Risultato JSON
N/A
Aggiorna l'agente McAfee
Descrizione
Esegui un'attività per aggiornare l'agente McAfee.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome tag | Stringa | N/D | Il nome dell'attività da eseguire. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Update_Status | N/D | N/D |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.