McAfee TIE DXL
統合バージョン: 6.0
Google Security Operations と連携するように McAfee TIE DXL 統合を構成する
証明書を生成する
まず、Trellix ePO と DXL が Google SecOps システムと適切に通信できるように、証明書を作成する必要があります。この統合が正しく機能するために必要な証明書を生成するには、以下の手順に沿って操作してください。
Google SecOps サーバーに SSH 接続します。
次のコマンドを実行します。
pip install dxlclientディレクトリを /etc/pki/tls/ に変更します。
cd /etc/pki/tls/ユーザーをスクリプトに切り替えます。
su -l scripting新しい証明書のディレクトリを作成し、そのディレクトリを開きます。
mkdir tiedxl cd tiedxl
証明書を生成する手順は次のとおりです。
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Trellix ePO に証明書を追加する
ePO 認証局(CA)のインポートの手順に沿って、ca-bundle.crt ファイルを Trellix ePO インスタンスに追加します。
詳細については、コマンドライン プロビジョニング(基本)をご覧ください。これには、統合に必要なファイルを作成するスクリプトが含まれています。
また、下の図に示すように、Trellix ePO でブローカーのアドレスとそのポートを確認できます([Server settings] > [DXL Topology])。[DXL Certificates] タブでは、証明書ファイルを管理できます(上記のリンクで説明されています)。
Google SecOps で McAfee TIE DXL 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
タグを追加
説明
エンドポイントにタグを追加します。(システムに存在するタグのみ)。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| タグ名 | 文字列 | なし | 追加するタグの名前。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
Server DAT と Agent DAT を比較する
説明
サーバーとエージェントの DAT を比較します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| agent_dat_status | なし | なし |
JSON の結果
N/A
エージェント情報を取得する
説明
Trellix ePO エンドポイントに関する情報を取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| LastUpdate | JSON の結果に存在する場合に返す |
| ManagedState | JSON の結果に存在する場合に返す |
| タグ | JSON の結果に存在する場合に返す |
| ExcludedTags | JSON の結果に存在する場合に返す |
| AgentVersion | JSON の結果に存在する場合に返す |
| AgentGUID | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Dat バージョン
説明
エンドポイントにインストールされている DAT のバージョンを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Dat バージョン | なし | なし |
JSON の結果
N/A
ハッシュのイベントを取得する
説明
MD5 ハッシュのイベントの詳細を取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| EPExtendedEvent テーブルからイベントを取得する | チェックボックス | なし | EPExtendedEvent テーブルからイベントを取得するかどうか。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| EPOEvents.ThreatCategory | JSON の結果に存在する場合に返す |
| EPOEvents.TargetUserName | JSON の結果に存在する場合に返す |
| EPOEvents.TargetPort | JSON の結果に存在する場合に返す |
| EPOEvents.TargetFileName | JSON の結果に存在する場合に返す |
| EPOEvents.TargetIPV4 | JSON の結果に存在する場合に返す |
| EPOEvents.ThreatName | JSON の結果に存在する場合に返す |
| EPOEvents.SourceUserName | JSON の結果に存在する場合に返す |
| EPOEvents.TargetProcessName | JSON の結果に存在する場合に返す |
| EPOEvents.SourceProcessName | JSON の結果に存在する場合に返す |
| EPOEvents.ThreatType | JSON の結果に存在する場合に返す |
| EPOEvents.SourceIPV4 | JSON の結果に存在する場合に返す |
| EPOEvents.TargetProtocol | JSON の結果に存在する場合に返す |
| VSECustomEvent.MD5 | JSON の結果に存在する場合に返す |
| EPOEvents.SourceURL | JSON の結果に存在する場合に返す |
| EPOEvents.ThreatActionTaken | JSON の結果に存在する場合に返す |
| EPOEvents.TargetHostName | JSON の結果に存在する場合に返す |
| EPOEvents.ThreatHandled | JSON の結果に存在する場合に返す |
| EPOEvents.SourceHostName | JSON の結果に存在する場合に返す |
分析情報
はい
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
ホスト IP のステータスを取得する
説明
ホストの IP のステータスを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON の結果
N/A
ホスト ネットワーク IP のステータスを取得する
説明
ホスト ネットワークの IP のステータスを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON の結果
N/A
ホストの Solid Core のステータスを取得する
説明
ホストに関するソリッド コアのステータスを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON の結果
N/A
Get Last Communication Time
説明
ホストの最終通信時間を受け取ります。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| isSuccess | True/False | isSuccess:False |
JSON の結果
N/A
McAfee EPO エージェントのバージョンを取得する
説明
Trellix ePO のエージェント バージョンを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| McAfee Agent のバージョン | なし | なし |
JSON の結果
N/A
システム情報を取得する
説明
Trellix ePO からエンドポイントのシステム情報を取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| FreeDiskSpace | JSON の結果に存在する場合に返す |
| ユーザー名 | JSON の結果に存在する場合に返す |
| DomainName | JSON の結果に存在する場合に返す |
| LastAgentHandler | JSON の結果に存在する場合に返す |
| IPV4x | JSON の結果に存在する場合に返す |
| OSBitMode | JSON の結果に存在する場合に返す |
| IPV6 | JSON の結果に存在する場合に返す |
| OSType | JSON の結果に存在する場合に返す |
| SysvolFreeSpace | JSON の結果に存在する場合に返す |
| IPHostName | JSON の結果に存在する場合に返す |
| CPUSerialNum | JSON の結果に存在する場合に返す |
| IPSubnetMask | JSON の結果に存在する場合に返す |
| SysvolTotalSpace | JSON の結果に存在する場合に返す |
| IPSubnet | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| FreeMemory | JSON の結果に存在する場合に返す |
| CPUSpeed | JSON の結果に存在する場合に返す |
| SubnetMask | JSON の結果に存在する場合に返す |
| IPAddress | JSON の結果に存在する場合に返す |
| DefaultLangID | JSON の結果に存在する場合に返す |
| OSPlatform | JSON の結果に存在する場合に返す |
| ComputerName | JSON の結果に存在する場合に返す |
| OSOEMID | JSON の結果に存在する場合に返す |
| NetAddress | JSON の結果に存在する場合に返す |
| TotalDiskSpace | JSON の結果に存在する場合に返す |
| SubnetAddress | JSON の結果に存在する場合に返す |
| NumOfCPU | JSON の結果に存在する場合に返す |
| タイムゾーン | JSON の結果に存在する場合に返す |
| SystemDescription | JSON の結果に存在する場合に返す |
| Vdi | JSON の結果に存在する場合に返す |
| OSBuildNum | JSON の結果に存在する場合に返す |
| OSVersion | JSON の結果に存在する場合に返す |
| IsPortable | JSON の結果に存在する場合に返す |
| TotalPhysicalMemory | JSON の結果に存在する場合に返す |
| IPXAddress | JSON の結果に存在する場合に返す |
| UserProperty7 | JSON の結果に存在する場合に返す |
| UserProperty6 | JSON の結果に存在する場合に返す |
| UserProperty5 | JSON の結果に存在する場合に返す |
| UserProperty4 | JSON の結果に存在する場合に返す |
| UserProperty3 | JSON の結果に存在する場合に返す |
| UserProperty2 | JSON の結果に存在する場合に返す |
| UserProperty1 | JSON の結果に存在する場合に返す |
| ParentID | JSON の結果に存在する場合に返す |
| CPUType | JSON の結果に存在する場合に返す |
| UserProperty8 | JSON の結果に存在する場合に返す |
分析情報
はい
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
ウイルス エンジン エージェントのバージョンを取得する
説明
Trellix ePO のエンジン バージョンを取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Virus Engine Agent Version | なし | なし |
JSON の結果
N/A
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
タグの削除
説明
エンドポイントからタグを削除します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| タグ名 | 文字列 | なし | 削除するタグの名前。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
フルスキャンを実行する
説明
エンドポイントでフルスキャンを実行します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| タグ名 | 文字列 | なし | 実行するタスクの名前。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| RunTask_Status | なし | なし |
JSON の結果
N/A
McAfee エージェントを更新する
説明
タスクを実行して McAfee エージェントを更新します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| タグ名 | 文字列 | なし | 実行するタスクの名前。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Update_Status | なし | なし |
JSON の結果
N/A
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。