McAfee TIE DXL
Versão da integração: 6.0
Configure a integração do McAfee TIE DXL para funcionar com o Google Security Operations
Gere certificados
Para começar, tem de criar certificados para que o Trellix ePO e o DXL possam comunicar corretamente com o sistema Google SecOps. Siga as instruções abaixo para gerar o certificado necessário para que esta integração funcione corretamente.
SSH para o seu servidor do Google SecOps.
Emita o seguinte comando:
pip install dxlclientMude o diretório para /etc/pki/tls/:
cd /etc/pki/tls/Mudar o utilizador para scripting:
su -l scriptingCrie um diretório para os novos certificados e abra o novo diretório:
mkdir tiedxl cd tiedxl
Siga as instruções aqui para gerar os seus certificados:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Adicione os seus certificados ao Trellix ePO
Siga as instruções em Importação da autoridade de certificação (CA) do ePO para adicionar o ficheiro ca-bundle.crt à sua instância do Trellix ePO.
Para mais informações, consulte o artigo Aprovisionamento de linhas de comandos (básico). Contém um script que cria os ficheiros necessários para as integrações.
Além disso, como se vê na imagem abaixo, no Trellix ePO, podemos encontrar o endereço do agente e a respetiva porta (Server settings > DXL Topology). Além disso, nos separadores de certificados DXL, podemos gerir os ficheiros de certificados (conforme documentado nos links acima).
Configure a integração do McAfee TIE DXL no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Adicionar etiqueta
Descrição
Adicione uma etiqueta a um ponto final. (Apenas etiquetas que existem no sistema).
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome da etiqueta | String | N/A | O nome da etiqueta a adicionar. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Compare o DAT do servidor e do agente
Descrição
Compare um DAT de servidor e de agente.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| agent_dat_status | N/A | N/A |
Resultado JSON
N/A
Receba informações do agente
Descrição
Receba informações sobre um ponto final do Trellix ePO.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| LastUpdate | Devolve se existir no resultado JSON |
| ManagedState | Devolve se existir no resultado JSON |
| Etiquetas | Devolve se existir no resultado JSON |
| ExcludedTags | Devolve se existir no resultado JSON |
| AgentVersion | Devolve se existir no resultado JSON |
| AgentGUID | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Versão DAT
Descrição
Recuperar a versão do DAT que está instalada num ponto final.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão DAT | N/A | N/A |
Resultado JSON
N/A
GetEventsForHash
Descrição
Obtenha os detalhes do evento para o hash MD5.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Fetch Events From EPExtendedEvent Table | Caixa de verificação | N/A | Se deve obter eventos da tabela EPExtendedEvent. |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| EPOEvents.ThreatCategory | Devolve se existir no resultado JSON |
| EPOEvents.TargetUserName | Devolve se existir no resultado JSON |
| EPOEvents.TargetPort | Devolve se existir no resultado JSON |
| EPOEvents.TargetFileName | Devolve se existir no resultado JSON |
| EPOEvents.TargetIPV4 | Devolve se existir no resultado JSON |
| EPOEvents.ThreatName | Devolve se existir no resultado JSON |
| EPOEvents.SourceUserName | Devolve se existir no resultado JSON |
| EPOEvents.TargetProcessName | Devolve se existir no resultado JSON |
| EPOEvents.SourceProcessName | Devolve se existir no resultado JSON |
| EPOEvents.ThreatType | Devolve se existir no resultado JSON |
| EPOEvents.SourceIPV4 | Devolve se existir no resultado JSON |
| EPOEvents.TargetProtocol | Devolve se existir no resultado JSON |
| VSECustomEvent.MD5 | Devolve se existir no resultado JSON |
| EPOEvents.SourceURL | Devolve se existir no resultado JSON |
| EPOEvents.ThreatActionTaken | Devolve se existir no resultado JSON |
| EPOEvents.TargetHostName | Devolve se existir no resultado JSON |
| EPOEvents.ThreatHandled | Devolve se existir no resultado JSON |
| EPOEvents.SourceHostName | Devolve se existir no resultado JSON |
Estatísticas
Sim
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Obtenha o estado dos IPs do anfitrião
Descrição
Obtenha o estado de um IP para o anfitrião.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado JSON
N/A
Obtenha o estado dos IPs da rede do anfitrião
Descrição
Obtenha o estado de um IP para a rede do anfitrião.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado JSON
N/A
Obtenha o estado do núcleo sólido do anfitrião
Descrição
Obtenha o estado do núcleo sólido relativamente ao anfitrião.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado JSON
N/A
Get Last Communication Time
Descrição
Receber a hora da última comunicação do anfitrião.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| isSuccess | Verdadeiro/Falso | isSuccess:False |
Resultado JSON
N/A
Get McAfee EPO Agent Version
Descrição
Recupere a versão do agente do Trellix ePO.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão do McAfee Agent | N/A | N/A |
Resultado JSON
N/A
Obtenha informações do sistema
Descrição
Obtenha informações do sistema num ponto final a partir do Trellix ePO.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| FreeDiskSpace | Devolve se existir no resultado JSON |
| Nome de utilizador | Devolve se existir no resultado JSON |
| DomainName | Devolve se existir no resultado JSON |
| LastAgentHandler | Devolve se existir no resultado JSON |
| IPV4x | Devolve se existir no resultado JSON |
| OSBitMode | Devolve se existir no resultado JSON |
| IPV6 | Devolve se existir no resultado JSON |
| OSType | Devolve se existir no resultado JSON |
| SysvolFreeSpace | Devolve se existir no resultado JSON |
| IPHostName | Devolve se existir no resultado JSON |
| CPUSerialNum | Devolve se existir no resultado JSON |
| IPSubnetMask | Devolve se existir no resultado JSON |
| SysvolTotalSpace | Devolve se existir no resultado JSON |
| IPSubnet | Devolve se existir no resultado JSON |
| Descrição | Devolve se existir no resultado JSON |
| FreeMemory | Devolve se existir no resultado JSON |
| CPUSpeed | Devolve se existir no resultado JSON |
| SubnetMask | Devolve se existir no resultado JSON |
| IPAddress | Devolve se existir no resultado JSON |
| DefaultLangID | Devolve se existir no resultado JSON |
| OSPlatform | Devolve se existir no resultado JSON |
| ComputerName | Devolve se existir no resultado JSON |
| OSOEMID | Devolve se existir no resultado JSON |
| NetAddress | Devolve se existir no resultado JSON |
| TotalDiskSpace | Devolve se existir no resultado JSON |
| SubnetAddress | Devolve se existir no resultado JSON |
| NumOfCPU | Devolve se existir no resultado JSON |
| Fuso horário | Devolve se existir no resultado JSON |
| SystemDescription | Devolve se existir no resultado JSON |
| Vdi | Devolve se existir no resultado JSON |
| OSBuildNum | Devolve se existir no resultado JSON |
| OSVersion | Devolve se existir no resultado JSON |
| IsPortable | Devolve se existir no resultado JSON |
| TotalPhysicalMemory | Devolve se existir no resultado JSON |
| IPXAddress | Devolve se existir no resultado JSON |
| UserProperty7 | Devolve se existir no resultado JSON |
| UserProperty6 | Devolve se existir no resultado JSON |
| UserProperty5 | Devolve se existir no resultado JSON |
| UserProperty4 | Devolve se existir no resultado JSON |
| UserProperty3 | Devolve se existir no resultado JSON |
| UserProperty2 | Devolve se existir no resultado JSON |
| UserProperty1 | Devolve se existir no resultado JSON |
| ParentID | Devolve se existir no resultado JSON |
| CPUType | Devolve se existir no resultado JSON |
| UserProperty8 | Devolve se existir no resultado JSON |
Estatísticas
SIM
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Get Virus Engine Agent Version
Descrição
Recupere a versão do motor do Trellix ePO.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão do agente do motor de vírus | N/A | N/A |
Resultado JSON
N/A
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
N/A
Remova a etiqueta
Descrição
Remova uma etiqueta do ponto final.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome da etiqueta | String | N/A | O nome da etiqueta a remover. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Executar análise completa
Descrição
Executar uma análise completa num ponto final.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome da etiqueta | String | N/A | O nome da tarefa a executar. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| RunTask_Status | N/A | N/A |
Resultado JSON
N/A
Atualize o agente do McAfee
Descrição
Execute uma tarefa para atualizar o agente McAfee.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome da etiqueta | String | N/A | O nome da tarefa a executar. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Update_Status | N/A | N/A |
Resultado JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.