McAfee TIE DXL
Versão da integração: 6.0
Configurar a integração do McAfee TIE DXL para trabalhar com o Google Security Operations
Gerar certificados
Para começar, crie certificados para que o Trellix ePO e o DXL possam se comunicar corretamente com o sistema do Google SecOps. Siga as instruções abaixo para gerar o certificado necessário para que essa integração funcione corretamente.
Conecte-se por SSH ao seu servidor do Google SecOps.
Execute o comando a seguir:
pip install dxlclientMude o diretório para /etc/pki/tls/:
cd /etc/pki/tls/Mude o usuário para scripting:
su -l scriptingCrie um diretório para os novos certificados e abra-o:
mkdir tiedxl cd tiedxl
Siga as instruções aqui para gerar seus certificados:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Adicionar seus certificados ao Trellix ePO
Siga as instruções em Importação da autoridade de certificação (CA) do ePO para adicionar o arquivo ca-bundle.crt à sua instância do Trellix ePO.
Para mais informações, consulte Provisionamento de linha de comando (básico). Ele contém um script que cria os arquivos necessários para as integrações.
Além disso, como mostrado na imagem abaixo, no Trellix ePO, é possível encontrar o endereço do broker e a porta dele (Configurações do servidor > Topologia do DXL). Nas guias "Certificados DXL", é possível gerenciar os arquivos de certificado, conforme documentado nos links acima.
Configurar a integração do McAfee TIE DXL no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Adicionar tag
Descrição
Adicione uma tag a um endpoint. (somente tags que existem no sistema).
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome da tag | String | N/A | O nome da tag a ser adicionada. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Comparar DATs de servidor e agente
Descrição
Comparar um DAT de servidor e de agente.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| agent_dat_status | N/A | N/A |
Resultado do JSON
N/A
Acessar informações do agente
Descrição
Recebe informações sobre um endpoint do Trellix ePO.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| LastUpdate | Retorna se ele existe no resultado JSON |
| ManagedState | Retorna se ele existe no resultado JSON |
| Tags | Retorna se ele existe no resultado JSON |
| ExcludedTags | Retorna se ele existe no resultado JSON |
| AgentVersion | Retorna se ele existe no resultado JSON |
| AgentGUID | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Versão do DAT
Descrição
Recupera a versão do DAT instalada em um endpoint.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão do DAT | N/A | N/A |
Resultado do JSON
N/A
Receber eventos para hash
Descrição
Receba detalhes do evento para o hash MD5.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Buscar eventos da tabela EPExtendedEvent | Caixa de seleção | N/A | Se é necessário buscar eventos da tabela EPExtendedEvent. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| EPOEvents.ThreatCategory | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetUserName | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetPort | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetFileName | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetIPV4 | Retorna se ele existe no resultado JSON |
| EPOEvents.ThreatName | Retorna se ele existe no resultado JSON |
| EPOEvents.SourceUserName | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetProcessName | Retorna se ele existe no resultado JSON |
| EPOEvents.SourceProcessName | Retorna se ele existe no resultado JSON |
| EPOEvents.ThreatType | Retorna se ele existe no resultado JSON |
| EPOEvents.SourceIPV4 | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetProtocol | Retorna se ele existe no resultado JSON |
| VSECustomEvent.MD5 | Retorna se ele existe no resultado JSON |
| EPOEvents.SourceURL | Retorna se ele existe no resultado JSON |
| EPOEvents.ThreatActionTaken | Retorna se ele existe no resultado JSON |
| EPOEvents.TargetHostName | Retorna se ele existe no resultado JSON |
| EPOEvents.ThreatHandled | Retorna se ele existe no resultado JSON |
| EPOEvents.SourceHostName | Retorna se ele existe no resultado JSON |
Insights
Sim
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| null | N/A | N/A |
Resultado do JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Receber status de IPs de host
Descrição
Recebe o status de um IP para o host.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado do JSON
N/A
Receber status de IPs de rede do host
Descrição
Recebe o status de um IP para a rede do host.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado do JSON
N/A
Receber o status do núcleo sólido do host
Descrição
Recupera o status do núcleo sólido em relação ao host.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_status_received | Verdadeiro/Falso | is_status_received:False |
Resultado do JSON
N/A
Receber o horário da última comunicação
Descrição
Recebe o último horário de comunicação do host.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| isSuccess | Verdadeiro/Falso | isSuccess:False |
Resultado do JSON
N/A
Receber a versão do agente do McAfee EPO
Descrição
Recupere a versão do agente do Trellix ePO.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão do agente da McAfee | N/A | N/A |
Resultado do JSON
N/A
Receber informações do sistema
Descrição
Receba informações do sistema em um endpoint do Trellix ePO.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| FreeDiskSpace | Retorna se ele existe no resultado JSON |
| Nome de usuário | Retorna se ele existe no resultado JSON |
| DomainName | Retorna se ele existe no resultado JSON |
| LastAgentHandler | Retorna se ele existe no resultado JSON |
| IPV4x | Retorna se ele existe no resultado JSON |
| OSBitMode | Retorna se ele existe no resultado JSON |
| IPV6 | Retorna se ele existe no resultado JSON |
| OSType | Retorna se ele existe no resultado JSON |
| SysvolFreeSpace | Retorna se ele existe no resultado JSON |
| IPHostName | Retorna se ele existe no resultado JSON |
| CPUSerialNum | Retorna se ele existe no resultado JSON |
| IPSubnetMask | Retorna se ele existe no resultado JSON |
| SysvolTotalSpace | Retorna se ele existe no resultado JSON |
| IPSubnet | Retorna se ele existe no resultado JSON |
| Descrição | Retorna se ele existe no resultado JSON |
| FreeMemory | Retorna se ele existe no resultado JSON |
| CPUSpeed | Retorna se ele existe no resultado JSON |
| SubnetMask | Retorna se ele existe no resultado JSON |
| IPAddress | Retorna se ele existe no resultado JSON |
| DefaultLangID | Retorna se ele existe no resultado JSON |
| OSPlatform | Retorna se ele existe no resultado JSON |
| ComputerName | Retorna se ele existe no resultado JSON |
| OSOEMID | Retorna se ele existe no resultado JSON |
| NetAddress | Retorna se ele existe no resultado JSON |
| TotalDiskSpace | Retorna se ele existe no resultado JSON |
| SubnetAddress | Retorna se ele existe no resultado JSON |
| NumOfCPU | Retorna se ele existe no resultado JSON |
| TimeZone | Retorna se ele existe no resultado JSON |
| SystemDescription | Retorna se ele existe no resultado JSON |
| Vdi | Retorna se ele existe no resultado JSON |
| OSBuildNum | Retorna se ele existe no resultado JSON |
| OSVersion | Retorna se ele existe no resultado JSON |
| IsPortable | Retorna se ele existe no resultado JSON |
| TotalPhysicalMemory | Retorna se ele existe no resultado JSON |
| IPXAddress | Retorna se ele existe no resultado JSON |
| UserProperty7 | Retorna se ele existe no resultado JSON |
| UserProperty6 | Retorna se ele existe no resultado JSON |
| UserProperty5 | Retorna se ele existe no resultado JSON |
| UserProperty4 | Retorna se ele existe no resultado JSON |
| UserProperty3 | Retorna se ele existe no resultado JSON |
| UserProperty2 | Retorna se ele existe no resultado JSON |
| UserProperty1 | Retorna se ele existe no resultado JSON |
| ParentID | Retorna se ele existe no resultado JSON |
| CPUType | Retorna se ele existe no resultado JSON |
| UserProperty8 | Retorna se ele existe no resultado JSON |
Insights
SIM
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Receber a versão do agente do mecanismo antivírus
Descrição
Recupere a versão do mecanismo do Trellix ePO.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Versão do agente do mecanismo antivírus | N/A | N/A |
Resultado do JSON
N/A
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| null | N/A | N/A |
Resultado do JSON
N/A
Remover tag
Descrição
Remova uma tag do endpoint.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome da tag | String | N/A | O nome da tag a ser removida. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Executar verificação completa
Descrição
Faça uma verificação completa em um endpoint.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome da tag | String | N/A | O nome da tarefa a ser executada. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| RunTask_Status | N/A | N/A |
Resultado do JSON
N/A
Atualizar o agente da McAfee
Descrição
Execute uma tarefa para atualizar o agente da McAfee.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome da tag | String | N/A | O nome da tarefa a ser executada. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| Update_Status | N/A | N/A |
Resultado do JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.