McAfee TIE DXL

整合版本:6.0

設定 McAfee TIE DXL 整合功能,以便與 Google Security Operations 搭配使用

產生憑證

首先,您需要建立憑證,讓 Trellix ePO 和 DXL 能夠與 Google SecOps 系統正確通訊。請按照下列操作說明產生憑證,整合功能才能正常運作。

  1. 透過 SSH 連入 Google SecOps 伺服器。

  2. 發出以下指令:pip install dxlclient

  3. 將目錄變更為 /etc/pki/tls/:cd /etc/pki/tls/

  4. 將使用者切換為指令碼:su -l scripting

  5. 為新憑證建立目錄,然後開啟新目錄:

    mkdir tiedxl
    cd tiedxl
    

請按照下列操作說明產生憑證:

  1. https://opendxl.github.io/opendxl-client
  2. python/pydoc/basiccliprovisioning.html#basiccliprovisioning

將憑證新增至 Trellix ePO

請按照這篇文章的操作說明,將 ca-bundle.crt 檔案新增至 Trellix ePO 執行個體。

詳情請參閱「指令列佈建 (基本)」。其中包含一個指令碼,可建立整合所需的檔案。

此外,如下圖所示,在 Trellix ePO 中,我們可以找到代理程式的位址和通訊埠 (「Server settings」>「DXL Topology」)。在 DXL 憑證分頁中,我們可以管理憑證檔案 (如上述連結所述)。

Trellix ePO 中代理程式位址及其通訊埠的位置

在 Google SecOps 中設定 McAfee TIE DXL 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

動作

新增標記

說明

為端點新增標記。(僅限系統中已有的標記)。

參數

參數 類型 預設值 說明
標記名稱 字串 不適用 要新增的代碼名稱。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
N/A

比較伺服器和代理程式 DAT

說明

比較伺服器和代理程式 DAT。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
agent_dat_status 不適用 不適用
JSON 結果
N/A

取得代理程式資訊

說明

取得 Trellix ePO 端點的相關資訊。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充
補充資料欄位名稱 邏輯 - 應用時機
LastUpdate 如果 JSON 結果中存在該值,則傳回該值
ManagedState 如果 JSON 結果中存在該值,則傳回該值
標記 如果 JSON 結果中存在該值,則傳回該值
ExcludedTags 如果 JSON 結果中存在該值,則傳回該值
AgentVersion 如果 JSON 結果中存在該值,則傳回該值
AgentGUID 如果 JSON 結果中存在該值,則傳回該值
深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
[{
   "EntityResult":
      {
         "LastUpdate": "2019-01-22T13:04:49+02:00",
         "ManagedState": "1",
         "Tags": "Server, Workstation",
         "ExcludedTags": "",
         "AgentVersion": "1.1.1.1",
         "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
       },
   "Entity": "1.1.1.1"
}]

Dat 版本

說明

擷取端點上安裝的 DAT 版本。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
Dat 版本 不適用 不適用
JSON 結果
N/A

取得雜湊的事件

說明

取得 MD5 雜湊的事件詳細資料。

參數

參數 類型 預設值 說明
從 EPExtendedEvent 資料表擷取事件 核取方塊 不適用 是否要從 EPExtendedEvent 資料表擷取事件

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充
補充資料欄位名稱 邏輯 - 應用時機
EPOEvents.ThreatCategory 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetUserName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetPort 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetFileName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetIPV4 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.ThreatName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.SourceUserName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetProcessName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.SourceProcessName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.ThreatType 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.SourceIPV4 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetProtocol 如果 JSON 結果中存在該值,則傳回該值
VSECustomEvent.MD5 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.SourceURL 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.ThreatActionTaken 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.TargetHostName 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.ThreatHandled 如果 JSON 結果中存在該值,則傳回該值
EPOEvents.SourceHostName 如果 JSON 結果中存在該值,則傳回該值
深入分析

指令碼執行結果
指令碼結果名稱 價值選項 示例
null 不適用 不適用
JSON 結果
[{
   "EntityResult":
     [{
        "EPOEvents.ThreatCategory": "av.detect",
        "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
        "EPOEvents.TargetPort": "None",
        "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
        "EPOEvents.TargetIPV4": -1979711347,
        "EPOEvents.ThreatName": "EICAR test file",
        "EPOEvents.SourceUserName": "None",
        "EPOEvents.TargetProcessName": "None",
        "EPOEvents.SourceProcessName": "None",
        "EPOEvents.ThreatType": "test",
        "EPOEvents.SourceIPV4": -1979711347,
        "EPOEvents.TargetProtocol": "None",
        "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
        "EPOEvents.SourceURL": "None",
        "EPOEvents.ThreatActionTaken": "deleted",
        "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
        "EPOEvents.ThreatHandled": "True",
        "EPOEvents.SourceHostName": "_"
      }, {
        "EPOEvents.ThreatCategory": "av.detect",
        "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
        "EPOEvents.TargetPort": "None",
        "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
        "EPOEvents.TargetIPV4": -1979711347,
        "EPOEvents.ThreatName": "EICAR test file",
        "EPOEvents.SourceUserName": "None",
        "EPOEvents.TargetProcessName": "None",
        "EPOEvents.SourceProcessName": "None",
        "EPOEvents.ThreatType": "test",
        "EPOEvents.SourceIPV4": -1979711347,
        "EPOEvents.TargetProtocol": "None",
        "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
        "EPOEvents.SourceURL": "None",
        "EPOEvents.ThreatActionTaken": "deleted",
        "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
        "EPOEvents.ThreatHandled": "True",
        "EPOEvents.SourceHostName": "_"
      }],
  "Entity": "44d88612fea8a8f36de82e1278abb02f"
}]

取得主機 IP 狀態

說明

取得主機的 IP 狀態。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_status_received True/False is_status_received:False
JSON 結果
N/A

取得主機網路 IP 狀態

說明

取得主機網路的 IP 狀態。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_status_received True/False is_status_received:False
JSON 結果
N/A

取得主機固態核心狀態

說明

擷取主機的固態核心狀態。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_status_received True/False is_status_received:False
JSON 結果
N/A

取得上次通訊時間

說明

接收主機的最後通訊時間。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
isSuccess True/False isSuccess:False
JSON 結果
N/A

取得 McAfee EPO 代理程式版本

說明

擷取 Trellix ePO 的代理程式版本。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
McAfee Agent 版本 不適用 不適用
JSON 結果
N/A

取得系統資訊

說明

從 Trellix ePO 取得端點的系統資訊。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充
補充資料欄位名稱 邏輯 - 應用時機
FreeDiskSpace 如果 JSON 結果中存在該值,則傳回該值
使用者名稱 如果 JSON 結果中存在該值,則傳回該值
DomainName 如果 JSON 結果中存在該值,則傳回該值
LastAgentHandler 如果 JSON 結果中存在該值,則傳回該值
IPV4x 如果 JSON 結果中存在該值,則傳回該值
OSBitMode 如果 JSON 結果中存在該值,則傳回該值
IPV6 如果 JSON 結果中存在該值,則傳回該值
OSType 如果 JSON 結果中存在該值,則傳回該值
SysvolFreeSpace 如果 JSON 結果中存在該值,則傳回該值
IPHostName 如果 JSON 結果中存在該值,則傳回該值
CPUSerialNum 如果 JSON 結果中存在該值,則傳回該值
IPSubnetMask 如果 JSON 結果中存在該值,則傳回該值
SysvolTotalSpace 如果 JSON 結果中存在該值,則傳回該值
IPSubnet 如果 JSON 結果中存在該值,則傳回該值
說明 如果 JSON 結果中存在該值,則傳回該值
FreeMemory 如果 JSON 結果中存在該值,則傳回該值
CPUSpeed 如果 JSON 結果中存在該值,則傳回該值
SubnetMask 如果 JSON 結果中存在該值,則傳回該值
IPAddress 如果 JSON 結果中存在該值,則傳回該值
DefaultLangID 如果 JSON 結果中存在該值,則傳回該值
OSPlatform 如果 JSON 結果中存在該值,則傳回該值
ComputerName 如果 JSON 結果中存在該值,則傳回該值
OSOEMID 如果 JSON 結果中存在該值,則傳回該值
NetAddress 如果 JSON 結果中存在該值,則傳回該值
TotalDiskSpace 如果 JSON 結果中存在該值,則傳回該值
SubnetAddress 如果 JSON 結果中存在該值,則傳回該值
NumOfCPU 如果 JSON 結果中存在該值,則傳回該值
TimeZone 如果 JSON 結果中存在該值,則傳回該值
SystemDescription 如果 JSON 結果中存在該值,則傳回該值
Vdi 如果 JSON 結果中存在該值,則傳回該值
OSBuildNum 如果 JSON 結果中存在該值,則傳回該值
OSVersion 如果 JSON 結果中存在該值,則傳回該值
IsPortable 如果 JSON 結果中存在該值,則傳回該值
TotalPhysicalMemory 如果 JSON 結果中存在該值,則傳回該值
IPXAddress 如果 JSON 結果中存在該值,則傳回該值
UserProperty7 如果 JSON 結果中存在該值,則傳回該值
UserProperty6 如果 JSON 結果中存在該值,則傳回該值
UserProperty5 如果 JSON 結果中存在該值,則傳回該值
UserProperty4 如果 JSON 結果中存在該值,則傳回該值
UserProperty3 如果 JSON 結果中存在該值,則傳回該值
UserProperty2 如果 JSON 結果中存在該值,則傳回該值
UserProperty1 如果 JSON 結果中存在該值,則傳回該值
ParentID 如果 JSON 結果中存在該值,則傳回該值
CPUType 如果 JSON 結果中存在該值,則傳回該值
UserProperty8 如果 JSON 結果中存在該值,則傳回該值
深入分析

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
[{
   "EntityResult":
      {
        "FreeDiskSpace": "444316",
        "UserName": "Admin",
        "OSServicePackVer": "",
        "DomainName": "WORKGROUP",
        "LastAgentHandler": "1",
        "IPV4x": "-1979711239",
        "OSBitMode": "1",
        "IPV6": "0:0:0:0:0:FFFF:A00:F9",
        "OSType": "Windows Server 2012 R2",
        "SysvolFreeSpace": "94782",
        "IPHostName": "McAfee-ePO",
        "CPUSerialNum": "N/A",
        "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
        "SysvolTotalSpace": "161647",
        "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
        "Description": "None",
        "FreeMemory": "1626767360",
        "CPUSpeed": "2400",
        "SubnetMask": "",
        "IPAddress": "1.1.1.1",
        "DefaultLangID": "0409",
        "OSPlatform": "Server",
        "ComputerName": "MCAFEE-EPO",
        "OSOEMID": "00252-00112-26656-AA653",
        "NetAddress": "005056A56847",
        "TotalDiskSpace": "511646",
        "SubnetAddress": "",
        "NumOfCPU": "4",
        "TimeZone": "Jerusalem Standard Time",
        "SystemDescription": "N/A",
        "Vdi": "0",
        "OSBuildNum": "9600",
        "OSVersion": "6.3",
        "IsPortable": "0",
        "TotalPhysicalMemory": "6441984000",
        "IPXAddress": "N/A",
        "UserProperty7": "",
        "UserProperty6": "",
        "UserProperty5": "",
        "UserProperty4": "",
        "UserProperty3": "",
        "UserProperty2": "",
        "UserProperty1": "",
        "ParentID": "8",
        "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
        "UserProperty8": ""
     },
 "Entity": "1.1.1.1"
}]​​

取得病毒引擎代理程式版本

說明

擷取 Trellix ePO 的引擎版本。

參數

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
病毒引擎代理程式版本 不適用 不適用
JSON 結果
N/A

乒乓

說明

測試連線。

參數

不適用

執行時間

這項操作會對所有實體執行。

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
null 不適用 不適用
JSON 結果
N/A

移除標記

說明

從端點移除標記。

參數

參數 類型 預設值 說明
標記名稱 字串 不適用 要移除的標記名稱。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
N/A

執行完整掃描

說明

在端點上執行完整掃描。

參數

參數 類型 預設值 說明
標記名稱 字串 不適用 要執行的工作名稱。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
RunTask_Status 不適用 不適用
JSON 結果
N/A

更新 McAfee Agent

說明

執行工作來更新 McAfee 代理程式。

參數

參數 類型 預設值 說明
標記名稱 字串 不適用 要執行的工作名稱。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 主機名稱

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 價值選項 示例
Update_Status 不適用 不適用
JSON 結果
N/A

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。