McAfee TIE DXL
整合版本:6.0
設定 McAfee TIE DXL 整合功能,以便與 Google Security Operations 搭配使用
產生憑證
首先,您需要建立憑證,讓 Trellix ePO 和 DXL 能夠與 Google SecOps 系統正確通訊。請按照下列操作說明產生憑證,整合功能才能正常運作。
透過 SSH 連入 Google SecOps 伺服器。
發出以下指令:
pip install dxlclient
將目錄變更為 /etc/pki/tls/:
cd /etc/pki/tls/
將使用者切換為指令碼:
su -l scripting
為新憑證建立目錄,然後開啟新目錄:
mkdir tiedxl cd tiedxl
請按照下列操作說明產生憑證:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
將憑證新增至 Trellix ePO
請按照這篇文章的操作說明,將 ca-bundle.crt 檔案新增至 Trellix ePO 執行個體。
詳情請參閱「指令列佈建 (基本)」。其中包含一個指令碼,可建立整合所需的檔案。
此外,如下圖所示,在 Trellix ePO 中,我們可以找到代理程式的位址和通訊埠 (「Server settings」>「DXL Topology」)。在 DXL 憑證分頁中,我們可以管理憑證檔案 (如上述連結所述)。
在 Google SecOps 中設定 McAfee TIE DXL 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
新增標記
說明
為端點新增標記。(僅限系統中已有的標記)。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
標記名稱 | 字串 | 不適用 | 要新增的代碼名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
N/A
比較伺服器和代理程式 DAT
說明
比較伺服器和代理程式 DAT。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
agent_dat_status | 不適用 | 不適用 |
JSON 結果
N/A
取得代理程式資訊
說明
取得 Trellix ePO 端點的相關資訊。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
補充資料欄位名稱 | 邏輯 - 應用時機 |
---|---|
LastUpdate | 如果 JSON 結果中存在該值,則傳回該值 |
ManagedState | 如果 JSON 結果中存在該值,則傳回該值 |
標記 | 如果 JSON 結果中存在該值,則傳回該值 |
ExcludedTags | 如果 JSON 結果中存在該值,則傳回該值 |
AgentVersion | 如果 JSON 結果中存在該值,則傳回該值 |
AgentGUID | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Dat 版本
說明
擷取端點上安裝的 DAT 版本。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
Dat 版本 | 不適用 | 不適用 |
JSON 結果
N/A
取得雜湊的事件
說明
取得 MD5 雜湊的事件詳細資料。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
從 EPExtendedEvent 資料表擷取事件 | 核取方塊 | 不適用 | 是否要從 EPExtendedEvent 資料表擷取事件。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
補充資料欄位名稱 | 邏輯 - 應用時機 |
---|---|
EPOEvents.ThreatCategory | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetUserName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetPort | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetFileName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetIPV4 | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.ThreatName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.SourceUserName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetProcessName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.SourceProcessName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.ThreatType | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.SourceIPV4 | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetProtocol | 如果 JSON 結果中存在該值,則傳回該值 |
VSECustomEvent.MD5 | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.SourceURL | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.ThreatActionTaken | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.TargetHostName | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.ThreatHandled | 如果 JSON 結果中存在該值,則傳回該值 |
EPOEvents.SourceHostName | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
是
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
取得主機 IP 狀態
說明
取得主機的 IP 狀態。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_status_received | True/False | is_status_received:False |
JSON 結果
N/A
取得主機網路 IP 狀態
說明
取得主機網路的 IP 狀態。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_status_received | True/False | is_status_received:False |
JSON 結果
N/A
取得主機固態核心狀態
說明
擷取主機的固態核心狀態。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_status_received | True/False | is_status_received:False |
JSON 結果
N/A
取得上次通訊時間
說明
接收主機的最後通訊時間。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
isSuccess | True/False | isSuccess:False |
JSON 結果
N/A
取得 McAfee EPO 代理程式版本
說明
擷取 Trellix ePO 的代理程式版本。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
McAfee Agent 版本 | 不適用 | 不適用 |
JSON 結果
N/A
取得系統資訊
說明
從 Trellix ePO 取得端點的系統資訊。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
補充資料欄位名稱 | 邏輯 - 應用時機 |
---|---|
FreeDiskSpace | 如果 JSON 結果中存在該值,則傳回該值 |
使用者名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
DomainName | 如果 JSON 結果中存在該值,則傳回該值 |
LastAgentHandler | 如果 JSON 結果中存在該值,則傳回該值 |
IPV4x | 如果 JSON 結果中存在該值,則傳回該值 |
OSBitMode | 如果 JSON 結果中存在該值,則傳回該值 |
IPV6 | 如果 JSON 結果中存在該值,則傳回該值 |
OSType | 如果 JSON 結果中存在該值,則傳回該值 |
SysvolFreeSpace | 如果 JSON 結果中存在該值,則傳回該值 |
IPHostName | 如果 JSON 結果中存在該值,則傳回該值 |
CPUSerialNum | 如果 JSON 結果中存在該值,則傳回該值 |
IPSubnetMask | 如果 JSON 結果中存在該值,則傳回該值 |
SysvolTotalSpace | 如果 JSON 結果中存在該值,則傳回該值 |
IPSubnet | 如果 JSON 結果中存在該值,則傳回該值 |
說明 | 如果 JSON 結果中存在該值,則傳回該值 |
FreeMemory | 如果 JSON 結果中存在該值,則傳回該值 |
CPUSpeed | 如果 JSON 結果中存在該值,則傳回該值 |
SubnetMask | 如果 JSON 結果中存在該值,則傳回該值 |
IPAddress | 如果 JSON 結果中存在該值,則傳回該值 |
DefaultLangID | 如果 JSON 結果中存在該值,則傳回該值 |
OSPlatform | 如果 JSON 結果中存在該值,則傳回該值 |
ComputerName | 如果 JSON 結果中存在該值,則傳回該值 |
OSOEMID | 如果 JSON 結果中存在該值,則傳回該值 |
NetAddress | 如果 JSON 結果中存在該值,則傳回該值 |
TotalDiskSpace | 如果 JSON 結果中存在該值,則傳回該值 |
SubnetAddress | 如果 JSON 結果中存在該值,則傳回該值 |
NumOfCPU | 如果 JSON 結果中存在該值,則傳回該值 |
TimeZone | 如果 JSON 結果中存在該值,則傳回該值 |
SystemDescription | 如果 JSON 結果中存在該值,則傳回該值 |
Vdi | 如果 JSON 結果中存在該值,則傳回該值 |
OSBuildNum | 如果 JSON 結果中存在該值,則傳回該值 |
OSVersion | 如果 JSON 結果中存在該值,則傳回該值 |
IsPortable | 如果 JSON 結果中存在該值,則傳回該值 |
TotalPhysicalMemory | 如果 JSON 結果中存在該值,則傳回該值 |
IPXAddress | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty7 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty6 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty5 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty4 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty3 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty2 | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty1 | 如果 JSON 結果中存在該值,則傳回該值 |
ParentID | 如果 JSON 結果中存在該值,則傳回該值 |
CPUType | 如果 JSON 結果中存在該值,則傳回該值 |
UserProperty8 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
是
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
取得病毒引擎代理程式版本
說明
擷取 Trellix ePO 的引擎版本。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
病毒引擎代理程式版本 | 不適用 | 不適用 |
JSON 結果
N/A
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
null | 不適用 | 不適用 |
JSON 結果
N/A
移除標記
說明
從端點移除標記。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
標記名稱 | 字串 | 不適用 | 要移除的標記名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
N/A
執行完整掃描
說明
在端點上執行完整掃描。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
標記名稱 | 字串 | 不適用 | 要執行的工作名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
RunTask_Status | 不適用 | 不適用 |
JSON 結果
N/A
更新 McAfee Agent
說明
執行工作來更新 McAfee 代理程式。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
標記名稱 | 字串 | 不適用 | 要執行的工作名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
Update_Status | 不適用 | 不適用 |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。