McAfee NSM
Versión de integración: 6.0
Información general
Configurar la integración de McAfee NSM en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://x.x.x.x/sdkapi/ | Verdadero | |
| Nombre de usuario | Cadena | N/A | Verdadero | |
| Contraseña | Contraseña | N/A | Verdadero | |
| ID de dominio | Cadena | N/A | Verdadero | |
| Nombre de la política de Siemplify | Cadena | N/A | Verdadero | |
| Lista de nombres de sensores separados por comas | Cadena | sensor_name1,sensor_name2,sensor_name3 | Verdadero |
Acciones
Bloquear IP
Descripción
Bloquear dirección IP.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Get Alert Info Data
Descripción
Obtener datos de alertas por ID.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | https://x.x.x.x/sdkapi/ | Verdadero | N/A |
| Nombre del sensor | Cadena | N/A | Verdadero | N/A |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| alert_json | N/A | N/A |
Resultado de JSON
{
"name": "MALWARE: Blacklisted File Detected",
"assignTo": "---",
"description": {
"definition": "A McAfee-maintained blacklist that is dynamically updated with Callback Detectors updates.",
"signatures": [{
"conditions": "null"
}],
"componentAttacks": "null",
"target": "ServerOrClient",
"reference": {
"cveId": "[]",
"certId": "null",
"bugtraqId": "[]",
"nspId": "0x4840c300",
"microsoftId": "[]",
"additionInfo": "null",
"arachNidsId": "[]"
},
"protocals": "[smtp, ftp, http]",
"comments": {
"availableToChildDomains": "true",
"parentDomainComments": "null",
"comments": " "
},
"rfSB": "No",
"attackCategory": "Malware",
"attackSubCategory": "---",
"protectionCategory": "[Malware/Bot]",
"httpResponseAttack": "No",
"btf": "Medium"
},
"summary": {
"destination": "null",
"zoombie": "null",
"target": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 41128
},
"attacker": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 80
},
"cAndcServer": "null",
"source": "null",
"compromisedEndpoint": "null",
"attackedHIPEndpoint": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 41128
},
"fastFluxAgent": "null",
"event": {
"domain": "My Company",
"protocol": "http",
"zone": "null",
"alertId": "2246015847757997493",
"attackCount": 1,
"vlan": "-11",
"direction": "Inbound",
"detection": "Signature",
"application": "HTTP",
"device": "NS9100-50",
"result": "Inconclusive",
"time": "Jan 04, 2016 09:50:39",
"relevance": "Unknown",
"matchedPolicy": "CustomFP_Engine_With_AlertOnly",
"interface": "G3/1-G3/2"
}},
"details": {
"malwareFile": {
"engine": "Manager Blacklist",
"fileHash": "3f3f7c3b9722912ddeddf006cff9d9d0",
"malwareConfidence": "Very High",
"malwareName": "null",
"fileName": "/Firewall.cpl",
"size": "6144 bytes"
},
"exceededThreshold": "null",
"callbackDetectors": "null",
"layer7": {
"httpReturnCode": 200,
"httpURI": "/Firewall.cpl",
"httpRequestMethod": "GET",
"httpServerType": "Apache/2.2.13 (Fedora) Last - Modified: Wed, 10 Oct 2012 05: 19: 15 GMT",
"httpHostHeader": "null",
"httpUserAgent": "Wget/1.11.4 (Red Hat modified)"
},
"portScan": "null",
"sqlInjection": "null",
"triggeredComponentAttacks": "null",
"hostSweep": "null",
"matchedSignature": "null",
"communicationRuleMatch": "null",
"fastFlux": "null"
},
"alertState": "UnAcknowledged",
"uniqueAlertId": "6245941293374080682"
}
Is IP Blocked
Descripción
Comprueba si una dirección IP está bloqueada.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Poner en cuarentena la IP
Descripción
Poner en cuarentena una dirección IP concreta.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Desbloquear IP
Descripción
Desbloquear una dirección IP concreta.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.