McAfee NSM

통합 버전: 6.0

개요

Google Security Operations에서 McAfee NSM 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 유형 기본값 필수 항목 Description(설명)
API 루트 문자열 https://x.x.x.x/sdkapi/
사용자 이름 문자열 해당 사항 없음
비밀번호 비밀번호 해당 사항 없음
도메인 ID 문자열 해당 사항 없음
Siemplify 정책 이름 문자열 해당 사항 없음
센서 이름 목록(쉼표로 구분) 문자열 sensor_name1,sensor_name2,sensor_name3

작업

IP 차단

설명

IP 주소를 차단합니다.

매개변수

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

알림 정보 데이터 가져오기

설명

ID로 알림 데이터를 가져옵니다.

매개변수

매개변수 유형 기본값 필수 항목 설명
알림 ID 문자열 https://x.x.x.x/sdkapi/ 해당 사항 없음
센서 이름 문자열 해당 사항 없음 해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
alert_json 해당 사항 없음 해당 사항 없음
JSON 결과
{
    "name": "MALWARE: Blacklisted File Detected",
    "assignTo": "---",
    "description": {
        "definition": "A McAfee-maintained blacklist that is dynamically updated with Callback Detectors updates.",
        "signatures": [{
            "conditions": "null"
        }],
        "componentAttacks": "null",
        "target": "ServerOrClient",
        "reference": {
            "cveId": "[]",
            "certId": "null",
            "bugtraqId": "[]",
            "nspId": "0x4840c300",
            "microsoftId": "[]",
            "additionInfo": "null",
            "arachNidsId": "[]"
        },
        "protocals": "[smtp, ftp, http]",
        "comments": {
            "availableToChildDomains": "true",
            "parentDomainComments": "null",
            "comments": " "
        },
        "rfSB": "No",
        "attackCategory": "Malware",
        "attackSubCategory": "---",
        "protectionCategory": "[Malware/Bot]",
        "httpResponseAttack": "No",
        "btf": "Medium"
    },
    "summary": {
        "destination": "null",
        "zoombie": "null",
        "target": {
            "ipAddrs": "1.1.1.1",
            "risk": "N/A",
            "country": "India",
            "networkObject": "---",
            "hostName": "null",
            "vmName": "null",
            "proxyIP": "1.1.1.1",
            "user": "Unknown",
            "os": "---",
            "port": 41128
        },
        "attacker": {
            "ipAddrs": "1.1.1.1",
            "risk": "N/A",
            "country": "India",
            "networkObject": "---",
            "hostName": "null",
            "vmName": "null",
            "proxyIP": "1.1.1.1",
            "user": "Unknown",
            "os": "---",
            "port": 80
        },
        "cAndcServer": "null",
        "source": "null",
        "compromisedEndpoint": "null",
        "attackedHIPEndpoint": {
            "ipAddrs": "1.1.1.1",
            "risk": "N/A",
            "country": "India",
            "networkObject": "---",
            "hostName": "null",
            "vmName": "null",
            "proxyIP": "1.1.1.1",
            "user": "Unknown",
            "os": "---",
            "port": 41128
        },
        "fastFluxAgent": "null",
        "event": {
            "domain": "My Company",
            "protocol": "http",
            "zone": "null",
            "alertId": "2246015847757997493",
            "attackCount": 1,
            "vlan": "-11",
            "direction": "Inbound",
            "detection": "Signature",
            "application": "HTTP",
            "device": "NS9100-50",
            "result": "Inconclusive",
            "time": "Jan 04, 2016 09:50:39",
            "relevance": "Unknown",
            "matchedPolicy": "CustomFP_Engine_With_AlertOnly",
            "interface": "G3/1-G3/2"
        }},
    "details": {
        "malwareFile": {
            "engine": "Manager Blacklist",
            "fileHash": "3f3f7c3b9722912ddeddf006cff9d9d0",
            "malwareConfidence": "Very High",
            "malwareName": "null",
            "fileName": "/Firewall.cpl",
            "size": "6144 bytes"
        },
        "exceededThreshold": "null",
        "callbackDetectors": "null",
        "layer7": {
            "httpReturnCode": 200,
            "httpURI": "/Firewall.cpl",
            "httpRequestMethod": "GET",
            "httpServerType": "Apache/2.2.13 (Fedora) Last - Modified: Wed, 10 Oct 2012 05: 19: 15 GMT",
            "httpHostHeader": "null",
            "httpUserAgent": "Wget/1.11.4 (Red Hat modified)"
        },
        "portScan": "null",
        "sqlInjection": "null",
        "triggeredComponentAttacks": "null",
        "hostSweep": "null",
        "matchedSignature": "null",
        "communicationRuleMatch": "null",
        "fastFlux": "null"
    },
    "alertState": "UnAcknowledged",
    "uniqueAlertId": "6245941293374080682"
}

IP 차단 여부

설명

IP 주소가 차단되었는지 확인합니다.

매개변수

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

IP 격리

설명

특정 IP 주소를 스팸으로 격리합니다.

매개변수

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

IP 차단 해제

설명

특정 IP 주소 차단 해제

매개변수

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
[{
   "EntityResult":
     [{
        "EPOEvents.ThreatCategory": "av.detect",
        "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
        "EPOEvents.TargetPort": "None",
        "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
        "EPOEvents.TargetIPV4": -1979711347,
        "EPOEvents.ThreatName": "EICAR test file",
        "EPOEvents.SourceUserName": "None",
        "EPOEvents.TargetProcessName": "None",
        "EPOEvents.SourceProcessName": "None",
        "EPOEvents.ThreatType": "test",
        "EPOEvents.SourceIPV4": -1979711347,
        "EPOEvents.TargetProtocol": "None",
        "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
        "EPOEvents.SourceURL": "None",
        "EPOEvents.ThreatActionTaken": "deleted",
        "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
        "EPOEvents.ThreatHandled": "True",
        "EPOEvents.SourceHostName": "_"
      }, {
        "EPOEvents.ThreatCategory": "av.detect",
        "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
        "EPOEvents.TargetPort": "None",
        "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
        "EPOEvents.TargetIPV4": -1979711347,
        "EPOEvents.ThreatName": "EICAR test file",
        "EPOEvents.SourceUserName": "None",
        "EPOEvents.TargetProcessName": "None",
        "EPOEvents.SourceProcessName": "None",
        "EPOEvents.ThreatType": "test",
        "EPOEvents.SourceIPV4": -1979711347,
        "EPOEvents.TargetProtocol": "None",
        "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
        "EPOEvents.SourceURL": "None",
        "EPOEvents.ThreatActionTaken": "deleted",
        "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
        "EPOEvents.ThreatHandled": "True",
        "EPOEvents.SourceHostName": "_"
      }],
  "Entity": "44d88612fea8a8f36de82e1278abb02f"
}]

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.