McAfee MVISION ePO
Versione integrazione: 6.0
Casi d'uso del prodotto
Attacco malware a un endpoint
- Il malware attacca un computer nella rete gestita da McAfee ePO.
- Il software del prodotto McAfee, ad esempio McAfee Endpoint Security, pulisce o elimina il file malware.
- McAfee Agent notifica l'attacco a McAfee ePO.
- McAfee ePO memorizza le informazioni sull'attacco.
Configurare l'integrazione di McAfee MVISION ePO in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
Parametri di integrazione
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://api.mvision.mcafee.com | Sì | Root dell'API McAfee MVISION ePO. |
| ID client | Stringa | N/D | Sì | ID client dell'account McAfee MVISION ePO. |
| Client secret | Password | N/D | Sì | Client secret dell'account McAfee MVISION ePO. |
| Ambiti | Valori separati da virgola | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | Sì | Ambiti dell'account McAfee MVISION ePO. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server cloud pubblico McAfee MVISION ePO sia valido. |
| Nome gruppo | Stringa | N/D | No | Nome del gruppo che verrà utilizzato per cercare gli endpoint. Se non è specificato nulla. Verranno utilizzati tutti i gruppi. |
Azioni
Dindin
Descrizione
Verifica la connettività a McAfee MVISION ePO con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Esempi di casi d'uso del playbook
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Endpoint Enrich
Descrizione
Recupera le informazioni di sistema dell'endpoint in base al nome host o all'indirizzo IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| MMV_EPO_id | id | Quando disponibile in formato JSON |
| MMV_EPO_uuid | uuid | Quando disponibile in formato JSON |
| MMV_EPO_lastcommunicated | lastcommunicated | Quando disponibile in formato JSON |
| MMV_EPO_managedState | managedState | Quando disponibile in formato JSON |
| MMV_EPO_ipaddress | properties/ipaddress | Quando disponibile in formato JSON |
| MMV_EPO_osplatform | properties/osplatform | Quando disponibile in formato JSON |
| MMV_EPO_operatingsystem | properties/operatingsystem | Quando disponibile in formato JSON |
| MMV_EPO_hostname | properties/hostname | Quando disponibile in formato JSON |
| MMV_EPO_windowsdomain | properties/windowsdomain | Quando disponibile in formato JSON |
| MMV_EPO_dnsname | properties/dnsname | Quando disponibile in formato JSON |
| MMV_EPO_datversion | properties/datversion | Quando disponibile in formato JSON |
| MMV_EPO_username | properties/username | Quando disponibile in formato JSON |
| MMV_EPO_groups | Elenco separato da spazi di gruppi/nomi | Quando disponibile in formato JSON |
| MMV_EPO_tags | elenco di tag/tagName separati da spazi | Quando disponibile in formato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Aggiungi etichetta
Descrizione
Aggiungi il tag all'endpoint in McAfee MVISION ePO.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome tag | Stringa | N/D | Vero | Specifica il tag da aggiungere all'endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Rimuovi tag
Descrizione
Rimuovi il tag dall'endpoint in McAfee MVISION ePO.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome tag | Stringa | N/D | Vero | Specifica il tag da rimuovere dall'endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Elenco tag
Descrizione
Elenca i tag disponibili in McAfee MVISION ePO.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero massimo di tag da restituire | Numero intero | 100 | Falso | Specifica il numero di tag da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
Elenco gruppi
Descrizione
Elenca i gruppi disponibili in McAfee MVISION ePO.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero massimo di gruppi da restituire | Numero intero | 100 | Falso | Specifica il numero di gruppi da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
Elenca endpoint nel gruppo
Descrizione
Elenca gli endpoint che si trovano nello stesso gruppo in McAfee MVISION ePO.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome gruppo | Stringa | N/D | Vero | Specifica in quali gruppi cercare gli endpoint |
| Numero massimo di endpoint da restituire | Numero intero | 100 | Falso | Specifica il numero di endpoint da restituire. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.