McAfee MVISION ePO
統合バージョン: 6.0
プロダクトのユースケース
エンドポイントに対するマルウェア攻撃
- マルウェアが McAfee ePO 管理ネットワーク内のコンピュータを攻撃します。
- McAfee 製品ソフトウェア(McAfee Endpoint Security など)がマルウェア ファイルをクリーンアップまたは削除します。
- McAfee Agent が McAfee ePO に攻撃を通知します。
- McAfee ePO は攻撃情報を保存します。
Google Security Operations で McAfee MVISION ePO の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
統合パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://api.mvision.mcafee.com | はい | McAfee MVISION ePO API ルート。 |
| クライアント ID | 文字列 | なし | はい | McAfee MVISION ePO アカウントのクライアント ID。 |
| クライアント シークレット | パスワード | なし | はい | McAfee MVISION ePO アカウントのクライアント シークレット。 |
| スコープ | カンマ区切り値 | epo.device.r、epo.device.w、epo.grps.r、epo.grps.w、epo.sftw.r、epo.tags.r、epo.tags.w | はい | McAfee MVISION ePO アカウントのスコープ。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、McAfee MVISION ePO パブリック クラウド サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| グループ名 | 文字列 | なし | いいえ | エンドポイントの検索に使用されるグループ名。何も指定されていない場合。すべてのグループが使用されます。 |
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されたパラメータを使用して、McAfee MVISION ePO への接続をテストします。
パラメータ
なし
プレイブックのユースケースの例
このアクションは、[Google Security Operations Marketplace] タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンドポイントを拡充する
説明
ホスト名または IP アドレスでエンドポイントのシステム情報を取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| MMV_EPO_id | id | JSON で利用可能な場合 |
| MMV_EPO_uuid | uuid | JSON で利用可能な場合 |
| MMV_EPO_lastcommunicated | lastcommunicated | JSON で利用可能な場合 |
| MMV_EPO_managedState | managedState | JSON で利用可能な場合 |
| MMV_EPO_ipaddress | properties/ipaddress | JSON で利用可能な場合 |
| MMV_EPO_osplatform | properties/osplatform | JSON で利用可能な場合 |
| MMV_EPO_operatingsystem | properties/operatingsystem | JSON で利用可能な場合 |
| MMV_EPO_hostname | properties/hostname | JSON で利用可能な場合 |
| MMV_EPO_windowsdomain | properties/windowsdomain | JSON で利用可能な場合 |
| MMV_EPO_dnsname | properties/dnsname | JSON で利用可能な場合 |
| MMV_EPO_datversion | properties/datversion | JSON で利用可能な場合 |
| MMV_EPO_username | properties/username | JSON で利用可能な場合 |
| MMV_EPO_groups | グループ/名前のスペース区切りリスト | JSON で利用可能な場合 |
| MMV_EPO_tags | スペース区切りのタグ/タグ名のリスト | JSON で利用可能な場合 |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
タグを追加
説明
McAfee MVISION ePO でエンドポイントにタグを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ名 | 文字列 | なし | 正しい | エンドポイントに追加するタグを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
タグの削除
説明
McAfee MVISION ePO でエンドポイントからタグを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ名 | 文字列 | なし | 正しい | エンドポイントから削除するタグを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
タグの一覧表示
説明
McAfee MVISION ePO で使用可能なタグを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるタグの最大数 | Integer | 100 | 誤り | 返すタグの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
グループの一覧表示
説明
McAfee MVISION ePO で使用可能なグループを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるグループの最大数 | Integer | 100 | 誤り | 返すグループの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
グループ内のエンドポイントを一覧表示する
説明
McAfee MVISION ePO で同じグループに属するエンドポイントを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| グループ名 | 文字列 | なし | 正しい | エンドポイントを検索するグループを指定する |
| 返される最大エンドポイント数 | Integer | 100 | 誤り | 返すエンドポイントの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。