McAfee MVISION ePO
整合版本:6.0
產品用途
端點遭受惡意軟體攻擊
- 惡意軟體攻擊 McAfee ePO 管理網路中的電腦。
- McAfee 產品軟體 (例如 McAfee Endpoint Security) 會清除或刪除惡意軟體檔案。
- McAfee Agent 會將攻擊事件通知 McAfee ePO。
- McAfee ePO 會儲存攻擊資訊。
在 Google Security Operations 中設定 McAfee MVISION ePO 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
整合參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://api.mvision.mcafee.com | 是 | McAfee MVISION ePO API 根層級。 |
| 用戶端 ID | 字串 | 不適用 | 是 | McAfee MVISION ePO 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | McAfee MVISION ePO 帳戶的用戶端密鑰。 |
| 範圍 | 逗號分隔值 | epo.device.r、epo.device.w、epo.grps.r、epo.grps.w、epo.sftw.r、epo.tags.r、epo.tags.w | 是 | McAfee MVISION ePO 帳戶的範圍。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,請確認連線至 McAfee MVISION ePO 公有雲伺服器的 SSL 憑證是否有效。 |
| 群組名稱 | 字串 | 不適用 | 否 | 用於搜尋端點的群組名稱。如果未指定任何項目,系統會使用所有群組。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 McAfee MVISION ePO 的連線。
參數
不適用
應對手冊用途示例
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,可做為手動動作執行,但不會用於應對手冊。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
充實端點
說明
依主機名稱或 IP 位址擷取端點的系統資訊。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| MMV_EPO_id | id | 以 JSON 格式提供時 |
| MMV_EPO_uuid | uuid | 以 JSON 格式提供時 |
| MMV_EPO_lastcommunicated | lastcommunicated | 以 JSON 格式提供時 |
| MMV_EPO_managedState | managedState | 以 JSON 格式提供時 |
| MMV_EPO_ipaddress | properties/ipaddress | 以 JSON 格式提供時 |
| MMV_EPO_osplatform | properties/osplatform | 以 JSON 格式提供時 |
| MMV_EPO_operatingsystem | properties/operatingsystem | 以 JSON 格式提供時 |
| MMV_EPO_hostname | properties/hostname | 以 JSON 格式提供時 |
| MMV_EPO_windowsdomain | properties/windowsdomain | 以 JSON 格式提供時 |
| MMV_EPO_dnsname | properties/dnsname | 以 JSON 格式提供時 |
| MMV_EPO_datversion | properties/datversion | 以 JSON 格式提供時 |
| MMV_EPO_username | properties/username | 以 JSON 格式提供時 |
| MMV_EPO_groups | 以空格分隔的群組/名稱清單 | 以 JSON 格式提供時 |
| MMV_EPO_tags | 以空格分隔的標記/tagName 清單 | 以 JSON 格式提供時 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
新增標記
說明
在 McAfee MVISION ePO 中為端點新增標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記名稱 | 字串 | 不適用 | 是 | 指定要新增至端點的標記。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
移除標記
說明
從 McAfee MVISION ePO 移除端點的標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記名稱 | 字串 | 不適用 | 是 | 指定要從端點移除的標記。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
可列出標記
說明
列出 McAfee MVISION ePO 中可用的標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的標記數量上限 | 整數 | 100 | 否 | 指定要傳回的標籤數量。 |
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
可列出群組
說明
列出 McAfee MVISION ePO 中可用的群組。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的群組數量上限 | 整數 | 100 | 否 | 指定要傳回的群組數量。 |
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
列出群組中的端點
說明
在 McAfee MVISION ePO 中,列出屬於相同群組的端點。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 群組名稱 | 字串 | 不適用 | 是 | 指定要搜尋端點的群組 |
| 要傳回的端點數量上限 | 整數 | 100 | 否 | 指定要傳回的端點數量。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。