McAfee TIE DXL
Versión de integración: 6.0
Configurar la integración de McAfee TIE DXL para que funcione con Google Security Operations
Generar certificados
Para empezar, deberá crear certificados para que Trellix ePO y DXL puedan comunicarse correctamente con el sistema de Google SecOps. Sigue las instrucciones que se indican a continuación para generar el certificado que necesitas para que esta integración funcione correctamente.
Conéctate por SSH a tu servidor de Google SecOps.
Ejecuta el siguiente comando:
pip install dxlclientCambia el directorio a /etc/pki/tls/:
cd /etc/pki/tls/Cambia el usuario a secuencias de comandos:
su -l scriptingCrea un directorio para los nuevos certificados y ábrelo:
mkdir tiedxl cd tiedxl
Sigue las instrucciones que se indican aquí para generar tus certificados:
- https://opendxl.github.io/opendxl-client
- python/pydoc/basiccliprovisioning.html#basiccliprovisioning
Añadir certificados a Trellix ePO
Sigue las instrucciones de Importación de la autoridad de certificación (CA) de ePO para añadir el archivo ca-bundle.crt a tu instancia de Trellix ePO.
Para obtener más información, consulta Aprovisionamiento mediante línea de comandos (básico). Contiene una secuencia de comandos que crea los archivos necesarios para las integraciones.
Además, como se ve en la imagen de abajo, en Trellix ePO podemos encontrar la dirección del broker y su puerto (Configuración del servidor > Topología de DXL). En las pestañas Certificados DXL, podemos gestionar los archivos de certificado (como se explica en los enlaces anteriores).
Configurar la integración de McAfee TIE DXL en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Añadir etiqueta
Descripción
Añade una etiqueta a un endpoint. Solo se muestran las etiquetas que existen en el sistema.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Nombre de la etiqueta que se va a añadir. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Comparar DAT de servidor y de agente
Descripción
Comparar un archivo DAT de servidor y de agente.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| agent_dat_status | N/A | N/A |
Resultado de JSON
N/A
Obtener información del agente
Descripción
Obtiene información sobre un endpoint de Trellix ePO.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| LastUpdate | Devuelve si existe en el resultado JSON. |
| ManagedState | Devuelve si existe en el resultado JSON. |
| Etiquetas | Devuelve si existe en el resultado JSON. |
| ExcludedTags | Devuelve si existe en el resultado JSON. |
| AgentVersion | Devuelve si existe en el resultado JSON. |
| AgentGUID | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}]
Versión de Dat
Descripción
Recupera la versión de DAT que está instalada en un endpoint.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión de Dat | N/A | N/A |
Resultado de JSON
N/A
Get Events for Hash
Descripción
Obtiene los detalles del evento del hash MD5.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Fetch Events From EPExtendedEvent Table | Casilla | N/A | Indica si se deben obtener eventos de la tabla EPExtendedEvent. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| EPOEvents.ThreatCategory | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetUserName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetPort | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetFileName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetIPV4 | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatName | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceUserName | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetProcessName | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceProcessName | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatType | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceIPV4 | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetProtocol | Devuelve si existe en el resultado JSON. |
| VSECustomEvent.MD5 | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceURL | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatActionTaken | Devuelve si existe en el resultado JSON. |
| EPOEvents.TargetHostName | Devuelve si existe en el resultado JSON. |
| EPOEvents.ThreatHandled | Devuelve si existe en el resultado JSON. |
| EPOEvents.SourceHostName | Devuelve si existe en el resultado JSON. |
Estadísticas
Sí
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]
Obtener el estado de las IPs del host
Descripción
Obtiene el estado de una IP del host.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Obtener el estado de las IPs de red del host
Descripción
Obtiene el estado de una IP de la red del host.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Get Host Solid Core Status
Descripción
Recupera el estado del núcleo sólido en relación con el host.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
N/A
Obtener la hora de la última comunicación
Descripción
Recibe la hora de la última comunicación del anfitrión.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| isSuccess | Verdadero/Falso | isSuccess:False |
Resultado de JSON
N/A
Obtener la versión del agente de McAfee ePO
Descripción
Recupera la versión del agente de Trellix ePO.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión del agente de McAfee | N/A | N/A |
Resultado de JSON
N/A
Obtener información del sistema
Descripción
Obtener información del sistema de un endpoint desde Trellix ePO.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| FreeDiskSpace | Devuelve si existe en el resultado JSON. |
| Nombre de usuario | Devuelve si existe en el resultado JSON. |
| DomainName | Devuelve si existe en el resultado JSON. |
| LastAgentHandler | Devuelve si existe en el resultado JSON. |
| IPV4x | Devuelve si existe en el resultado JSON. |
| OSBitMode | Devuelve si existe en el resultado JSON. |
| IPV6 | Devuelve si existe en el resultado JSON. |
| OSType | Devuelve si existe en el resultado JSON. |
| SysvolFreeSpace | Devuelve si existe en el resultado JSON. |
| IPHostName | Devuelve si existe en el resultado JSON. |
| CPUSerialNum | Devuelve si existe en el resultado JSON. |
| IPSubnetMask | Devuelve si existe en el resultado JSON. |
| SysvolTotalSpace | Devuelve si existe en el resultado JSON. |
| IPSubnet | Devuelve si existe en el resultado JSON. |
| Descripción | Devuelve si existe en el resultado JSON. |
| FreeMemory | Devuelve si existe en el resultado JSON. |
| CPUSpeed | Devuelve si existe en el resultado JSON. |
| SubnetMask | Devuelve si existe en el resultado JSON. |
| IPAddress | Devuelve si existe en el resultado JSON. |
| DefaultLangID | Devuelve si existe en el resultado JSON. |
| OSPlatform | Devuelve si existe en el resultado JSON. |
| ComputerName | Devuelve si existe en el resultado JSON. |
| OSOEMID | Devuelve si existe en el resultado JSON. |
| NetAddress | Devuelve si existe en el resultado JSON. |
| TotalDiskSpace | Devuelve si existe en el resultado JSON. |
| SubnetAddress | Devuelve si existe en el resultado JSON. |
| NumOfCPU | Devuelve si existe en el resultado JSON. |
| TimeZone | Devuelve si existe en el resultado JSON. |
| SystemDescription | Devuelve si existe en el resultado JSON. |
| Vdi | Devuelve si existe en el resultado JSON. |
| OSBuildNum | Devuelve si existe en el resultado JSON. |
| OSVersion | Devuelve si existe en el resultado JSON. |
| IsPortable | Devuelve si existe en el resultado JSON. |
| TotalPhysicalMemory | Devuelve si existe en el resultado JSON. |
| IPXAddress | Devuelve si existe en el resultado JSON. |
| UserProperty7 | Devuelve si existe en el resultado JSON. |
| UserProperty6 | Devuelve si existe en el resultado JSON. |
| UserProperty5 | Devuelve si existe en el resultado JSON. |
| UserProperty4 | Devuelve si existe en el resultado JSON. |
| UserProperty3 | Devuelve si existe en el resultado JSON. |
| UserProperty2 | Devuelve si existe en el resultado JSON. |
| UserProperty1 | Devuelve si existe en el resultado JSON. |
| ParentID | Devuelve si existe en el resultado JSON. |
| CPUType | Devuelve si existe en el resultado JSON. |
| UserProperty8 | Devuelve si existe en el resultado JSON. |
Estadísticas
SÍ
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": "",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": "",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": "",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": "",
"UserProperty6": "",
"UserProperty5": "",
"UserProperty4": "",
"UserProperty3": "",
"UserProperty2": "",
"UserProperty1": "",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": ""
},
"Entity": "1.1.1.1"
}]
Get Virus Engine Agent Version
Descripción
Recupera la versión del motor de Trellix ePO.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Versión del agente del motor antivirus | N/A | N/A |
Resultado de JSON
N/A
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
N/A
Quitar etiqueta
Descripción
Quita una etiqueta del endpoint.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Nombre de la etiqueta que se va a eliminar. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Ejecutar análisis completo
Descripción
Ejecuta un análisis completo en un endpoint.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Nombre de la tarea que se va a ejecutar. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| RunTask_Status | N/A | N/A |
Resultado de JSON
N/A
Actualizar el agente de McAfee
Descripción
Ejecuta una tarea para actualizar el agente de McAfee.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la etiqueta | Cadena | N/A | Nombre de la tarea que se va a ejecutar. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| Update_Status | N/A | N/A |
Resultado de JSON
N/A
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.