McAfee MVISION EDR
統合バージョン: 6.0
Chronicle SOAR で McAfee MVISION EDR 統合を構成する
Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
API ルート | 文字列 | https://<address>:<port> | ○ | Trellix EDR API ルート。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
ユーザー名 | 文字列 | なし | ○ | Trellix EDR アカウントのユーザー名。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
パスワード | パスワード | なし | ○ | Trellix EDR アカウントのパスワード。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
クライアント ID | 文字列 | なし | いいえ | Trellix EDR アカウントのクライアント ID。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
クライアント シークレット | パスワード | なし | いいえ | Trellix EDR アカウントのクライアント シークレット。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
SSL を確認 | チェックボックス | オン | ○ | 有効になっている場合は、Trellix EDR パブリック クラウド サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
クライアント ID とクライアント シークレットの生成方法
クライアント ID とクライアント シークレットを生成する方法の詳細については、McAfee MVISION EDR 統合のドキュメントをご覧ください。
ユースケース
- Trellix EDR の脅威と検出を取り込み、それらを使用して Chronicle SOAR のアラートを作成します。次に、Chronicle SOAR でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
- 拡充アクションを実行する - Trellix EDR からデータを取得し、Chronicle SOAR アラートでデータを拡充します。
- アクティブなアクションを実行する - Trellix EDR エージェントを使用してホストを Chronicle SOAR から隔離します。
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで指定されたパラメータを使用して、Trellix EDR への接続をテストします。
パラメータ
なし
ユースケース
このアクションは、[Chronicle Marketplace] タブの統合構成ページで接続をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対して実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
エンドポイントを拡充する
説明
ホスト名または IP アドレスによって、エンドポイントのシステム情報を取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
エンティティ拡充
拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
---|---|---|
MMV_EDR_maGuid | hosts / maGuid | JSON で使用できる場合 |
MMV_EDR_hostname | ホスト / ホスト名 | JSON で使用できる場合 |
MMV_EDR_OS | hosts / os / desc | JSON で使用できる場合 |
MMV_EDR_lastBootTime | hosts / lastBootTime | JSON で使用できる場合 |
MMV_EDR_certainty | hosts / certainty | JSON で使用できる場合 |
MMV_EDR_ips | スペースで区切られた結果 / net_interfaces / ip | JSON で使用できる場合 |
分析情報
なし
エンドポイントを隔離する
説明
Chronicle SOAR の IP アドレスまたは Hostname エンティティに基づいて、Trellix EDR サーバーに隔離エンドポイント タスクを作成します。
Trellix の既知の問題
リファレンス: Trellix EDR の既知の問題
VPN に接続されているエンドポイントを隔離すると、そのエンドポイントにアクセスできなくなります。[End the Quarantine] にリアクションを送信できません。
回避策:
- エンドポイントへの物理的アクセス権を取得します。
- 追加プログラムと削除プログラムから EDR クライアントをアンインストールします。
- EDR クライアントを再インストールします。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
エンドポイントの検疫解除
説明
Chronicle SOAR IP アドレスまたは Hostname エンティティに基づいて、McAfee MVISION EDR サーバーにエンドポイント隔離解除タスクを作成します。
Trellix の既知の問題
リファレンス: Trellix EDR の既知の問題
VPN に接続されているエンドポイントを隔離すると、そのエンドポイントにアクセスできなくなります。[End the Quarantine] にリアクションを送信できません。
回避策:
- エンドポイントへの物理的アクセス権を取得します。
- 追加プログラムと削除プログラムから EDR クライアントをアンインストールします。
- EDR クライアントを再インストールします。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ファイルを削除
説明
エンドポイントからファイルを削除します。
アクション実行に関する既知の問題
McAfee がファイルを削除できない場合でも、アクションが正常に実行されたと WebUI に表示される場合があります。次の問題は、エージェントの権限に関連する可能性があります。エージェントに必要な権限があることを確認してから、もう一度お試しください。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
ファイルのフルパス | 文字列 | なし | ○ | 削除するファイルのフルパスを指定します。 |
安全な削除 | チェックボックス | オフ | ○ | 有効にした場合、重要なファイルや信頼できるファイルは無視されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
コンテンツを停止して削除する
説明
PID(Python や Bash など)でインタープリタ プロセスを停止し、McAfee MVISION EDR のフルパスで関連するスクリプトを削除します。
アクション実行に関する既知の問題
McAfee によって関連ファイルが削除または消去されない場合でも、アクションが正常に実行されたと WebUI に表示される場合があります。次の問題は、エージェントの権限に関連する可能性があります。エージェントに必要な権限があることを確認してから、もう一度お試しください。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
PID | 整数 | なし | ○ | インタープリタの PID を指定します。 |
ファイルのフルパス | 文字列 | なし | ○ | 削除するファイルのフルパスを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
プロセスを終了
説明
実行中のプロセスを停止してそのファイルを削除します。プロセスが実行されていない場合、そのファイルはマネージド エンドポイントから削除されるだけです。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
プロセス ID のタイプ | DDL | PID 有効な値:
|
○ | 使用するプロセス識別子のタイプを指定します。 |
プロセス ID | 文字列 | なし | ○ | プロセス ID の値を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
脅威を解消する
説明
Trellix EDR で脅威を解消します。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
脅威 ID | 文字列 | なし | ○ | 解消する脅威の ID を指定します。 |
実行
このアクションはエンティティに対して実行されません。
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
コネクタ
McAfee MVISION EDR - Threats Connector
説明
Trellix EDR 脅威は、将来的に新しい検出機能で更新される可能性があります。現時点では、新しい検出を処理するにはその脅威を解消する必要があります。このようにして、Trellix EDR が新しい脅威を作成し、その新しい検出とともに Chronicle SOAR に取り込まれます。それ以外の場合、脅威の取り込み後に追加された新しい検出は、Chronicle SOAR 内で使用できません。
McAfee MVISION EDR を構成する - Chronicle SOAR の Threats Connector
Chronicle SOAR でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
イベント フィールド名 | 文字列 | eventType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
環境フィールド名 |
文字列 | "" | いいえ | 環境名が格納されるフィールドの名前を記述します。 環境フィールドがない場合、その環境はデフォルトの環境です。 |
環境の正規表現パターン |
文字列 | .* | いいえ | [Environment Field Name] フィールドの値に対して実行する正規表現パターンです。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
スクリプトのタイムアウト(秒) | 整数 | 180 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
API ルート | 文字列 | https://x.x.x.x | ○ | Trellix EDR サーバーの API ルート。 |
ユーザー名 | 文字列 | なし | ○ | Trellix EDR アカウントのユーザー名。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
パスワード | パスワード | なし | ○ | Trellix EDR アカウントのパスワード。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
クライアント ID | 文字列 | なし | いいえ | Trellix EDR アカウントのクライアント ID。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
クライアント シークレット | パスワード | なし | いいえ | Trellix EDR アカウントのクライアント シークレット。 注: クライアント ID とクライアント シークレットのパラメータ、またはユーザー名とパスワードのパラメータのいずれかを指定します。両方のパラメータが指定されている場合、統合では認証にクライアント ID パラメータとクライアント シークレット パラメータが使用されます。 |
Lowest Severity To Fetch | 文字列 | 中 | ○ | 脅威の取得に使用される最も低い重大度。 指定可能な値: 中 高 重大 |
Fetch Max Hours Backwards | 整数 | 1 | いいえ | どの時点から脅威を取得するかの時間数。 |
Max Threats To Fetch | 整数 | 25 | いいえ | 1 回のコネクタのイテレーションで処理する脅威の数。 |
許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
SSL を確認 | チェックボックス | オン | ○ | 有効になっている場合は、Trellix EDR パブリック クラウド サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
プロキシ サーバー アドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシ ユーザー名。 |
プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。