McAfee MVISION ePO
통합 버전: 3.0
제품 사용 사례
엔드포인트에 대한 멀웨어 공격
- 멀웨어가 McAfee ePO 관리형 네트워크의 컴퓨터를 공격합니다.
- 예를 들어 McAfee Endpoint Security와 같은 McAfee 제품 소프트웨어는 멀웨어 파일을 정리하거나 삭제합니다.
- McAfee Agent가 McAfee ePO에 공격을 알립니다.
- McAfee ePO가 공격 정보를 저장합니다.
Chronicle SOAR에서 McAfee MVISION ePO 통합 구성
Chronicle SOAR에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참조하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
통합 매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://api.mvision.mcafee.com | 예 | McAfee MVISION ePO API 루트입니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | McAfee MVISION ePO 계정의 클라이언트 ID입니다. |
| 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | McAfee MVISION ePO 계정의 클라이언트 보안 비밀번호입니다. |
| 범위 | 쉼표로 구분된 값 | epo.device.r, epo.device.w,epo.grps.r, epo.grps.w, epo.sftw.r, epo.tags.r, epo.tags.w | 예 | McAfee MVISION ePO 계정의 범위입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정되면 McAfee MVISION ePO 퍼블릭 클라우드 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. |
| 그룹 이름 | 문자열 | 해당 사항 없음 | 아니요 | 엔드포인트를 검색하는 데 사용할 그룹 이름입니다. 아무것도 지정하지 않으면 모든 그룹이 사용됩니다. |
작업
핑
설명
Chronicle Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수로 McAfee MVISION ePO에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
플레이북 사용 사례 예시
이 작업은 Chronicle Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 사용되지 않는 직접 조치로 실행될 수 있습니다.
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
엔드포인트 보강
설명
호스트 이름 또는 IP 주소로 엔드포인트의 시스템 정보를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| MMV_EPO_id | id | JSON으로 제공되는 경우 |
| MMV_EPO_uuid | uuid | JSON으로 제공되는 경우 |
| MMV_EPO_lastcommunicated | lastcommunicated | JSON으로 제공되는 경우 |
| MMV_EPO_managedState | managedState | JSON으로 제공되는 경우 |
| MMV_EPO_ipaddress | properties/ipaddress | JSON으로 제공되는 경우 |
| MMV_EPO_osplatform | properties/osplatform | JSON으로 제공되는 경우 |
| MMV_EPO_operatingsystem | properties/operatingsystem | JSON으로 제공되는 경우 |
| MMV_EPO_hostname | properties/hostname | JSON으로 제공되는 경우 |
| MMV_EPO_windowsdomain | properties/windowsdomain | JSON으로 제공되는 경우 |
| MMV_EPO_dnsname | properties/dnsname | JSON으로 제공되는 경우 |
| MMV_EPO_datversion | properties/datversion | JSON으로 제공되는 경우 |
| MMV_EPO_username | properties/username | JSON으로 제공되는 경우 |
| MMV_EPO_groups | 공백으로 구분된 그룹/이름 목록 | JSON으로 제공되는 경우 |
| MMV_EPO_tags | 공백으로 구분된 태그/tagName 목록 | JSON으로 제공되는 경우 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"totalItems": 8,
"startIndex": 1,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T12:34:13.500+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windowsdomain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}
태그 추가
설명
McAfee MVISION ePO의 엔드포인트에 태그를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태그 이름 | 문자열 | 해당 사항 없음 | 참 | 엔드포인트에 추가할 태그를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
태그 삭제
설명
McAfee MVISION ePO의 엔드포인트에서 태그를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태그 이름 | 문자열 | 해당 사항 없음 | 참 | 엔드포인트에서 삭제할 태그를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
태그 나열
설명
McAfee MVISION ePO에서 사용할 수 있는 태그를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 최대 태그 수 | 정수 | 100 | 거짓 | 반환할 태그 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"totalItems": 4,
"startIndex": 0,
"currentItemCount": 4,
"items": [
{
"id": 24752,
"name": "Escalated",
"description": "Protection Workspace tag for escalated systems",
"links": [
{
"rel": "self",
"href": "24752"
}
]
},
{
"id": 24753,
"name": "Excluded from Compliance Check",
"description": "Protection Workspace tag for systems to be excluded from the compliance check",
"links": [
{
"rel": "self",
"href": "24753"
}
]
},
{
"id": 24750,
"name": "Server",
"description": "Default tag for systems identified as a Server",
"links": [
{
"rel": "self",
"href": "24750"
}
]
},
{
"id": 24751,
"name": "Workstation",
"description": "Default tag for systems identified as a Workstation",
"links": [
{
"rel": "self",
"href": "24751"
}
]
}
]
}
}
그룹 나열
설명
McAfee MVISION ePO에서 사용할 수 있는 그룹을 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 최대 그룹 수 | 정수 | 100 | 거짓 | 반환할 그룹 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"totalItems": 12,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 1,
"name": "GlobalRoot",
"userFriendlyName": "Global Root",
"type": 7,
"parentId": 0,
"description": "",
"textPath": "GlobalRoot",
"links": [
{
"rel": "self",
"href": "1"
},
{
"rel": "parent",
"href": "0"
}
]
}
]
}
}
그룹의 엔드포인트 나열
설명
McAfee MVISION ePO의 동일한 그룹에 있는 엔드포인트를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 그룹 이름 | 문자열 | 해당 사항 없음 | 참 | 엔드포인트를 검색할 그룹 지정 |
| 반환할 최대 엔드포인트 | 정수 | 100 | 거짓 | 반환할 엔드포인트 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"totalItems": 1,
"startIndex": 0,
"currentItemCount": 1,
"items": [
{
"id": 227568,
"uuid": "fef3d9aa-e58e-ea11-87c6-005056a2196c",
"lastcommunicated": "2020-05-31T13:34:13.327+0000",
"managedState": "managed",
"properties": {
"cpuspeed": 2299,
"ipaddress": "172.30.202.30",
"osplatform": "Workstation",
"operatingsystem": "Linux",
"cputype": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"type": "non-portable",
"numofcpu": 2,
"hostname": "Centos7-001",
"windows domain": "(none)",
"dnsname": "Centos7-001",
"totalphysicalmemory": 2096254976,
"macaddress": "005056A2196C",
"datversion": "4253.0",
"amcorecontentdate": "2020-05-30 00:00:00.0",
"username": "root"
},
"group": {
"groupId": 372690,
"name": "Linux",
"path": "My Organization\\Linux",
"link": {
"rel": "group",
"href": "../groups/372690"
}
},
"tags": [
{
"tagId": 24751,
"tagName": "Workstation",
"link": {
"rel": "tag",
"href": "../tags/24751"
}
}
],
"productsInstalled": [
{
"product": "Agent",
"version": "5.6.5.165"
},
{
"product": "MVISION EDR",
"version": "3.1.0.482"
},
{
"product": "Endpoint Security Platform",
"version": "10.7.0.130"
},
{
"product": "McAfee DXL Client",
"version": "6.0.0.218"
},
{
"product": "Endpoint Security Threat Prevention",
"version": "10.7.0.351"
}
]
}
]
}
}