McAfee NSM
統合バージョン: 5.0
概要
Chronicle SOAR で McAfee NSM 統合を構成する
Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| API ルート | 文字列 | https://x.x.x.x/sdkapi/ | True | |
| ユーザー名 | 文字列 | なし | True | |
| パスワード | パスワード | なし | True | |
| ドメイン ID | 文字列 | なし | True | |
| Siemplify ポリシー名 | 文字列 | なし | True | |
| センサー名のリスト(カンマ区切り) | 文字列 | sensor_name1、sensor_name2、sensor_name3 | True |
アクション
IP をブロックする
説明
IP アドレスをブロックします。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
アラート情報データの取得
説明
ID 別にアラートデータを取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラート ID | 文字列 | https://x.x.x.x/sdkapi/ | True | なし |
| センサー名 | 文字列 | なし | True | なし |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| alert_json | なし | なし |
JSON の結果
{
"name": "MALWARE: Blacklisted File Detected",
"assignTo": "---",
"description": {
"definition": "A McAfee-maintained blacklist that is dynamically updated with Callback Detectors updates.",
"signatures": [{
"conditions": "null"
}],
"componentAttacks": "null",
"target": "ServerOrClient",
"reference": {
"cveId": "[]",
"certId": "null",
"bugtraqId": "[]",
"nspId": "0x4840c300",
"microsoftId": "[]",
"additionInfo": "null",
"arachNidsId": "[]"
},
"protocals": "[smtp, ftp, http]",
"comments": {
"availableToChildDomains": "true",
"parentDomainComments": "null",
"comments": " "
},
"rfSB": "No",
"attackCategory": "Malware",
"attackSubCategory": "---",
"protectionCategory": "[Malware/Bot]",
"httpResponseAttack": "No",
"btf": "Medium"
},
"summary": {
"destination": "null",
"zoombie": "null",
"target": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 41128
},
"attacker": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 80
},
"cAndcServer": "null",
"source": "null",
"compromisedEndpoint": "null",
"attackedHIPEndpoint": {
"ipAddrs": "1.1.1.1",
"risk": "N/A",
"country": "India",
"networkObject": "---",
"hostName": "null",
"vmName": "null",
"proxyIP": "1.1.1.1",
"user": "Unknown",
"os": "---",
"port": 41128
},
"fastFluxAgent": "null",
"event": {
"domain": "My Company",
"protocol": "http",
"zone": "null",
"alertId": "2246015847757997493",
"attackCount": 1,
"vlan": "-11",
"direction": "Inbound",
"detection": "Signature",
"application": "HTTP",
"device": "NS9100-50",
"result": "Inconclusive",
"time": "Jan 04, 2016 09:50:39",
"relevance": "Unknown",
"matchedPolicy": "CustomFP_Engine_With_AlertOnly",
"interface": "G3/1-G3/2"
}},
"details": {
"malwareFile": {
"engine": "Manager Blacklist",
"fileHash": "3f3f7c3b9722912ddeddf006cff9d9d0",
"malwareConfidence": "Very High",
"malwareName": "null",
"fileName": "/Firewall.cpl",
"size": "6144 bytes"
},
"exceededThreshold": "null",
"callbackDetectors": "null",
"layer7": {
"httpReturnCode": 200,
"httpURI": "/Firewall.cpl",
"httpRequestMethod": "GET",
"httpServerType": "Apache/2.2.13 (Fedora) Last - Modified: Wed, 10 Oct 2012 05: 19: 15 GMT",
"httpHostHeader": "null",
"httpUserAgent": "Wget/1.11.4 (Red Hat modified)"
},
"portScan": "null",
"sqlInjection": "null",
"triggeredComponentAttacks": "null",
"hostSweep": "null",
"matchedSignature": "null",
"communicationRuleMatch": "null",
"fastFlux": "null"
},
"alertState": "UnAcknowledged",
"uniqueAlertId": "6245941293374080682"
}
IP がブロックされている
説明
IP アドレスがブロックされているかどうかを確認します。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
IP の隔離
説明
特定の IP アドレスを隔離します。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
IP のブロックを解除する
説明
特定の IP アドレスのブロックを解除します。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}]