Articoli tecnici ID:
KB91345
Ultima modifica: 23/09/2021
Ambiente
Rilevamento e risposta di McAfee MVISION Endpoint (MVISION EDR)
Riepilogo
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
28 luglio 2021
Rimarchiato per McAfee Enterprise.
26 luglio 2021
Aggiunta di una tabella di McAfee Agent per la sincronizzazione con il 5.7.x articoli di prodotto compatibili.
13 luglio 2021
Aggiunto client EDR 3.5.0 Dettagli.
17 giugno 2021
Aggiunta della tabella delle informazioni di rilascio del prodotto.
16 giugno 2021
Requisiti hardware allineati con i sistemi operativi attualmente supportati.
7 giugno 2021
Modifiche minori effettuate per CentOS 3.4
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
MA 5.6.1 o versioni successive, per MVISION ePO sistemi.
MA 5.0.5 o versioni successive, per ePO sistemi.
Windows e Linux:
MA 5.6.1 o versione successiva per MVISION ePO sistemi.
MA 5.6.0 o versione successiva per ePO sistemi.
McAfee prodotti aziendali generali
Software
Requisiti
sistemi server ePO
5.9.1 o versioni successive
Client McAfee Data Exchange Layer
4.1 o versioni successive
Estensioni e pacchetti
MVISION-estensione EDR:
Dopo aver archiviato l'estensione MVISION EDR, sono installate tutte le estensioni e i pacchetti dipendenti:
Ponte MVISION Cloud 2.0.0
MVISION-EDR-client
MVISION EDR strumento snapshot endpoint
MVISION-EDR-client-pacchetto
MVISION-EDR
Estensioni McAfee Data Exchange Layer
Informazioni sulla sicurezza
e evento
Gestione (SIEM)
MVISION EDR supporta le seguenti integrazioni SIEM:
McAfee Enterprise Security Manager (McAfee ESM) 10.0.0 o versioni successive. Nota Per ulteriori informazioni, consultare la dichiarazione di ArcSight 11.3.1 e limitazioni precedenti.
11.3.2 e in seguito supporta nativamente EDR senza la limitazione ArcSight descritta di seguito. Per i passaggi di integrazione, consultare la Guida di riferimento per la configurazione delle origini dati ESM.
Micro Focus ArcSight Enterprise Security Manager (ArcSight® ESM) 6.9.1 IMPORTANTE Per 11.3.1 e versioni precedenti, ArcSight L'integrazione di ESM e McAfee ESM è supportata solo per automatizzare la creazione di indagini guidate. Viene utilizzato uno dei seguenti elementi:
FQDN esterno
Un indirizzo IP esterno
Il nome host o l'indirizzo IP di un endpoint che utilizza il client MVISION EDR.
Splunk Enterprise Security Manager (Splunk ESM) 7.1.0 utilizzando il modello di informazioni di In comune (CIM).
Nota È possibile alimentare i rilevamenti da MVISION EDR nello strumento SIEM configurando il McAfee ESM per l'utilizzo di syslog standard.
È possibile download il codice da pagina McAfee GitHub.
È inoltre possibile contribuire a questo progetto e condividere il codice per le integrazioni con altri prodotti.
IMPORTANTE McAfee Enterprise non supporta gli script personalizzati da altri siti clonati o biforcuta con modifiche.
McAfee Advanced Threat Defense (ATD)
MVISION EDR supporta ATD 4.8 o versioni successive.
IMPORTANTE Le informazioni sulla reputazione ATD e i rapporti sono disponibili solo con MVISION EDR estensione locale 3.2.0.1 o versioni successive. Questa funzione non è supportata in MVISION ePO.
È supportata solo una singola appliance di ATD in un unico ePO. MVISION EDR non supporta l'installazione di ATD a cluster multipli.
McAfee Threat Intelligence Exchange (TIE)
MVISION EDR supporta il TIE 2.3 o versioni successive.
IMPORTANTE Le informazioni sulla reputazione TIE sono disponibili solo con MVISION EDR estensione locale 3.2.0.1 o versioni successive. Questa funzione non è supportata in MVISION ePO.
Sono supportati solo gli scenari con Bridge. nell'elenco origine dati viene visualizzato solo un TIE.
Piattaforme Endpoint Protection (EPP)
MVISION EDR supporta le seguenti piattaforme di protezione dei terminali solo su Windows 10 64 bit:
McAfee Endpoint Security 10.7 o versioni successive
2 È necessario attivare la protezione dell'integrità del sistema (SIP).
Versioni software dell'infrastruttura virtuale per il client EDR
Il client EDR supporta qualsiasi soluzione di virtualizzazione, supponendo che vengano soddisfatti i seguenti criteri:
Il client EDR e le dipendenze obbligatorie (Data Exchange Layer e McAfee Agent) supportano il sistema operativo in fase di virtualizzazione.
La soluzione di virtualizzazione è una soluzione supportata dal fornitore della soluzione di virtualizzazione. La soluzione non è la fine del ciclo di vita, la beta o una soluzione di virtualizzazione altrimenti non supportata.
I sistemi Virtual Desktop Infrastructure (VDI) supportano il client EDR se il McAfee Agent installato sul client è installato in modalità VDI. Per ulteriori informazioni, consultare la sezione: KB87654-Agent di provisioning e implementazione sui sistemi VDI
La soluzione di virtualizzazione supporta il sistema operativo in fase di virtualizzazione. Per confermare il supporto del sistema operativo, consultare la documentazione relativa alla soluzione di virtualizzazione.
La soluzione di virtualizzazione viene eseguita in virtualizzazione completa o paravirt modalità, se supportata.
Versioni Endpoint Security compatibili (ENS)
Anche se ENS non è un requisito, EDR e ENS condividono i componenti principali (SysCore). Pertanto, esistono alcune versioni con le quali non è compatibile.
Versione ENS
Versione client EDR
EDR
3.0.0.355
EDR
3.0.0.404
EDR
3.0.0.432
EDR
3.1.0
EDR
3.2.0
EDR
3.3.0
ENS 10.5.1
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.5.2
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.5.3 per RS3
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.5.4
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.5.5
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.6
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.6.11
Sì
Sì
Sì
Sì
Sì
Sì
ENS 10.7
Sì
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.2.3
Sì
Sì
Sì
Sì
No
No
ENS-TP per MAC 10.5.0
Sì
Sì
Sì
Sì
Sì
No
ENS-TP per MAC 10.6
Sì
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.1
Sì
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.2
No
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.3
No
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.4
No
Sì
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.5.x
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.6
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.7
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.8
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.6.9
No
No
No
Sì
Sì
Sì
ENS-TP per MAC 10.6.10
No
No
No
No
Sì
Sì
ENS-TP per MAC 10.7
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.7.1
No
No
Sì
Sì
Sì
Sì
ENS-TP per MAC 10.7.5
No
No
No
No
No
No
ENS-Linux 10.2.2
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.5.0
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.6.0
Sì
Sì
Sì
No
No
No
ENS-Linux 10.6.1
Sì
Sì
Sì
No
No
No
ENS-Linux 10.6.2
No
No
No
No
No
No
ENS-Linux 10.6.3
No
No
No
No
No
No
ENS-Linux 10.6.4
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.6.5
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.6.6
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.6.7
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.6.12
Sì
Sì
Sì
Sì
Sì
Sì
ENS-Linux 10.7
No
No
No
Sì
Sì
Sì
1 Esiste un problema noto di compatibilità tra ENS 10.6.1 Luglio 2019 aggiornamento (o precedente) e EDR. Il problema sintomo è un utilizzo generale della CPU più elevato sui sistemi. Questo problema è stato risolto in ENS 10.6.1 Aggiornamento 2019 ottobre. Per ulteriori informazioni su questo problema, consultare la sezione: KB92058-elevato consumo di memoria in mfetp. exe o CPU generale elevata quando MVISION EDR è presente.
Mouse -Microsoft mouse o dispositivo di puntamento compatibile
Monitorare-256-monitor VGA a colori o superiore
CPU/RAM -Il requisito della CPU è minimo di un singolo core. Si consiglia unProcessore Intel Pentium Dual Core o architettura compatibile. Le specifiche seguenti sono soggette a modifiche.Le specifiche del processore sono una guida consigliata, ma non sono un requisito difficile. Sono supportate solo le architetture di CPU x86 e AMD64 (x64). EDR non supporta i processori ARM.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.