McAfee ePO - Active Response Searches

1. [ {
2.   "item" : {
3.     "catalogVersion" : 1,
4.     "dbVersion" : 2,
5.     "id" : "5b3fb096e4b0cbe06dd67313",
6.     "name" : "COMPLIANCE - Systems Patched in Oct 2015",
7.     "description" : "List of systems patched in October of 2015.  ",
8.     "type" : null,
9.     "expression" : "HostInfo and InstalledUpdates where InstalledUpdates install_date after \"2015-10-01\"",
10.     "temporal" : false,
11.     "invalid" : false,
12.     "aggregated" : true,
13.     "projections" : [ {
14.       "collector" : {
15.         "catalogVersion" : 230233,
16.         "dbVersion" : 2,
17.         "id" : "58efec8ee4b0c390d69a8ec5",
18.         "name" : "HostInfo",
19.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
20.         "type" : "BUILTIN",
21.         "contents" : [ {
22.           "platform" : {
23.             "catalogVersion" : 230233,
24.             "dbVersion" : 2,
25.             "id" : "58efec8ee4b0c390d69a8e0f",
26.             "name" : "linux",
27.             "topic" : "/mcafee/mar/agent/query/linux",
28.             "enabled" : true
29.           },
30.           "capability" : {
31.             "catalogVersion" : 230233,
32.             "dbVersion" : 2,
33.             "id" : "58efec8ee4b0c390d69a8e14",
34.             "name" : "Bash Script",
35.             "description" : "Executes Bash script on target client",
36.             "module" : "SystemRuntime",
37.             "function" : "executeBash",
38.             "contentEnabled" : true,
39.             "arguments" : [ ],
40.             "outputs" : [ ],
41.             "formatArgs" : {
42.               "hasHeaders" : false,
43.               "delimiter" : ","
44.             },
45.             "format" : "CSV",
46.             "platforms" : [ {
47.               "catalogVersion" : 230233,
48.               "dbVersion" : 2,
49.               "id" : "58efec8ee4b0c390d69a8e0f",
50.               "name" : "linux",
51.               "topic" : "/mcafee/mar/agent/query/linux",
52.               "enabled" : true
53.             }, {
54.               "catalogVersion" : 230233,
55.               "dbVersion" : 2,
56.               "id" : "5a1a45c9e4b0401274ab7141",
57.               "name" : "macos",
58.               "topic" : "/mcafee/mar/agent/query/macos",
59.               "enabled" : true
60.             } ],
61.             "platformSettings" : [ {
62.               "platform" : {
63.                 "catalogVersion" : 230233,
64.                 "dbVersion" : 2,
65.                 "id" : "58efec8ee4b0c390d69a8e0f",
66.                 "name" : "linux",
67.                 "topic" : "/mcafee/mar/agent/query/linux",
68.                 "enabled" : true
69.               },
70.               "utf8Sensitive" : false
71.             }, {
72.               "platform" : {
73.                 "catalogVersion" : 230233,
74.                 "dbVersion" : 2,
75.                 "id" : "5a1a45c9e4b0401274ab7141",
76.                 "name" : "macos",
77.                 "topic" : "/mcafee/mar/agent/query/macos",
78.                 "enabled" : true
79.               },
80.               "utf8Sensitive" : false
81.             } ],
82.             "itemType" : "CUSTOM",
83.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
84.           },
85.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
86.           "arguments" : [ ],
87.           "utf8Sensitive" : false
88.         }, {
89.           "platform" : {
90.             "catalogVersion" : 230233,
91.             "dbVersion" : 2,
92.             "id" : "58efec8ee4b0c390d69a8e0e",
93.             "name" : "windows",
94.             "topic" : "/mcafee/mar/agent/query/windows",
95.             "enabled" : true
96.           },
97.           "capability" : {
98.             "catalogVersion" : 230233,
99.             "dbVersion" : 2,
100.             "id" : "58efec8ee4b0c390d69a8e12",
101.             "name" : "Visual Basic Script",
102.             "description" : "Executes VBS script on target client",
103.             "module" : "SystemRuntime",
104.             "function" : "executeVBS",
105.             "contentEnabled" : true,
106.             "arguments" : [ ],
107.             "outputs" : [ ],
108.             "formatArgs" : {
109.               "hasHeaders" : false,
110.               "delimiter" : ","
111.             },
112.             "format" : "CSV",
113.             "platforms" : [ {
114.               "catalogVersion" : 230233,
115.               "dbVersion" : 2,
116.               "id" : "58efec8ee4b0c390d69a8e0e",
117.               "name" : "windows",
118.               "topic" : "/mcafee/mar/agent/query/windows",
119.               "enabled" : true
120.             } ],
121.             "platformSettings" : [ {
122.               "platform" : {
123.                 "catalogVersion" : 230233,
124.                 "dbVersion" : 2,
125.                 "id" : "58efec8ee4b0c390d69a8e0e",
126.                 "name" : "windows",
127.                 "topic" : "/mcafee/mar/agent/query/windows",
128.                 "enabled" : true
129.               },
130.               "utf8Sensitive" : false
131.             } ],
132.             "itemType" : "CUSTOM",
133.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
134.           },
135.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
136.           "arguments" : [ ],
137.           "utf8Sensitive" : false
138.         }, {
139.           "platform" : {
140.             "catalogVersion" : 230233,
141.             "dbVersion" : 2,
142.             "id" : "5a1a45c9e4b0401274ab7141",
143.             "name" : "macos",
144.             "topic" : "/mcafee/mar/agent/query/macos",
145.             "enabled" : true
146.           },
147.           "capability" : {
148.             "catalogVersion" : 230233,
149.             "dbVersion" : 2,
150.             "id" : "5a1a45cae4b0401274ab7183",
151.             "name" : "HostInfo SysInfo",
152.             "description" : "Shows Hostname, 1st IP Address and OS version",
153.             "module" : "SysInfo",
154.             "function" : "HostInfo",
155.             "contentEnabled" : false,
156.             "arguments" : [ ],
157.             "outputs" : [ ],
158.             "formatArgs" : { },
159.             "format" : "BIN",
160.             "platforms" : [ {
161.               "catalogVersion" : 230233,
162.               "dbVersion" : 2,
163.               "id" : "5a1a45c9e4b0401274ab7141",
164.               "name" : "macos",
165.               "topic" : "/mcafee/mar/agent/query/macos",
166.               "enabled" : true
167.             } ],
168.             "platformSettings" : [ {
169.               "platform" : {
170.                 "catalogVersion" : 230233,
171.                 "dbVersion" : 2,
172.                 "id" : "5a1a45c9e4b0401274ab7141",
173.                 "name" : "macos",
174.                 "topic" : "/mcafee/mar/agent/query/macos",
175.                 "enabled" : true
176.               },
177.               "utf8Sensitive" : false
178.             } ],
179.             "itemType" : "BUILTIN",
180.             "catalogItems" : [ "COLLECTOR" ]
181.           },
182.           "content" : null,
183.           "arguments" : [ ],
184.           "utf8Sensitive" : false
185.         } ],
186.         "timeout" : 60,
187.         "outputs" : [ {
188.           "id" : "58efec8ee4b0c390d69a8ec2",
189.           "name" : "hostname",
190.           "type" : "STRING",
191.           "byDefault" : false,
192.           "sequence" : 1
193.         }, {
194.           "id" : "58efec8ee4b0c390d69a8ec3",
195.           "name" : "ip_address",
196.           "type" : "IPV4IPV6",
197.           "byDefault" : false,
198.           "sequence" : 2
199.         }, {
200.           "id" : "58efec8ee4b0c390d69a8ec4",
201.           "name" : "os",
202.           "type" : "STRING",
203.           "byDefault" : false,
204.           "sequence" : 3
205.         }, {
206.           "id" : "5b3f9b64e4b0dfaf321a6346",
207.           "name" : "connection_status",
208.           "type" : "STRING",
209.           "byDefault" : false,
210.           "sequence" : 4
211.         }, {
212.           "id" : "5b3f9b64e4b0dfaf321a6347",
213.           "name" : "platform",
214.           "type" : "STRING",
215.           "byDefault" : false,
216.           "sequence" : 5
217.         } ]
218.       },
219.       "sequence" : "1",
220.       "output" : [ ]
221.     }, {
222.       "collector" : {
223.         "catalogVersion" : 230233,
224.         "dbVersion" : 2,
225.         "id" : "58efec8ee4b0c390d69a8eca",
226.         "name" : "InstalledUpdates",
227.         "description" : "Shows all installed updates, hot fixes and security updates",
228.         "type" : "BUILTIN",
229.         "contents" : [ {
230.           "platform" : {
231.             "catalogVersion" : 230233,
232.             "dbVersion" : 2,
233.             "id" : "5a1a45c9e4b0401274ab7141",
234.             "name" : "macos",
235.             "topic" : "/mcafee/mar/agent/query/macos",
236.             "enabled" : true
237.           },
238.           "capability" : {
239.             "catalogVersion" : 230233,
240.             "dbVersion" : 2,
241.             "id" : "5a1a45cae4b0401274ab7187",
242.             "name" : "Updates SysInfo",
243.             "description" : "List of installed updates",
244.             "module" : "SysInfo",
245.             "function" : "SoftwareUpdate",
246.             "contentEnabled" : false,
247.             "arguments" : [ ],
248.             "outputs" : [ ],
249.             "formatArgs" : { },
250.             "format" : "BIN",
251.             "platforms" : [ {
252.               "catalogVersion" : 230233,
253.               "dbVersion" : 2,
254.               "id" : "5a1a45c9e4b0401274ab7141",
255.               "name" : "macos",
256.               "topic" : "/mcafee/mar/agent/query/macos",
257.               "enabled" : true
258.             } ],
259.             "platformSettings" : [ {
260.               "platform" : {
261.                 "catalogVersion" : 230233,
262.                 "dbVersion" : 2,
263.                 "id" : "5a1a45c9e4b0401274ab7141",
264.                 "name" : "macos",
265.                 "topic" : "/mcafee/mar/agent/query/macos",
266.                 "enabled" : true
267.               },
268.               "utf8Sensitive" : false
269.             } ],
270.             "itemType" : "BUILTIN",
271.             "catalogItems" : [ "COLLECTOR" ]
272.           },
273.           "content" : null,
274.           "arguments" : [ ],
275.           "utf8Sensitive" : false
276.         }, {
277.           "platform" : {
278.             "catalogVersion" : 230233,
279.             "dbVersion" : 2,
280.             "id" : "58efec8ee4b0c390d69a8e0f",
281.             "name" : "linux",
282.             "topic" : "/mcafee/mar/agent/query/linux",
283.             "enabled" : true
284.           },
285.           "capability" : {
286.             "catalogVersion" : 230233,
287.             "dbVersion" : 2,
288.             "id" : "58efec8ee4b0c390d69a8e51",
289.             "name" : "NotAvailable",
290.             "description" : "Capability not available",
291.             "module" : "Internal",
292.             "function" : "GetFalseResult",
293.             "contentEnabled" : false,
294.             "arguments" : [ ],
295.             "outputs" : [ ],
296.             "formatArgs" : { },
297.             "format" : "BIN",
298.             "platforms" : [ {
299.               "catalogVersion" : 230233,
300.               "dbVersion" : 2,
301.               "id" : "58efec8ee4b0c390d69a8e0e",
302.               "name" : "windows",
303.               "topic" : "/mcafee/mar/agent/query/windows",
304.               "enabled" : true
305.             }, {
306.               "catalogVersion" : 230233,
307.               "dbVersion" : 2,
308.               "id" : "58efec8ee4b0c390d69a8e0f",
309.               "name" : "linux",
310.               "topic" : "/mcafee/mar/agent/query/linux",
311.               "enabled" : true
312.             } ],
313.             "platformSettings" : [ ],
314.             "itemType" : "BUILTIN",
315.             "catalogItems" : [ ]
316.           },
317.           "content" : null,
318.           "arguments" : null,
319.           "utf8Sensitive" : false
320.         }, {
321.           "platform" : {
322.             "catalogVersion" : 230233,
323.             "dbVersion" : 2,
324.             "id" : "58efec8ee4b0c390d69a8e0e",
325.             "name" : "windows",
326.             "topic" : "/mcafee/mar/agent/query/windows",
327.             "enabled" : true
328.           },
329.           "capability" : {
330.             "catalogVersion" : 230233,
331.             "dbVersion" : 2,
332.             "id" : "58efec8ee4b0c390d69a8e61",
333.             "name" : "Execute PowerShell Script",
334.             "description" : "Runs Windows PowerShell Scripts",
335.             "module" : "SystemRuntime",
336.             "function" : "executePS",
337.             "contentEnabled" : true,
338.             "arguments" : [ ],
339.             "outputs" : [ ],
340.             "formatArgs" : {
341.               "hasHeaders" : false,
342.               "delimiter" : ","
343.             },
344.             "format" : "CSV",
345.             "platforms" : [ {
346.               "catalogVersion" : 230233,
347.               "dbVersion" : 2,
348.               "id" : "58efec8ee4b0c390d69a8e0e",
349.               "name" : "windows",
350.               "topic" : "/mcafee/mar/agent/query/windows",
351.               "enabled" : true
352.             } ],
353.             "platformSettings" : [ {
354.               "platform" : {
355.                 "catalogVersion" : 230233,
356.                 "dbVersion" : 2,
357.                 "id" : "58efec8ee4b0c390d69a8e0e",
358.                 "name" : "windows",
359.                 "topic" : "/mcafee/mar/agent/query/windows",
360.                 "enabled" : true
361.               },
362.               "utf8Sensitive" : false
363.             } ],
364.             "itemType" : "CUSTOM",
365.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
366.           },
367.           "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all installed updates, hot fixes and security updates\r\n#\r\n# Version: 1.0\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n\r\n$objQuickFixes = Get-WmiObject Win32_QuickFixEngineering;\r\nforeach ($objQuickFix in $objQuickFixes){\r\n    $date = \"\";\r\n    if($objQuickFix.InstalledOn){\r\n        $date = $objQuickFix.InstalledOn.ToString(\"yyyy-MM-dd HH:mm:ss\")\r\n    }\r\n    Write-Output ($objQuickFix.Description + \",\" +$objQuickFix.HotFixID + \",\" + $date + \",\" + ($objQuickFix.InstalledBy -replace '\\\\','/') + \",,\")\r\n}\r\n",
368.           "arguments" : [ ],
369.           "utf8Sensitive" : false
370.         } ],
371.         "timeout" : 60,
372.         "outputs" : [ {
373.           "id" : "58efec8ee4b0c390d69a8ec6",
374.           "name" : "description",
375.           "type" : "STRING",
376.           "byDefault" : false,
377.           "sequence" : 1
378.         }, {
379.           "id" : "58efec8ee4b0c390d69a8ec7",
380.           "name" : "hotfix_id",
381.           "type" : "STRING",
382.           "byDefault" : false,
383.           "sequence" : 2
384.         }, {
385.           "id" : "58efec8ee4b0c390d69a8ec8",
386.           "name" : "install_date",
387.           "type" : "DATE",
388.           "byDefault" : false,
389.           "sequence" : 3
390.         }, {
391.           "id" : "58efec8ee4b0c390d69a8ec9",
392.           "name" : "installed_by",
393.           "type" : "STRING",
394.           "byDefault" : false,
395.           "sequence" : 4
396.         }, {
397.           "id" : "5a1a45cbe4b0401274ab7193",
398.           "name" : "source",
399.           "type" : "STRING",
400.           "byDefault" : false,
401.           "sequence" : 998
402.         }, {
403.           "id" : "5a1a45cbe4b0401274ab7194",
404.           "name" : "version",
405.           "type" : "STRING",
406.           "byDefault" : false,
407.           "sequence" : 999
408.         } ]
409.       },
410.       "sequence" : "2",
411.       "output" : [ ]
412.     } ],
413.     "disjunction" : {
414.       "conjunctions" : [ {
415.         "terms" : [ {
416.           "output" : {
417.             "id" : "58efec8ee4b0c390d69a8ec8",
418.             "name" : "install_date",
419.             "type" : "DATE",
420.             "byDefault" : false,
421.             "sequence" : 3
422.           },
423.           "operator" : "AFTER",
424.           "value" : "2015-10-01 00:00:00",
425.           "negated" : false,
426.           "collector" : {
427.             "catalogVersion" : 230233,
428.             "dbVersion" : 2,
429.             "id" : "58efec8ee4b0c390d69a8eca",
430.             "name" : "InstalledUpdates",
431.             "description" : "Shows all installed updates, hot fixes and security updates",
432.             "type" : "BUILTIN",
433.             "contents" : [ {
434.               "platform" : {
435.                 "catalogVersion" : 230233,
436.                 "dbVersion" : 2,
437.                 "id" : "5a1a45c9e4b0401274ab7141",
438.                 "name" : "macos",
439.                 "topic" : "/mcafee/mar/agent/query/macos",
440.                 "enabled" : true
441.               },
442.               "capability" : {
443.                 "catalogVersion" : 230233,
444.                 "dbVersion" : 2,
445.                 "id" : "5a1a45cae4b0401274ab7187",
446.                 "name" : "Updates SysInfo",
447.                 "description" : "List of installed updates",
448.                 "module" : "SysInfo",
449.                 "function" : "SoftwareUpdate",
450.                 "contentEnabled" : false,
451.                 "arguments" : [ ],
452.                 "outputs" : [ ],
453.                 "formatArgs" : { },
454.                 "format" : "BIN",
455.                 "platforms" : [ {
456.                   "catalogVersion" : 230233,
457.                   "dbVersion" : 2,
458.                   "id" : "5a1a45c9e4b0401274ab7141",
459.                   "name" : "macos",
460.                   "topic" : "/mcafee/mar/agent/query/macos",
461.                   "enabled" : true
462.                 } ],
463.                 "platformSettings" : [ {
464.                   "platform" : {
465.                     "catalogVersion" : 230233,
466.                     "dbVersion" : 2,
467.                     "id" : "5a1a45c9e4b0401274ab7141",
468.                     "name" : "macos",
469.                     "topic" : "/mcafee/mar/agent/query/macos",
470.                     "enabled" : true
471.                   },
472.                   "utf8Sensitive" : false
473.                 } ],
474.                 "itemType" : "BUILTIN",
475.                 "catalogItems" : [ "COLLECTOR" ]
476.               },
477.               "content" : null,
478.               "arguments" : [ ],
479.               "utf8Sensitive" : false
480.             }, {
481.               "platform" : {
482.                 "catalogVersion" : 230233,
483.                 "dbVersion" : 2,
484.                 "id" : "58efec8ee4b0c390d69a8e0f",
485.                 "name" : "linux",
486.                 "topic" : "/mcafee/mar/agent/query/linux",
487.                 "enabled" : true
488.               },
489.               "capability" : {
490.                 "catalogVersion" : 230233,
491.                 "dbVersion" : 2,
492.                 "id" : "58efec8ee4b0c390d69a8e51",
493.                 "name" : "NotAvailable",
494.                 "description" : "Capability not available",
495.                 "module" : "Internal",
496.                 "function" : "GetFalseResult",
497.                 "contentEnabled" : false,
498.                 "arguments" : [ ],
499.                 "outputs" : [ ],
500.                 "formatArgs" : { },
501.                 "format" : "BIN",
502.                 "platforms" : [ {
503.                   "catalogVersion" : 230233,
504.                   "dbVersion" : 2,
505.                   "id" : "58efec8ee4b0c390d69a8e0e",
506.                   "name" : "windows",
507.                   "topic" : "/mcafee/mar/agent/query/windows",
508.                   "enabled" : true
509.                 }, {
510.                   "catalogVersion" : 230233,
511.                   "dbVersion" : 2,
512.                   "id" : "58efec8ee4b0c390d69a8e0f",
513.                   "name" : "linux",
514.                   "topic" : "/mcafee/mar/agent/query/linux",
515.                   "enabled" : true
516.                 } ],
517.                 "platformSettings" : [ ],
518.                 "itemType" : "BUILTIN",
519.                 "catalogItems" : [ ]
520.               },
521.               "content" : null,
522.               "arguments" : null,
523.               "utf8Sensitive" : false
524.             }, {
525.               "platform" : {
526.                 "catalogVersion" : 230233,
527.                 "dbVersion" : 2,
528.                 "id" : "58efec8ee4b0c390d69a8e0e",
529.                 "name" : "windows",
530.                 "topic" : "/mcafee/mar/agent/query/windows",
531.                 "enabled" : true
532.               },
533.               "capability" : {
534.                 "catalogVersion" : 230233,
535.                 "dbVersion" : 2,
536.                 "id" : "58efec8ee4b0c390d69a8e61",
537.                 "name" : "Execute PowerShell Script",
538.                 "description" : "Runs Windows PowerShell Scripts",
539.                 "module" : "SystemRuntime",
540.                 "function" : "executePS",
541.                 "contentEnabled" : true,
542.                 "arguments" : [ ],
543.                 "outputs" : [ ],
544.                 "formatArgs" : {
545.                   "hasHeaders" : false,
546.                   "delimiter" : ","
547.                 },
548.                 "format" : "CSV",
549.                 "platforms" : [ {
550.                   "catalogVersion" : 230233,
551.                   "dbVersion" : 2,
552.                   "id" : "58efec8ee4b0c390d69a8e0e",
553.                   "name" : "windows",
554.                   "topic" : "/mcafee/mar/agent/query/windows",
555.                   "enabled" : true
556.                 } ],
557.                 "platformSettings" : [ {
558.                   "platform" : {
559.                     "catalogVersion" : 230233,
560.                     "dbVersion" : 2,
561.                     "id" : "58efec8ee4b0c390d69a8e0e",
562.                     "name" : "windows",
563.                     "topic" : "/mcafee/mar/agent/query/windows",
564.                     "enabled" : true
565.                   },
566.                   "utf8Sensitive" : false
567.                 } ],
568.                 "itemType" : "CUSTOM",
569.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
570.               },
571.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all installed updates, hot fixes and security updates\r\n#\r\n# Version: 1.0\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n\r\n$objQuickFixes = Get-WmiObject Win32_QuickFixEngineering;\r\nforeach ($objQuickFix in $objQuickFixes){\r\n    $date = \"\";\r\n    if($objQuickFix.InstalledOn){\r\n        $date = $objQuickFix.InstalledOn.ToString(\"yyyy-MM-dd HH:mm:ss\")\r\n    }\r\n    Write-Output ($objQuickFix.Description + \",\" +$objQuickFix.HotFixID + \",\" + $date + \",\" + ($objQuickFix.InstalledBy -replace '\\\\','/') + \",,\")\r\n}\r\n",
572.               "arguments" : [ ],
573.               "utf8Sensitive" : false
574.             } ],
575.             "timeout" : 60,
576.             "outputs" : [ {
577.               "id" : "58efec8ee4b0c390d69a8ec6",
578.               "name" : "description",
579.               "type" : "STRING",
580.               "byDefault" : false,
581.               "sequence" : 1
582.             }, {
583.               "id" : "58efec8ee4b0c390d69a8ec7",
584.               "name" : "hotfix_id",
585.               "type" : "STRING",
586.               "byDefault" : false,
587.               "sequence" : 2
588.             }, {
589.               "id" : "58efec8ee4b0c390d69a8ec8",
590.               "name" : "install_date",
591.               "type" : "DATE",
592.               "byDefault" : false,
593.               "sequence" : 3
594.             }, {
595.               "id" : "58efec8ee4b0c390d69a8ec9",
596.               "name" : "installed_by",
597.               "type" : "STRING",
598.               "byDefault" : false,
599.               "sequence" : 4
600.             }, {
601.               "id" : "5a1a45cbe4b0401274ab7193",
602.               "name" : "source",
603.               "type" : "STRING",
604.               "byDefault" : false,
605.               "sequence" : 998
606.             }, {
607.               "id" : "5a1a45cbe4b0401274ab7194",
608.               "name" : "version",
609.               "type" : "STRING",
610.               "byDefault" : false,
611.               "sequence" : 999
612.             } ]
613.           }
614.         } ]
615.       } ]
616.     },
617.     "running" : false,
618.     "createdAt" : 1530900630230,
619.     "executedAt" : null,
620.     "status" : "CREATED",
621.     "ttl" : 60000,
622.     "startTime" : null,
623.     "endpointPermission" : null,
624.     "maGuidsTarget" : null,
625.     "expectedHostResponses" : 0
626.   },
627.   "type" : "com.intel.mar.model.search.Search"
628. }, {
629.   "item" : {
630.     "catalogVersion" : 1,
631.     "dbVersion" : 2,
632.     "id" : "5b3fb096e4b0cbe06dd67314",
633.     "name" : "COMPLIANCE - Systems not protected from heartbleed",
634.     "description" : "list of systems that do not have MS hotfix 2992611",
635.     "type" : null,
636.     "expression" : "HostInfo where InstalledUpdates hotfix_id not contains \"2992611\"",
637.     "temporal" : false,
638.     "invalid" : false,
639.     "aggregated" : true,
640.     "projections" : [ {
641.       "collector" : {
642.         "catalogVersion" : 230233,
643.         "dbVersion" : 2,
644.         "id" : "58efec8ee4b0c390d69a8ec5",
645.         "name" : "HostInfo",
646.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
647.         "type" : "BUILTIN",
648.         "contents" : [ {
649.           "platform" : {
650.             "catalogVersion" : 230233,
651.             "dbVersion" : 2,
652.             "id" : "58efec8ee4b0c390d69a8e0f",
653.             "name" : "linux",
654.             "topic" : "/mcafee/mar/agent/query/linux",
655.             "enabled" : true
656.           },
657.           "capability" : {
658.             "catalogVersion" : 230233,
659.             "dbVersion" : 2,
660.             "id" : "58efec8ee4b0c390d69a8e14",
661.             "name" : "Bash Script",
662.             "description" : "Executes Bash script on target client",
663.             "module" : "SystemRuntime",
664.             "function" : "executeBash",
665.             "contentEnabled" : true,
666.             "arguments" : [ ],
667.             "outputs" : [ ],
668.             "formatArgs" : {
669.               "hasHeaders" : false,
670.               "delimiter" : ","
671.             },
672.             "format" : "CSV",
673.             "platforms" : [ {
674.               "catalogVersion" : 230233,
675.               "dbVersion" : 2,
676.               "id" : "58efec8ee4b0c390d69a8e0f",
677.               "name" : "linux",
678.               "topic" : "/mcafee/mar/agent/query/linux",
679.               "enabled" : true
680.             }, {
681.               "catalogVersion" : 230233,
682.               "dbVersion" : 2,
683.               "id" : "5a1a45c9e4b0401274ab7141",
684.               "name" : "macos",
685.               "topic" : "/mcafee/mar/agent/query/macos",
686.               "enabled" : true
687.             } ],
688.             "platformSettings" : [ {
689.               "platform" : {
690.                 "catalogVersion" : 230233,
691.                 "dbVersion" : 2,
692.                 "id" : "58efec8ee4b0c390d69a8e0f",
693.                 "name" : "linux",
694.                 "topic" : "/mcafee/mar/agent/query/linux",
695.                 "enabled" : true
696.               },
697.               "utf8Sensitive" : false
698.             }, {
699.               "platform" : {
700.                 "catalogVersion" : 230233,
701.                 "dbVersion" : 2,
702.                 "id" : "5a1a45c9e4b0401274ab7141",
703.                 "name" : "macos",
704.                 "topic" : "/mcafee/mar/agent/query/macos",
705.                 "enabled" : true
706.               },
707.               "utf8Sensitive" : false
708.             } ],
709.             "itemType" : "CUSTOM",
710.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
711.           },
712.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
713.           "arguments" : [ ],
714.           "utf8Sensitive" : false
715.         }, {
716.           "platform" : {
717.             "catalogVersion" : 230233,
718.             "dbVersion" : 2,
719.             "id" : "58efec8ee4b0c390d69a8e0e",
720.             "name" : "windows",
721.             "topic" : "/mcafee/mar/agent/query/windows",
722.             "enabled" : true
723.           },
724.           "capability" : {
725.             "catalogVersion" : 230233,
726.             "dbVersion" : 2,
727.             "id" : "58efec8ee4b0c390d69a8e12",
728.             "name" : "Visual Basic Script",
729.             "description" : "Executes VBS script on target client",
730.             "module" : "SystemRuntime",
731.             "function" : "executeVBS",
732.             "contentEnabled" : true,
733.             "arguments" : [ ],
734.             "outputs" : [ ],
735.             "formatArgs" : {
736.               "hasHeaders" : false,
737.               "delimiter" : ","
738.             },
739.             "format" : "CSV",
740.             "platforms" : [ {
741.               "catalogVersion" : 230233,
742.               "dbVersion" : 2,
743.               "id" : "58efec8ee4b0c390d69a8e0e",
744.               "name" : "windows",
745.               "topic" : "/mcafee/mar/agent/query/windows",
746.               "enabled" : true
747.             } ],
748.             "platformSettings" : [ {
749.               "platform" : {
750.                 "catalogVersion" : 230233,
751.                 "dbVersion" : 2,
752.                 "id" : "58efec8ee4b0c390d69a8e0e",
753.                 "name" : "windows",
754.                 "topic" : "/mcafee/mar/agent/query/windows",
755.                 "enabled" : true
756.               },
757.               "utf8Sensitive" : false
758.             } ],
759.             "itemType" : "CUSTOM",
760.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
761.           },
762.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
763.           "arguments" : [ ],
764.           "utf8Sensitive" : false
765.         }, {
766.           "platform" : {
767.             "catalogVersion" : 230233,
768.             "dbVersion" : 2,
769.             "id" : "5a1a45c9e4b0401274ab7141",
770.             "name" : "macos",
771.             "topic" : "/mcafee/mar/agent/query/macos",
772.             "enabled" : true
773.           },
774.           "capability" : {
775.             "catalogVersion" : 230233,
776.             "dbVersion" : 2,
777.             "id" : "5a1a45cae4b0401274ab7183",
778.             "name" : "HostInfo SysInfo",
779.             "description" : "Shows Hostname, 1st IP Address and OS version",
780.             "module" : "SysInfo",
781.             "function" : "HostInfo",
782.             "contentEnabled" : false,
783.             "arguments" : [ ],
784.             "outputs" : [ ],
785.             "formatArgs" : { },
786.             "format" : "BIN",
787.             "platforms" : [ {
788.               "catalogVersion" : 230233,
789.               "dbVersion" : 2,
790.               "id" : "5a1a45c9e4b0401274ab7141",
791.               "name" : "macos",
792.               "topic" : "/mcafee/mar/agent/query/macos",
793.               "enabled" : true
794.             } ],
795.             "platformSettings" : [ {
796.               "platform" : {
797.                 "catalogVersion" : 230233,
798.                 "dbVersion" : 2,
799.                 "id" : "5a1a45c9e4b0401274ab7141",
800.                 "name" : "macos",
801.                 "topic" : "/mcafee/mar/agent/query/macos",
802.                 "enabled" : true
803.               },
804.               "utf8Sensitive" : false
805.             } ],
806.             "itemType" : "BUILTIN",
807.             "catalogItems" : [ "COLLECTOR" ]
808.           },
809.           "content" : null,
810.           "arguments" : [ ],
811.           "utf8Sensitive" : false
812.         } ],
813.         "timeout" : 60,
814.         "outputs" : [ {
815.           "id" : "58efec8ee4b0c390d69a8ec2",
816.           "name" : "hostname",
817.           "type" : "STRING",
818.           "byDefault" : false,
819.           "sequence" : 1
820.         }, {
821.           "id" : "58efec8ee4b0c390d69a8ec3",
822.           "name" : "ip_address",
823.           "type" : "IPV4IPV6",
824.           "byDefault" : false,
825.           "sequence" : 2
826.         }, {
827.           "id" : "58efec8ee4b0c390d69a8ec4",
828.           "name" : "os",
829.           "type" : "STRING",
830.           "byDefault" : false,
831.           "sequence" : 3
832.         }, {
833.           "id" : "5b3f9b64e4b0dfaf321a6346",
834.           "name" : "connection_status",
835.           "type" : "STRING",
836.           "byDefault" : false,
837.           "sequence" : 4
838.         }, {
839.           "id" : "5b3f9b64e4b0dfaf321a6347",
840.           "name" : "platform",
841.           "type" : "STRING",
842.           "byDefault" : false,
843.           "sequence" : 5
844.         } ]
845.       },
846.       "sequence" : "1",
847.       "output" : [ ]
848.     } ],
849.     "disjunction" : {
850.       "conjunctions" : [ {
851.         "terms" : [ {
852.           "output" : {
853.             "id" : "58efec8ee4b0c390d69a8ec7",
854.             "name" : "hotfix_id",
855.             "type" : "STRING",
856.             "byDefault" : false,
857.             "sequence" : 2
858.           },
859.           "operator" : "CONTAINS",
860.           "value" : "2992611",
861.           "negated" : true,
862.           "collector" : {
863.             "catalogVersion" : 230233,
864.             "dbVersion" : 2,
865.             "id" : "58efec8ee4b0c390d69a8eca",
866.             "name" : "InstalledUpdates",
867.             "description" : "Shows all installed updates, hot fixes and security updates",
868.             "type" : "BUILTIN",
869.             "contents" : [ {
870.               "platform" : {
871.                 "catalogVersion" : 230233,
872.                 "dbVersion" : 2,
873.                 "id" : "5a1a45c9e4b0401274ab7141",
874.                 "name" : "macos",
875.                 "topic" : "/mcafee/mar/agent/query/macos",
876.                 "enabled" : true
877.               },
878.               "capability" : {
879.                 "catalogVersion" : 230233,
880.                 "dbVersion" : 2,
881.                 "id" : "5a1a45cae4b0401274ab7187",
882.                 "name" : "Updates SysInfo",
883.                 "description" : "List of installed updates",
884.                 "module" : "SysInfo",
885.                 "function" : "SoftwareUpdate",
886.                 "contentEnabled" : false,
887.                 "arguments" : [ ],
888.                 "outputs" : [ ],
889.                 "formatArgs" : { },
890.                 "format" : "BIN",
891.                 "platforms" : [ {
892.                   "catalogVersion" : 230233,
893.                   "dbVersion" : 2,
894.                   "id" : "5a1a45c9e4b0401274ab7141",
895.                   "name" : "macos",
896.                   "topic" : "/mcafee/mar/agent/query/macos",
897.                   "enabled" : true
898.                 } ],
899.                 "platformSettings" : [ {
900.                   "platform" : {
901.                     "catalogVersion" : 230233,
902.                     "dbVersion" : 2,
903.                     "id" : "5a1a45c9e4b0401274ab7141",
904.                     "name" : "macos",
905.                     "topic" : "/mcafee/mar/agent/query/macos",
906.                     "enabled" : true
907.                   },
908.                   "utf8Sensitive" : false
909.                 } ],
910.                 "itemType" : "BUILTIN",
911.                 "catalogItems" : [ "COLLECTOR" ]
912.               },
913.               "content" : null,
914.               "arguments" : [ ],
915.               "utf8Sensitive" : false
916.             }, {
917.               "platform" : {
918.                 "catalogVersion" : 230233,
919.                 "dbVersion" : 2,
920.                 "id" : "58efec8ee4b0c390d69a8e0f",
921.                 "name" : "linux",
922.                 "topic" : "/mcafee/mar/agent/query/linux",
923.                 "enabled" : true
924.               },
925.               "capability" : {
926.                 "catalogVersion" : 230233,
927.                 "dbVersion" : 2,
928.                 "id" : "58efec8ee4b0c390d69a8e51",
929.                 "name" : "NotAvailable",
930.                 "description" : "Capability not available",
931.                 "module" : "Internal",
932.                 "function" : "GetFalseResult",
933.                 "contentEnabled" : false,
934.                 "arguments" : [ ],
935.                 "outputs" : [ ],
936.                 "formatArgs" : { },
937.                 "format" : "BIN",
938.                 "platforms" : [ {
939.                   "catalogVersion" : 230233,
940.                   "dbVersion" : 2,
941.                   "id" : "58efec8ee4b0c390d69a8e0e",
942.                   "name" : "windows",
943.                   "topic" : "/mcafee/mar/agent/query/windows",
944.                   "enabled" : true
945.                 }, {
946.                   "catalogVersion" : 230233,
947.                   "dbVersion" : 2,
948.                   "id" : "58efec8ee4b0c390d69a8e0f",
949.                   "name" : "linux",
950.                   "topic" : "/mcafee/mar/agent/query/linux",
951.                   "enabled" : true
952.                 } ],
953.                 "platformSettings" : [ ],
954.                 "itemType" : "BUILTIN",
955.                 "catalogItems" : [ ]
956.               },
957.               "content" : null,
958.               "arguments" : null,
959.               "utf8Sensitive" : false
960.             }, {
961.               "platform" : {
962.                 "catalogVersion" : 230233,
963.                 "dbVersion" : 2,
964.                 "id" : "58efec8ee4b0c390d69a8e0e",
965.                 "name" : "windows",
966.                 "topic" : "/mcafee/mar/agent/query/windows",
967.                 "enabled" : true
968.               },
969.               "capability" : {
970.                 "catalogVersion" : 230233,
971.                 "dbVersion" : 2,
972.                 "id" : "58efec8ee4b0c390d69a8e61",
973.                 "name" : "Execute PowerShell Script",
974.                 "description" : "Runs Windows PowerShell Scripts",
975.                 "module" : "SystemRuntime",
976.                 "function" : "executePS",
977.                 "contentEnabled" : true,
978.                 "arguments" : [ ],
979.                 "outputs" : [ ],
980.                 "formatArgs" : {
981.                   "hasHeaders" : false,
982.                   "delimiter" : ","
983.                 },
984.                 "format" : "CSV",
985.                 "platforms" : [ {
986.                   "catalogVersion" : 230233,
987.                   "dbVersion" : 2,
988.                   "id" : "58efec8ee4b0c390d69a8e0e",
989.                   "name" : "windows",
990.                   "topic" : "/mcafee/mar/agent/query/windows",
991.                   "enabled" : true
992.                 } ],
993.                 "platformSettings" : [ {
994.                   "platform" : {
995.                     "catalogVersion" : 230233,
996.                     "dbVersion" : 2,
997.                     "id" : "58efec8ee4b0c390d69a8e0e",
998.                     "name" : "windows",
999.                     "topic" : "/mcafee/mar/agent/query/windows",
1000.                     "enabled" : true
1001.                   },
1002.                   "utf8Sensitive" : false
1003.                 } ],
1004.                 "itemType" : "CUSTOM",
1005.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
1006.               },
1007.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all installed updates, hot fixes and security updates\r\n#\r\n# Version: 1.0\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n\r\n$objQuickFixes = Get-WmiObject Win32_QuickFixEngineering;\r\nforeach ($objQuickFix in $objQuickFixes){\r\n    $date = \"\";\r\n    if($objQuickFix.InstalledOn){\r\n        $date = $objQuickFix.InstalledOn.ToString(\"yyyy-MM-dd HH:mm:ss\")\r\n    }\r\n    Write-Output ($objQuickFix.Description + \",\" +$objQuickFix.HotFixID + \",\" + $date + \",\" + ($objQuickFix.InstalledBy -replace '\\\\','/') + \",,\")\r\n}\r\n",
1008.               "arguments" : [ ],
1009.               "utf8Sensitive" : false
1010.             } ],
1011.             "timeout" : 60,
1012.             "outputs" : [ {
1013.               "id" : "58efec8ee4b0c390d69a8ec6",
1014.               "name" : "description",
1015.               "type" : "STRING",
1016.               "byDefault" : false,
1017.               "sequence" : 1
1018.             }, {
1019.               "id" : "58efec8ee4b0c390d69a8ec7",
1020.               "name" : "hotfix_id",
1021.               "type" : "STRING",
1022.               "byDefault" : false,
1023.               "sequence" : 2
1024.             }, {
1025.               "id" : "58efec8ee4b0c390d69a8ec8",
1026.               "name" : "install_date",
1027.               "type" : "DATE",
1028.               "byDefault" : false,
1029.               "sequence" : 3
1030.             }, {
1031.               "id" : "58efec8ee4b0c390d69a8ec9",
1032.               "name" : "installed_by",
1033.               "type" : "STRING",
1034.               "byDefault" : false,
1035.               "sequence" : 4
1036.             }, {
1037.               "id" : "5a1a45cbe4b0401274ab7193",
1038.               "name" : "source",
1039.               "type" : "STRING",
1040.               "byDefault" : false,
1041.               "sequence" : 998
1042.             }, {
1043.               "id" : "5a1a45cbe4b0401274ab7194",
1044.               "name" : "version",
1045.               "type" : "STRING",
1046.               "byDefault" : false,
1047.               "sequence" : 999
1048.             } ]
1049.           }
1050.         } ]
1051.       } ]
1052.     },
1053.     "running" : false,
1054.     "createdAt" : 1530900630237,
1055.     "executedAt" : null,
1056.     "status" : "CREATED",
1057.     "ttl" : 60000,
1058.     "startTime" : null,
1059.     "endpointPermission" : null,
1060.     "maGuidsTarget" : null,
1061.     "expectedHostResponses" : 0
1062.   },
1063.   "type" : "com.intel.mar.model.search.Search"
1064. }, {
1065.   "item" : {
1066.     "catalogVersion" : 1,
1067.     "dbVersion" : 2,
1068.     "id" : "5b3fb096e4b0cbe06dd67315",
1069.     "name" : "Expiring Certificates",
1070.     "description" : "",
1071.     "type" : null,
1072.     "expression" : null,
1073.     "temporal" : false,
1074.     "invalid" : false,
1075.     "aggregated" : false,
1076.     "projections" : [ {
1077.       "collector" : {
1078.         "catalogVersion" : 230233,
1079.         "dbVersion" : 2,
1080.         "id" : "58efec8ee4b0c390d69a8ec5",
1081.         "name" : "HostInfo",
1082.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
1083.         "type" : "BUILTIN",
1084.         "contents" : [ {
1085.           "platform" : {
1086.             "catalogVersion" : 230233,
1087.             "dbVersion" : 2,
1088.             "id" : "58efec8ee4b0c390d69a8e0f",
1089.             "name" : "linux",
1090.             "topic" : "/mcafee/mar/agent/query/linux",
1091.             "enabled" : true
1092.           },
1093.           "capability" : {
1094.             "catalogVersion" : 230233,
1095.             "dbVersion" : 2,
1096.             "id" : "58efec8ee4b0c390d69a8e14",
1097.             "name" : "Bash Script",
1098.             "description" : "Executes Bash script on target client",
1099.             "module" : "SystemRuntime",
1100.             "function" : "executeBash",
1101.             "contentEnabled" : true,
1102.             "arguments" : [ ],
1103.             "outputs" : [ ],
1104.             "formatArgs" : {
1105.               "hasHeaders" : false,
1106.               "delimiter" : ","
1107.             },
1108.             "format" : "CSV",
1109.             "platforms" : [ {
1110.               "catalogVersion" : 230233,
1111.               "dbVersion" : 2,
1112.               "id" : "58efec8ee4b0c390d69a8e0f",
1113.               "name" : "linux",
1114.               "topic" : "/mcafee/mar/agent/query/linux",
1115.               "enabled" : true
1116.             }, {
1117.               "catalogVersion" : 230233,
1118.               "dbVersion" : 2,
1119.               "id" : "5a1a45c9e4b0401274ab7141",
1120.               "name" : "macos",
1121.               "topic" : "/mcafee/mar/agent/query/macos",
1122.               "enabled" : true
1123.             } ],
1124.             "platformSettings" : [ {
1125.               "platform" : {
1126.                 "catalogVersion" : 230233,
1127.                 "dbVersion" : 2,
1128.                 "id" : "58efec8ee4b0c390d69a8e0f",
1129.                 "name" : "linux",
1130.                 "topic" : "/mcafee/mar/agent/query/linux",
1131.                 "enabled" : true
1132.               },
1133.               "utf8Sensitive" : false
1134.             }, {
1135.               "platform" : {
1136.                 "catalogVersion" : 230233,
1137.                 "dbVersion" : 2,
1138.                 "id" : "5a1a45c9e4b0401274ab7141",
1139.                 "name" : "macos",
1140.                 "topic" : "/mcafee/mar/agent/query/macos",
1141.                 "enabled" : true
1142.               },
1143.               "utf8Sensitive" : false
1144.             } ],
1145.             "itemType" : "CUSTOM",
1146.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1147.           },
1148.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
1149.           "arguments" : [ ],
1150.           "utf8Sensitive" : false
1151.         }, {
1152.           "platform" : {
1153.             "catalogVersion" : 230233,
1154.             "dbVersion" : 2,
1155.             "id" : "58efec8ee4b0c390d69a8e0e",
1156.             "name" : "windows",
1157.             "topic" : "/mcafee/mar/agent/query/windows",
1158.             "enabled" : true
1159.           },
1160.           "capability" : {
1161.             "catalogVersion" : 230233,
1162.             "dbVersion" : 2,
1163.             "id" : "58efec8ee4b0c390d69a8e12",
1164.             "name" : "Visual Basic Script",
1165.             "description" : "Executes VBS script on target client",
1166.             "module" : "SystemRuntime",
1167.             "function" : "executeVBS",
1168.             "contentEnabled" : true,
1169.             "arguments" : [ ],
1170.             "outputs" : [ ],
1171.             "formatArgs" : {
1172.               "hasHeaders" : false,
1173.               "delimiter" : ","
1174.             },
1175.             "format" : "CSV",
1176.             "platforms" : [ {
1177.               "catalogVersion" : 230233,
1178.               "dbVersion" : 2,
1179.               "id" : "58efec8ee4b0c390d69a8e0e",
1180.               "name" : "windows",
1181.               "topic" : "/mcafee/mar/agent/query/windows",
1182.               "enabled" : true
1183.             } ],
1184.             "platformSettings" : [ {
1185.               "platform" : {
1186.                 "catalogVersion" : 230233,
1187.                 "dbVersion" : 2,
1188.                 "id" : "58efec8ee4b0c390d69a8e0e",
1189.                 "name" : "windows",
1190.                 "topic" : "/mcafee/mar/agent/query/windows",
1191.                 "enabled" : true
1192.               },
1193.               "utf8Sensitive" : false
1194.             } ],
1195.             "itemType" : "CUSTOM",
1196.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1197.           },
1198.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
1199.           "arguments" : [ ],
1200.           "utf8Sensitive" : false
1201.         }, {
1202.           "platform" : {
1203.             "catalogVersion" : 230233,
1204.             "dbVersion" : 2,
1205.             "id" : "5a1a45c9e4b0401274ab7141",
1206.             "name" : "macos",
1207.             "topic" : "/mcafee/mar/agent/query/macos",
1208.             "enabled" : true
1209.           },
1210.           "capability" : {
1211.             "catalogVersion" : 230233,
1212.             "dbVersion" : 2,
1213.             "id" : "5a1a45cae4b0401274ab7183",
1214.             "name" : "HostInfo SysInfo",
1215.             "description" : "Shows Hostname, 1st IP Address and OS version",
1216.             "module" : "SysInfo",
1217.             "function" : "HostInfo",
1218.             "contentEnabled" : false,
1219.             "arguments" : [ ],
1220.             "outputs" : [ ],
1221.             "formatArgs" : { },
1222.             "format" : "BIN",
1223.             "platforms" : [ {
1224.               "catalogVersion" : 230233,
1225.               "dbVersion" : 2,
1226.               "id" : "5a1a45c9e4b0401274ab7141",
1227.               "name" : "macos",
1228.               "topic" : "/mcafee/mar/agent/query/macos",
1229.               "enabled" : true
1230.             } ],
1231.             "platformSettings" : [ {
1232.               "platform" : {
1233.                 "catalogVersion" : 230233,
1234.                 "dbVersion" : 2,
1235.                 "id" : "5a1a45c9e4b0401274ab7141",
1236.                 "name" : "macos",
1237.                 "topic" : "/mcafee/mar/agent/query/macos",
1238.                 "enabled" : true
1239.               },
1240.               "utf8Sensitive" : false
1241.             } ],
1242.             "itemType" : "BUILTIN",
1243.             "catalogItems" : [ "COLLECTOR" ]
1244.           },
1245.           "content" : null,
1246.           "arguments" : [ ],
1247.           "utf8Sensitive" : false
1248.         } ],
1249.         "timeout" : 60,
1250.         "outputs" : [ {
1251.           "id" : "58efec8ee4b0c390d69a8ec2",
1252.           "name" : "hostname",
1253.           "type" : "STRING",
1254.           "byDefault" : false,
1255.           "sequence" : 1
1256.         }, {
1257.           "id" : "58efec8ee4b0c390d69a8ec3",
1258.           "name" : "ip_address",
1259.           "type" : "IPV4IPV6",
1260.           "byDefault" : false,
1261.           "sequence" : 2
1262.         }, {
1263.           "id" : "58efec8ee4b0c390d69a8ec4",
1264.           "name" : "os",
1265.           "type" : "STRING",
1266.           "byDefault" : false,
1267.           "sequence" : 3
1268.         }, {
1269.           "id" : "5b3f9b64e4b0dfaf321a6346",
1270.           "name" : "connection_status",
1271.           "type" : "STRING",
1272.           "byDefault" : false,
1273.           "sequence" : 4
1274.         }, {
1275.           "id" : "5b3f9b64e4b0dfaf321a6347",
1276.           "name" : "platform",
1277.           "type" : "STRING",
1278.           "byDefault" : false,
1279.           "sequence" : 5
1280.         } ]
1281.       },
1282.       "sequence" : "1",
1283.       "output" : [ {
1284.         "id" : "58efec8ee4b0c390d69a8ec2",
1285.         "name" : "hostname",
1286.         "type" : "STRING",
1287.         "byDefault" : false,
1288.         "sequence" : 1
1289.       } ]
1290.     }, {
1291.       "collector" : {
1292.         "catalogVersion" : 230233,
1293.         "dbVersion" : 2,
1294.         "id" : "58efec8fe4b0c390d69a8f19",
1295.         "name" : "InstalledCertificates",
1296.         "description" : "Shows a list of installed certificates on Windows and Linux endpoints. Details the issuer, expiration date and purposes of the certificates.",
1297.         "type" : "BUILTIN",
1298.         "contents" : [ {
1299.           "platform" : {
1300.             "catalogVersion" : 230233,
1301.             "dbVersion" : 2,
1302.             "id" : "58efec8ee4b0c390d69a8e0e",
1303.             "name" : "windows",
1304.             "topic" : "/mcafee/mar/agent/query/windows",
1305.             "enabled" : true
1306.           },
1307.           "capability" : {
1308.             "catalogVersion" : 230233,
1309.             "dbVersion" : 2,
1310.             "id" : "58efec8ee4b0c390d69a8e61",
1311.             "name" : "Execute PowerShell Script",
1312.             "description" : "Runs Windows PowerShell Scripts",
1313.             "module" : "SystemRuntime",
1314.             "function" : "executePS",
1315.             "contentEnabled" : true,
1316.             "arguments" : [ ],
1317.             "outputs" : [ ],
1318.             "formatArgs" : {
1319.               "hasHeaders" : false,
1320.               "delimiter" : ","
1321.             },
1322.             "format" : "CSV",
1323.             "platforms" : [ {
1324.               "catalogVersion" : 230233,
1325.               "dbVersion" : 2,
1326.               "id" : "58efec8ee4b0c390d69a8e0e",
1327.               "name" : "windows",
1328.               "topic" : "/mcafee/mar/agent/query/windows",
1329.               "enabled" : true
1330.             } ],
1331.             "platformSettings" : [ {
1332.               "platform" : {
1333.                 "catalogVersion" : 230233,
1334.                 "dbVersion" : 2,
1335.                 "id" : "58efec8ee4b0c390d69a8e0e",
1336.                 "name" : "windows",
1337.                 "topic" : "/mcafee/mar/agent/query/windows",
1338.                 "enabled" : true
1339.               },
1340.               "utf8Sensitive" : false
1341.             } ],
1342.             "itemType" : "CUSTOM",
1343.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1344.           },
1345.           "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows a list of installed certificates on Windows and Linux endpoints. Details the issuer, expiration date and purposes of the certificates.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 5000\r\n$newsize.width = 5000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\nFunction ParseIntendedPurposes ($ip){\r\n    $fields = $ip | ForEach-Object {$_.FriendlyName}\r\n    $res = \"\"\r\n    if($fields.Count -eq 1) {\r\n        $res = [string]$fields\r\n    } else {\r\n        for($i=0; $i -lt $fields.Count; $i++) {\r\n            $res += [string]$fields[$i]\r\n            if($i+1 -lt $fields.Count){ $res += \" , \" }\r\n        }\r\n    }\r\n    return $res\r\n}\r\n\r\n$result = @()\r\nforeach( $cert in Get-ChildItem -Recurse Cert:) {\r\n\r\n    Try {\r\n        $issued_to = ([string]$cert.Subject) -replace \"\\\\\",\"\\\\\";\r\n        $issued_to = ([string]$issued_to) -replace \"`\"\",\"`\\`\"\";\r\n    } Catch {\r\n        $issued_to = \"\";\r\n    }\r\n    Try {\r\n        $issued_by = ([string]$cert.Issuer) -replace \"\\\\\",\"\\\\\";\r\n        $issued_by = ([string]$issued_by) -replace \"`\"\",\"`\\`\"\";\r\n    } Catch {\r\n        $issued_by = \"\";\r\n    }\r\n    Try {\r\n        $expiration_date = [string]$cert.NotAfter.Year + \"-\" + [string]$cert.NotAfter.Month + \"-\" + [string]$cert.NotAfter.Day + \" \" + [string]$cert.NotAfter.Hour + \":\" + [string]$cert.NotAfter.Minute + \":\" + [string]$cert.NotAfter.Second;\r\n    } Catch {\r\n        $expiration_date = \"-- ::\";\r\n    }\r\n    Try {\r\n        $key_usages = \"\";\r\n        foreach( $ext in $cert.Extensions) {\r\n            foreach( $eku in $ext.KeyUsages) {\r\n                $key_usages += [string]$eku;\r\n            }\r\n        }\r\n    } Catch {\r\n        $key_usages = \"\";\r\n    }\r\n    Try {\r\n        $enhanced_key_usages = ParseIntendedPurposes(($cert | Select-Object EnhancedKeyUsageList).EnhancedKeyUsageList);\r\n    } Catch {\r\n        $enhanced_key_usages = \"\";\r\n    }\r\n    Try {\r\n        $friendly_name = ([string]$cert.FriendlyName);\r\n    } Catch {\r\n        $friendly_name = \"\";\r\n    }\r\n\r\n    if(!(([string]$issued_to -eq \"\") -and ([string]$issued_by -eq \"\") -and ([string]$expiration_date -eq \"-- ::\") -and ([string]$key_usages -eq \"\") -and ([string]$enhanced_key_usages -eq \"\") -and ([string]$friendly_name -eq \"\"))) {\r\n        $result += \"`\"\" + $issued_to + \"`\",`\"\" + $issued_by + \"`\",`\"\" + $expiration_date + \"`\",`\"\" + $key_usages + \"`\",`\"\" + $enhanced_key_usages + \"`\",`\"\" + $friendly_name + \"`\"\";\r\n    }\r\n}\r\n\r\nfor($i=0; $i -lt $result.Count; $i++) {\r\n    Write-Output $result[$i];\r\n}\r\n",
1346.           "arguments" : [ ],
1347.           "utf8Sensitive" : false
1348.         }, {
1349.           "platform" : {
1350.             "catalogVersion" : 230233,
1351.             "dbVersion" : 2,
1352.             "id" : "5a1a45c9e4b0401274ab7141",
1353.             "name" : "macos",
1354.             "topic" : "/mcafee/mar/agent/query/macos",
1355.             "enabled" : true
1356.           },
1357.           "capability" : {
1358.             "catalogVersion" : 230233,
1359.             "dbVersion" : 2,
1360.             "id" : "58efec8ee4b0c390d69a8e14",
1361.             "name" : "Bash Script",
1362.             "description" : "Executes Bash script on target client",
1363.             "module" : "SystemRuntime",
1364.             "function" : "executeBash",
1365.             "contentEnabled" : true,
1366.             "arguments" : [ ],
1367.             "outputs" : [ ],
1368.             "formatArgs" : {
1369.               "hasHeaders" : false,
1370.               "delimiter" : ","
1371.             },
1372.             "format" : "CSV",
1373.             "platforms" : [ {
1374.               "catalogVersion" : 230233,
1375.               "dbVersion" : 2,
1376.               "id" : "58efec8ee4b0c390d69a8e0f",
1377.               "name" : "linux",
1378.               "topic" : "/mcafee/mar/agent/query/linux",
1379.               "enabled" : true
1380.             }, {
1381.               "catalogVersion" : 230233,
1382.               "dbVersion" : 2,
1383.               "id" : "5a1a45c9e4b0401274ab7141",
1384.               "name" : "macos",
1385.               "topic" : "/mcafee/mar/agent/query/macos",
1386.               "enabled" : true
1387.             } ],
1388.             "platformSettings" : [ {
1389.               "platform" : {
1390.                 "catalogVersion" : 230233,
1391.                 "dbVersion" : 2,
1392.                 "id" : "58efec8ee4b0c390d69a8e0f",
1393.                 "name" : "linux",
1394.                 "topic" : "/mcafee/mar/agent/query/linux",
1395.                 "enabled" : true
1396.               },
1397.               "utf8Sensitive" : false
1398.             }, {
1399.               "platform" : {
1400.                 "catalogVersion" : 230233,
1401.                 "dbVersion" : 2,
1402.                 "id" : "5a1a45c9e4b0401274ab7141",
1403.                 "name" : "macos",
1404.                 "topic" : "/mcafee/mar/agent/query/macos",
1405.                 "enabled" : true
1406.               },
1407.               "utf8Sensitive" : false
1408.             } ],
1409.             "itemType" : "CUSTOM",
1410.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1411.           },
1412.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows a list of installed certificates on Windows, Linux and Mac endpoints. Details the issuer, expiration date and purposes of the certificates.\n#\n# Version: 1.0\n\nfunction escapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\nfunction add_certificates_to_array {\n    while read -r line; do\n        certificates_array[$index_certificates]=\"${certificates_array[$index_certificates]}\\n$line\"\n        if [[ $line =~ \"END CERTIFICATE\" ]]; then\n            ((index_certificates++))\n        fi\n    done <<< \"$1\"\n}\n\nfunction add_user_keychains {\n    _RAWDB=$(dscl . -readall /Users 'NFSHomeDirectory' | sed 's/^RecordName://g' | sed '/^$/d')\n    oldIFS=\"$IFS\"\n    IFS='-'\n    _ARRAYRAWDB=( $_RAWDB )\n    IFS=\"$oldIFS\"\n\n    for (( i=0; i<${#_ARRAYRAWDB[*]}; i=i+1 ))\n    do\n        _ARRAYRAWDB[i]=${_ARRAYRAWDB[i]//NFSHomeDirectory: /}\n        IFS=$'\\n'\n        userInfo=( ${_ARRAYRAWDB[i]} )\n        IFS=\"$oldIFS\"\n        loginKeychain=\"${userInfo[0]}/Library/Keychains/login.keychain\"\n        if [ -r \"$loginKeychain\" ]\n        then\n            keychainFiles[$index_user_keychains]=\"$loginKeychain\"\n            ((index_user_keychains++))\n        fi\n    done\n}\n\n\nkeychainFiles=()\nindex_user_keychains=0\nadd_user_keychains\nkeychainFiles+=(\"/System/Library/Keychains/SystemCACertificates.keychain\")\nkeychainFiles+=(\"/Library/Keychains/System.keychain\")\nkeychainFiles+=(\"/System/Library/Keychains/SystemRootCertificates.keychain\")\n\nindex_certificates=0\ncertificates_array=()\nfor f in \"${keychainFiles[@]}\"\ndo\n    add_certificates_to_array \"$(security find-certificate -p -a \"$f\")\"\ndone\n\nfor cert in \"${certificates_array[@]}\"\ndo\n    plain_cert=$(echo -e \"$cert\" | openssl x509 -text -nameopt utf8,oneline,-esc_msb)\n    issuer=$(echo -e \"$plain_cert\" | sed -n -Ee 's/.*Issuer: //p' | escapeSpecialCharacters)\n    subject=$(echo -e \"$plain_cert\"  | sed -n -Ee 's/.*Subject: //p' | escapeSpecialCharacters)\n    exp_date=$(echo -e \"$plain_cert\" | sed -n -Ee 's/.*After : (.*)/\\\"\\1\\\"/p' | xargs date -j -f \"%b %d %T %Y %Z\" \"+%F %T\" | escapeSpecialCharacters)\n    purposes=$(echo -e \"$plain_cert\" | grep -A1 \"X509v3 Key Usage:\" | perl -0777 -pe 's/\\s*X509v3 Key Usage:.*?\\n\\s*(.*?$).*/\\1\\n/ms' | escapeSpecialCharacters)\n    echo -e \"\\\"$subject\\\",\\\"$issuer\\\",\\\"$exp_date\\\",\\\"$purposes\\\",\\\"\\\",\\\"\\\"\"\ndone\n",
1413.           "arguments" : [ ],
1414.           "utf8Sensitive" : false
1415.         }, {
1416.           "platform" : {
1417.             "catalogVersion" : 230233,
1418.             "dbVersion" : 2,
1419.             "id" : "58efec8ee4b0c390d69a8e0f",
1420.             "name" : "linux",
1421.             "topic" : "/mcafee/mar/agent/query/linux",
1422.             "enabled" : true
1423.           },
1424.           "capability" : {
1425.             "catalogVersion" : 230233,
1426.             "dbVersion" : 2,
1427.             "id" : "58efec8ee4b0c390d69a8e14",
1428.             "name" : "Bash Script",
1429.             "description" : "Executes Bash script on target client",
1430.             "module" : "SystemRuntime",
1431.             "function" : "executeBash",
1432.             "contentEnabled" : true,
1433.             "arguments" : [ ],
1434.             "outputs" : [ ],
1435.             "formatArgs" : {
1436.               "hasHeaders" : false,
1437.               "delimiter" : ","
1438.             },
1439.             "format" : "CSV",
1440.             "platforms" : [ {
1441.               "catalogVersion" : 230233,
1442.               "dbVersion" : 2,
1443.               "id" : "58efec8ee4b0c390d69a8e0f",
1444.               "name" : "linux",
1445.               "topic" : "/mcafee/mar/agent/query/linux",
1446.               "enabled" : true
1447.             }, {
1448.               "catalogVersion" : 230233,
1449.               "dbVersion" : 2,
1450.               "id" : "5a1a45c9e4b0401274ab7141",
1451.               "name" : "macos",
1452.               "topic" : "/mcafee/mar/agent/query/macos",
1453.               "enabled" : true
1454.             } ],
1455.             "platformSettings" : [ {
1456.               "platform" : {
1457.                 "catalogVersion" : 230233,
1458.                 "dbVersion" : 2,
1459.                 "id" : "58efec8ee4b0c390d69a8e0f",
1460.                 "name" : "linux",
1461.                 "topic" : "/mcafee/mar/agent/query/linux",
1462.                 "enabled" : true
1463.               },
1464.               "utf8Sensitive" : false
1465.             }, {
1466.               "platform" : {
1467.                 "catalogVersion" : 230233,
1468.                 "dbVersion" : 2,
1469.                 "id" : "5a1a45c9e4b0401274ab7141",
1470.                 "name" : "macos",
1471.                 "topic" : "/mcafee/mar/agent/query/macos",
1472.                 "enabled" : true
1473.               },
1474.               "utf8Sensitive" : false
1475.             } ],
1476.             "itemType" : "CUSTOM",
1477.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1478.           },
1479.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows a list of installed certificates on Windows, Linux and Mac endpoints. Details the issuer, expiration date and purposes of the certificates.\n\ngetCertificates() {\n    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.trust.crt -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs -text -noout\n}\n\n\nescapeSpecialCharacters() {\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\nparseDate() {\n    unformatted_date=\"$1\"\n    if [ -z \"$unformatted_date\" ]; then\n        return 1\n    else\n        date \"+%F %T\" -d \"$unformatted_date\" 2>/dev/null\n    fi\n}\n\nprintCert() {\n    cert=\"$1\"\n    if [ -z \"$cert\" ]; then\n        return 1\n    fi\n    issuer=$(echo -e \"$cert\" | sed -n -Ee 's/.*Issuer: //p' | escapeSpecialCharacters)\n    subject=$(echo -e \"$cert\"  | sed -n -Ee 's/.*Subject: //p' | escapeSpecialCharacters)\n    purposes=$(echo -e \"$cert\" | grep -A1 \"X509v3 Key Usage:\" | perl -0777 -pe 's/\\s*X509v3 Key Usage:.*?\\n\\s*(.*?$).*/\\1\\n/ms' | escapeSpecialCharacters)\n    exp_date=$(echo -e \"$cert\" | sed -n -Ee 's/.*After : (.*)/\\1/p')\n    exp_date_parsed=$(parseDate \"$exp_date\" | escapeSpecialCharacters)\n    echo -e \"\\\"$subject\\\",\\\"$issuer\\\",\\\"$exp_date_parsed\\\",\\\"$purposes\\\",\\\"\\\",\\\"\\\"\"\n}\n\nprocessCertificates() {\n   certs=$(getCertificates)\n    if [ -z \"$certs\" ]; then\n        return 0\n    fi\n\n    is_first_line=true\n    current_cert=\"\"\n\n    while read -r line; do\n        if [[ $line =~ \"Certificate:\" && $is_first_line == false ]]; then\n            printCert \"$current_cert\"\n            current_cert=\"\"\n        elif [[ $is_first_line == true ]]; then\n           is_first_line=false\n        fi\n        current_cert=\"$current_cert\\n$line\"\n    done <<< \"$certs\"\n\n    printCert \"$current_cert\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processCertificates\n\n}\n\nmain \"$@\"\n",
1480.           "arguments" : [ ],
1481.           "utf8Sensitive" : false
1482.         } ],
1483.         "timeout" : 60,
1484.         "outputs" : [ {
1485.           "id" : "58efec8ee4b0c390d69a8f13",
1486.           "name" : "issued_to",
1487.           "type" : "STRING",
1488.           "byDefault" : true,
1489.           "sequence" : 1
1490.         }, {
1491.           "id" : "58efec8ee4b0c390d69a8f14",
1492.           "name" : "issued_by",
1493.           "type" : "STRING",
1494.           "byDefault" : true,
1495.           "sequence" : 2
1496.         }, {
1497.           "id" : "58efec8ee4b0c390d69a8f15",
1498.           "name" : "expiration_date",
1499.           "type" : "DATE",
1500.           "byDefault" : true,
1501.           "sequence" : 3
1502.         }, {
1503.           "id" : "58efec8ee4b0c390d69a8f16",
1504.           "name" : "purposes",
1505.           "type" : "STRING",
1506.           "byDefault" : true,
1507.           "sequence" : 4
1508.         }, {
1509.           "id" : "58efec8ee4b0c390d69a8f17",
1510.           "name" : "purposes_extended",
1511.           "type" : "STRING",
1512.           "byDefault" : false,
1513.           "sequence" : 5
1514.         }, {
1515.           "id" : "58efec8ee4b0c390d69a8f18",
1516.           "name" : "friendly_name",
1517.           "type" : "STRING",
1518.           "byDefault" : true,
1519.           "sequence" : 6
1520.         } ]
1521.       },
1522.       "sequence" : "2",
1523.       "output" : [ {
1524.         "id" : "58efec8ee4b0c390d69a8f18",
1525.         "name" : "friendly_name",
1526.         "type" : "STRING",
1527.         "byDefault" : true,
1528.         "sequence" : 6
1529.       }, {
1530.         "id" : "58efec8ee4b0c390d69a8f15",
1531.         "name" : "expiration_date",
1532.         "type" : "DATE",
1533.         "byDefault" : true,
1534.         "sequence" : 3
1535.       } ]
1536.     } ],
1537.     "disjunction" : {
1538.       "conjunctions" : [ {
1539.         "terms" : [ {
1540.           "output" : {
1541.             "id" : "58efec8ee4b0c390d69a8f15",
1542.             "name" : "expiration_date",
1543.             "type" : "DATE",
1544.             "byDefault" : true,
1545.             "sequence" : 3
1546.           },
1547.           "operator" : "AFTER",
1548.           "value" : "2017-08-01 05:00:00",
1549.           "negated" : true,
1550.           "collector" : {
1551.             "catalogVersion" : 230233,
1552.             "dbVersion" : 2,
1553.             "id" : "58efec8fe4b0c390d69a8f19",
1554.             "name" : "InstalledCertificates",
1555.             "description" : "Shows a list of installed certificates on Windows and Linux endpoints. Details the issuer, expiration date and purposes of the certificates.",
1556.             "type" : "BUILTIN",
1557.             "contents" : [ {
1558.               "platform" : {
1559.                 "catalogVersion" : 230233,
1560.                 "dbVersion" : 2,
1561.                 "id" : "58efec8ee4b0c390d69a8e0e",
1562.                 "name" : "windows",
1563.                 "topic" : "/mcafee/mar/agent/query/windows",
1564.                 "enabled" : true
1565.               },
1566.               "capability" : {
1567.                 "catalogVersion" : 230233,
1568.                 "dbVersion" : 2,
1569.                 "id" : "58efec8ee4b0c390d69a8e61",
1570.                 "name" : "Execute PowerShell Script",
1571.                 "description" : "Runs Windows PowerShell Scripts",
1572.                 "module" : "SystemRuntime",
1573.                 "function" : "executePS",
1574.                 "contentEnabled" : true,
1575.                 "arguments" : [ ],
1576.                 "outputs" : [ ],
1577.                 "formatArgs" : {
1578.                   "hasHeaders" : false,
1579.                   "delimiter" : ","
1580.                 },
1581.                 "format" : "CSV",
1582.                 "platforms" : [ {
1583.                   "catalogVersion" : 230233,
1584.                   "dbVersion" : 2,
1585.                   "id" : "58efec8ee4b0c390d69a8e0e",
1586.                   "name" : "windows",
1587.                   "topic" : "/mcafee/mar/agent/query/windows",
1588.                   "enabled" : true
1589.                 } ],
1590.                 "platformSettings" : [ {
1591.                   "platform" : {
1592.                     "catalogVersion" : 230233,
1593.                     "dbVersion" : 2,
1594.                     "id" : "58efec8ee4b0c390d69a8e0e",
1595.                     "name" : "windows",
1596.                     "topic" : "/mcafee/mar/agent/query/windows",
1597.                     "enabled" : true
1598.                   },
1599.                   "utf8Sensitive" : false
1600.                 } ],
1601.                 "itemType" : "CUSTOM",
1602.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
1603.               },
1604.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows a list of installed certificates on Windows and Linux endpoints. Details the issuer, expiration date and purposes of the certificates.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 5000\r\n$newsize.width = 5000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\nFunction ParseIntendedPurposes ($ip){\r\n    $fields = $ip | ForEach-Object {$_.FriendlyName}\r\n    $res = \"\"\r\n    if($fields.Count -eq 1) {\r\n        $res = [string]$fields\r\n    } else {\r\n        for($i=0; $i -lt $fields.Count; $i++) {\r\n            $res += [string]$fields[$i]\r\n            if($i+1 -lt $fields.Count){ $res += \" , \" }\r\n        }\r\n    }\r\n    return $res\r\n}\r\n\r\n$result = @()\r\nforeach( $cert in Get-ChildItem -Recurse Cert:) {\r\n\r\n    Try {\r\n        $issued_to = ([string]$cert.Subject) -replace \"\\\\\",\"\\\\\";\r\n        $issued_to = ([string]$issued_to) -replace \"`\"\",\"`\\`\"\";\r\n    } Catch {\r\n        $issued_to = \"\";\r\n    }\r\n    Try {\r\n        $issued_by = ([string]$cert.Issuer) -replace \"\\\\\",\"\\\\\";\r\n        $issued_by = ([string]$issued_by) -replace \"`\"\",\"`\\`\"\";\r\n    } Catch {\r\n        $issued_by = \"\";\r\n    }\r\n    Try {\r\n        $expiration_date = [string]$cert.NotAfter.Year + \"-\" + [string]$cert.NotAfter.Month + \"-\" + [string]$cert.NotAfter.Day + \" \" + [string]$cert.NotAfter.Hour + \":\" + [string]$cert.NotAfter.Minute + \":\" + [string]$cert.NotAfter.Second;\r\n    } Catch {\r\n        $expiration_date = \"-- ::\";\r\n    }\r\n    Try {\r\n        $key_usages = \"\";\r\n        foreach( $ext in $cert.Extensions) {\r\n            foreach( $eku in $ext.KeyUsages) {\r\n                $key_usages += [string]$eku;\r\n            }\r\n        }\r\n    } Catch {\r\n        $key_usages = \"\";\r\n    }\r\n    Try {\r\n        $enhanced_key_usages = ParseIntendedPurposes(($cert | Select-Object EnhancedKeyUsageList).EnhancedKeyUsageList);\r\n    } Catch {\r\n        $enhanced_key_usages = \"\";\r\n    }\r\n    Try {\r\n        $friendly_name = ([string]$cert.FriendlyName);\r\n    } Catch {\r\n        $friendly_name = \"\";\r\n    }\r\n\r\n    if(!(([string]$issued_to -eq \"\") -and ([string]$issued_by -eq \"\") -and ([string]$expiration_date -eq \"-- ::\") -and ([string]$key_usages -eq \"\") -and ([string]$enhanced_key_usages -eq \"\") -and ([string]$friendly_name -eq \"\"))) {\r\n        $result += \"`\"\" + $issued_to + \"`\",`\"\" + $issued_by + \"`\",`\"\" + $expiration_date + \"`\",`\"\" + $key_usages + \"`\",`\"\" + $enhanced_key_usages + \"`\",`\"\" + $friendly_name + \"`\"\";\r\n    }\r\n}\r\n\r\nfor($i=0; $i -lt $result.Count; $i++) {\r\n    Write-Output $result[$i];\r\n}\r\n",
1605.               "arguments" : [ ],
1606.               "utf8Sensitive" : false
1607.             }, {
1608.               "platform" : {
1609.                 "catalogVersion" : 230233,
1610.                 "dbVersion" : 2,
1611.                 "id" : "5a1a45c9e4b0401274ab7141",
1612.                 "name" : "macos",
1613.                 "topic" : "/mcafee/mar/agent/query/macos",
1614.                 "enabled" : true
1615.               },
1616.               "capability" : {
1617.                 "catalogVersion" : 230233,
1618.                 "dbVersion" : 2,
1619.                 "id" : "58efec8ee4b0c390d69a8e14",
1620.                 "name" : "Bash Script",
1621.                 "description" : "Executes Bash script on target client",
1622.                 "module" : "SystemRuntime",
1623.                 "function" : "executeBash",
1624.                 "contentEnabled" : true,
1625.                 "arguments" : [ ],
1626.                 "outputs" : [ ],
1627.                 "formatArgs" : {
1628.                   "hasHeaders" : false,
1629.                   "delimiter" : ","
1630.                 },
1631.                 "format" : "CSV",
1632.                 "platforms" : [ {
1633.                   "catalogVersion" : 230233,
1634.                   "dbVersion" : 2,
1635.                   "id" : "58efec8ee4b0c390d69a8e0f",
1636.                   "name" : "linux",
1637.                   "topic" : "/mcafee/mar/agent/query/linux",
1638.                   "enabled" : true
1639.                 }, {
1640.                   "catalogVersion" : 230233,
1641.                   "dbVersion" : 2,
1642.                   "id" : "5a1a45c9e4b0401274ab7141",
1643.                   "name" : "macos",
1644.                   "topic" : "/mcafee/mar/agent/query/macos",
1645.                   "enabled" : true
1646.                 } ],
1647.                 "platformSettings" : [ {
1648.                   "platform" : {
1649.                     "catalogVersion" : 230233,
1650.                     "dbVersion" : 2,
1651.                     "id" : "58efec8ee4b0c390d69a8e0f",
1652.                     "name" : "linux",
1653.                     "topic" : "/mcafee/mar/agent/query/linux",
1654.                     "enabled" : true
1655.                   },
1656.                   "utf8Sensitive" : false
1657.                 }, {
1658.                   "platform" : {
1659.                     "catalogVersion" : 230233,
1660.                     "dbVersion" : 2,
1661.                     "id" : "5a1a45c9e4b0401274ab7141",
1662.                     "name" : "macos",
1663.                     "topic" : "/mcafee/mar/agent/query/macos",
1664.                     "enabled" : true
1665.                   },
1666.                   "utf8Sensitive" : false
1667.                 } ],
1668.                 "itemType" : "CUSTOM",
1669.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
1670.               },
1671.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows a list of installed certificates on Windows, Linux and Mac endpoints. Details the issuer, expiration date and purposes of the certificates.\n#\n# Version: 1.0\n\nfunction escapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\nfunction add_certificates_to_array {\n    while read -r line; do\n        certificates_array[$index_certificates]=\"${certificates_array[$index_certificates]}\\n$line\"\n        if [[ $line =~ \"END CERTIFICATE\" ]]; then\n            ((index_certificates++))\n        fi\n    done <<< \"$1\"\n}\n\nfunction add_user_keychains {\n    _RAWDB=$(dscl . -readall /Users 'NFSHomeDirectory' | sed 's/^RecordName://g' | sed '/^$/d')\n    oldIFS=\"$IFS\"\n    IFS='-'\n    _ARRAYRAWDB=( $_RAWDB )\n    IFS=\"$oldIFS\"\n\n    for (( i=0; i<${#_ARRAYRAWDB[*]}; i=i+1 ))\n    do\n        _ARRAYRAWDB[i]=${_ARRAYRAWDB[i]//NFSHomeDirectory: /}\n        IFS=$'\\n'\n        userInfo=( ${_ARRAYRAWDB[i]} )\n        IFS=\"$oldIFS\"\n        loginKeychain=\"${userInfo[0]}/Library/Keychains/login.keychain\"\n        if [ -r \"$loginKeychain\" ]\n        then\n            keychainFiles[$index_user_keychains]=\"$loginKeychain\"\n            ((index_user_keychains++))\n        fi\n    done\n}\n\n\nkeychainFiles=()\nindex_user_keychains=0\nadd_user_keychains\nkeychainFiles+=(\"/System/Library/Keychains/SystemCACertificates.keychain\")\nkeychainFiles+=(\"/Library/Keychains/System.keychain\")\nkeychainFiles+=(\"/System/Library/Keychains/SystemRootCertificates.keychain\")\n\nindex_certificates=0\ncertificates_array=()\nfor f in \"${keychainFiles[@]}\"\ndo\n    add_certificates_to_array \"$(security find-certificate -p -a \"$f\")\"\ndone\n\nfor cert in \"${certificates_array[@]}\"\ndo\n    plain_cert=$(echo -e \"$cert\" | openssl x509 -text -nameopt utf8,oneline,-esc_msb)\n    issuer=$(echo -e \"$plain_cert\" | sed -n -Ee 's/.*Issuer: //p' | escapeSpecialCharacters)\n    subject=$(echo -e \"$plain_cert\"  | sed -n -Ee 's/.*Subject: //p' | escapeSpecialCharacters)\n    exp_date=$(echo -e \"$plain_cert\" | sed -n -Ee 's/.*After : (.*)/\\\"\\1\\\"/p' | xargs date -j -f \"%b %d %T %Y %Z\" \"+%F %T\" | escapeSpecialCharacters)\n    purposes=$(echo -e \"$plain_cert\" | grep -A1 \"X509v3 Key Usage:\" | perl -0777 -pe 's/\\s*X509v3 Key Usage:.*?\\n\\s*(.*?$).*/\\1\\n/ms' | escapeSpecialCharacters)\n    echo -e \"\\\"$subject\\\",\\\"$issuer\\\",\\\"$exp_date\\\",\\\"$purposes\\\",\\\"\\\",\\\"\\\"\"\ndone\n",
1672.               "arguments" : [ ],
1673.               "utf8Sensitive" : false
1674.             }, {
1675.               "platform" : {
1676.                 "catalogVersion" : 230233,
1677.                 "dbVersion" : 2,
1678.                 "id" : "58efec8ee4b0c390d69a8e0f",
1679.                 "name" : "linux",
1680.                 "topic" : "/mcafee/mar/agent/query/linux",
1681.                 "enabled" : true
1682.               },
1683.               "capability" : {
1684.                 "catalogVersion" : 230233,
1685.                 "dbVersion" : 2,
1686.                 "id" : "58efec8ee4b0c390d69a8e14",
1687.                 "name" : "Bash Script",
1688.                 "description" : "Executes Bash script on target client",
1689.                 "module" : "SystemRuntime",
1690.                 "function" : "executeBash",
1691.                 "contentEnabled" : true,
1692.                 "arguments" : [ ],
1693.                 "outputs" : [ ],
1694.                 "formatArgs" : {
1695.                   "hasHeaders" : false,
1696.                   "delimiter" : ","
1697.                 },
1698.                 "format" : "CSV",
1699.                 "platforms" : [ {
1700.                   "catalogVersion" : 230233,
1701.                   "dbVersion" : 2,
1702.                   "id" : "58efec8ee4b0c390d69a8e0f",
1703.                   "name" : "linux",
1704.                   "topic" : "/mcafee/mar/agent/query/linux",
1705.                   "enabled" : true
1706.                 }, {
1707.                   "catalogVersion" : 230233,
1708.                   "dbVersion" : 2,
1709.                   "id" : "5a1a45c9e4b0401274ab7141",
1710.                   "name" : "macos",
1711.                   "topic" : "/mcafee/mar/agent/query/macos",
1712.                   "enabled" : true
1713.                 } ],
1714.                 "platformSettings" : [ {
1715.                   "platform" : {
1716.                     "catalogVersion" : 230233,
1717.                     "dbVersion" : 2,
1718.                     "id" : "58efec8ee4b0c390d69a8e0f",
1719.                     "name" : "linux",
1720.                     "topic" : "/mcafee/mar/agent/query/linux",
1721.                     "enabled" : true
1722.                   },
1723.                   "utf8Sensitive" : false
1724.                 }, {
1725.                   "platform" : {
1726.                     "catalogVersion" : 230233,
1727.                     "dbVersion" : 2,
1728.                     "id" : "5a1a45c9e4b0401274ab7141",
1729.                     "name" : "macos",
1730.                     "topic" : "/mcafee/mar/agent/query/macos",
1731.                     "enabled" : true
1732.                   },
1733.                   "utf8Sensitive" : false
1734.                 } ],
1735.                 "itemType" : "CUSTOM",
1736.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
1737.               },
1738.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows a list of installed certificates on Windows, Linux and Mac endpoints. Details the issuer, expiration date and purposes of the certificates.\n\ngetCertificates() {\n    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.trust.crt -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs -text -noout\n}\n\n\nescapeSpecialCharacters() {\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\nparseDate() {\n    unformatted_date=\"$1\"\n    if [ -z \"$unformatted_date\" ]; then\n        return 1\n    else\n        date \"+%F %T\" -d \"$unformatted_date\" 2>/dev/null\n    fi\n}\n\nprintCert() {\n    cert=\"$1\"\n    if [ -z \"$cert\" ]; then\n        return 1\n    fi\n    issuer=$(echo -e \"$cert\" | sed -n -Ee 's/.*Issuer: //p' | escapeSpecialCharacters)\n    subject=$(echo -e \"$cert\"  | sed -n -Ee 's/.*Subject: //p' | escapeSpecialCharacters)\n    purposes=$(echo -e \"$cert\" | grep -A1 \"X509v3 Key Usage:\" | perl -0777 -pe 's/\\s*X509v3 Key Usage:.*?\\n\\s*(.*?$).*/\\1\\n/ms' | escapeSpecialCharacters)\n    exp_date=$(echo -e \"$cert\" | sed -n -Ee 's/.*After : (.*)/\\1/p')\n    exp_date_parsed=$(parseDate \"$exp_date\" | escapeSpecialCharacters)\n    echo -e \"\\\"$subject\\\",\\\"$issuer\\\",\\\"$exp_date_parsed\\\",\\\"$purposes\\\",\\\"\\\",\\\"\\\"\"\n}\n\nprocessCertificates() {\n   certs=$(getCertificates)\n    if [ -z \"$certs\" ]; then\n        return 0\n    fi\n\n    is_first_line=true\n    current_cert=\"\"\n\n    while read -r line; do\n        if [[ $line =~ \"Certificate:\" && $is_first_line == false ]]; then\n            printCert \"$current_cert\"\n            current_cert=\"\"\n        elif [[ $is_first_line == true ]]; then\n           is_first_line=false\n        fi\n        current_cert=\"$current_cert\\n$line\"\n    done <<< \"$certs\"\n\n    printCert \"$current_cert\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processCertificates\n\n}\n\nmain \"$@\"\n",
1739.               "arguments" : [ ],
1740.               "utf8Sensitive" : false
1741.             } ],
1742.             "timeout" : 60,
1743.             "outputs" : [ {
1744.               "id" : "58efec8ee4b0c390d69a8f13",
1745.               "name" : "issued_to",
1746.               "type" : "STRING",
1747.               "byDefault" : true,
1748.               "sequence" : 1
1749.             }, {
1750.               "id" : "58efec8ee4b0c390d69a8f14",
1751.               "name" : "issued_by",
1752.               "type" : "STRING",
1753.               "byDefault" : true,
1754.               "sequence" : 2
1755.             }, {
1756.               "id" : "58efec8ee4b0c390d69a8f15",
1757.               "name" : "expiration_date",
1758.               "type" : "DATE",
1759.               "byDefault" : true,
1760.               "sequence" : 3
1761.             }, {
1762.               "id" : "58efec8ee4b0c390d69a8f16",
1763.               "name" : "purposes",
1764.               "type" : "STRING",
1765.               "byDefault" : true,
1766.               "sequence" : 4
1767.             }, {
1768.               "id" : "58efec8ee4b0c390d69a8f17",
1769.               "name" : "purposes_extended",
1770.               "type" : "STRING",
1771.               "byDefault" : false,
1772.               "sequence" : 5
1773.             }, {
1774.               "id" : "58efec8ee4b0c390d69a8f18",
1775.               "name" : "friendly_name",
1776.               "type" : "STRING",
1777.               "byDefault" : true,
1778.               "sequence" : 6
1779.             } ]
1780.           }
1781.         } ]
1782.       } ]
1783.     },
1784.     "running" : false,
1785.     "createdAt" : 1530900630240,
1786.     "executedAt" : null,
1787.     "status" : "CREATED",
1788.     "ttl" : 60000,
1789.     "startTime" : null,
1790.     "endpointPermission" : null,
1791.     "maGuidsTarget" : null,
1792.     "expectedHostResponses" : 0
1793.   },
1794.   "type" : "com.intel.mar.model.search.Search"
1795. }, {
1796.   "item" : {
1797.     "catalogVersion" : 1,
1798.     "dbVersion" : 2,
1799.     "id" : "5b3fb096e4b0cbe06dd67316",
1800.     "name" : "Full MAR Hashing Status",
1801.     "description" : "",
1802.     "type" : null,
1803.     "expression" : null,
1804.     "temporal" : false,
1805.     "invalid" : false,
1806.     "aggregated" : false,
1807.     "projections" : [ {
1808.       "collector" : {
1809.         "catalogVersion" : 1,
1810.         "dbVersion" : 2,
1811.         "id" : "5b3fb07ce4b0cbe06dd672f9",
1812.         "name" : "HashStatusAll",
1813.         "description" : "Displays full File Hashing Status",
1814.         "type" : "CUSTOM",
1815.         "contents" : [ {
1816.           "platform" : {
1817.             "catalogVersion" : 230233,
1818.             "dbVersion" : 2,
1819.             "id" : "58efec8ee4b0c390d69a8e0f",
1820.             "name" : "linux",
1821.             "topic" : "/mcafee/mar/agent/query/linux",
1822.             "enabled" : true
1823.           },
1824.           "capability" : {
1825.             "catalogVersion" : 230233,
1826.             "dbVersion" : 2,
1827.             "id" : "58efec8ee4b0c390d69a8e51",
1828.             "name" : "NotAvailable",
1829.             "description" : "Capability not available",
1830.             "module" : "Internal",
1831.             "function" : "GetFalseResult",
1832.             "contentEnabled" : false,
1833.             "arguments" : [ ],
1834.             "outputs" : [ ],
1835.             "formatArgs" : { },
1836.             "format" : "BIN",
1837.             "platforms" : [ {
1838.               "catalogVersion" : 230233,
1839.               "dbVersion" : 2,
1840.               "id" : "58efec8ee4b0c390d69a8e0e",
1841.               "name" : "windows",
1842.               "topic" : "/mcafee/mar/agent/query/windows",
1843.               "enabled" : true
1844.             }, {
1845.               "catalogVersion" : 230233,
1846.               "dbVersion" : 2,
1847.               "id" : "58efec8ee4b0c390d69a8e0f",
1848.               "name" : "linux",
1849.               "topic" : "/mcafee/mar/agent/query/linux",
1850.               "enabled" : true
1851.             } ],
1852.             "platformSettings" : [ ],
1853.             "itemType" : "BUILTIN",
1854.             "catalogItems" : [ ]
1855.           },
1856.           "content" : null,
1857.           "arguments" : null,
1858.           "utf8Sensitive" : false
1859.         }, {
1860.           "platform" : {
1861.             "catalogVersion" : 230233,
1862.             "dbVersion" : 2,
1863.             "id" : "5a1a45c9e4b0401274ab7141",
1864.             "name" : "macos",
1865.             "topic" : "/mcafee/mar/agent/query/macos",
1866.             "enabled" : true
1867.           },
1868.           "capability" : {
1869.             "catalogVersion" : 230233,
1870.             "dbVersion" : 2,
1871.             "id" : "58efec8ee4b0c390d69a8e51",
1872.             "name" : "NotAvailable",
1873.             "description" : "Capability not available",
1874.             "module" : "Internal",
1875.             "function" : "GetFalseResult",
1876.             "contentEnabled" : false,
1877.             "arguments" : [ ],
1878.             "outputs" : [ ],
1879.             "formatArgs" : { },
1880.             "format" : "BIN",
1881.             "platforms" : [ {
1882.               "catalogVersion" : 230233,
1883.               "dbVersion" : 2,
1884.               "id" : "58efec8ee4b0c390d69a8e0e",
1885.               "name" : "windows",
1886.               "topic" : "/mcafee/mar/agent/query/windows",
1887.               "enabled" : true
1888.             }, {
1889.               "catalogVersion" : 230233,
1890.               "dbVersion" : 2,
1891.               "id" : "58efec8ee4b0c390d69a8e0f",
1892.               "name" : "linux",
1893.               "topic" : "/mcafee/mar/agent/query/linux",
1894.               "enabled" : true
1895.             } ],
1896.             "platformSettings" : [ ],
1897.             "itemType" : "BUILTIN",
1898.             "catalogItems" : [ ]
1899.           },
1900.           "content" : null,
1901.           "arguments" : null,
1902.           "utf8Sensitive" : false
1903.         }, {
1904.           "platform" : {
1905.             "catalogVersion" : 230233,
1906.             "dbVersion" : 2,
1907.             "id" : "58efec8ee4b0c390d69a8e0e",
1908.             "name" : "windows",
1909.             "topic" : "/mcafee/mar/agent/query/windows",
1910.             "enabled" : true
1911.           },
1912.           "capability" : {
1913.             "catalogVersion" : 230233,
1914.             "dbVersion" : 2,
1915.             "id" : "58efec8ee4b0c390d69a8e12",
1916.             "name" : "Visual Basic Script",
1917.             "description" : "Executes VBS script on target client",
1918.             "module" : "SystemRuntime",
1919.             "function" : "executeVBS",
1920.             "contentEnabled" : true,
1921.             "arguments" : [ ],
1922.             "outputs" : [ ],
1923.             "formatArgs" : {
1924.               "hasHeaders" : false,
1925.               "delimiter" : ","
1926.             },
1927.             "format" : "CSV",
1928.             "platforms" : [ {
1929.               "catalogVersion" : 230233,
1930.               "dbVersion" : 2,
1931.               "id" : "58efec8ee4b0c390d69a8e0e",
1932.               "name" : "windows",
1933.               "topic" : "/mcafee/mar/agent/query/windows",
1934.               "enabled" : true
1935.             } ],
1936.             "platformSettings" : [ {
1937.               "platform" : {
1938.                 "catalogVersion" : 230233,
1939.                 "dbVersion" : 2,
1940.                 "id" : "58efec8ee4b0c390d69a8e0e",
1941.                 "name" : "windows",
1942.                 "topic" : "/mcafee/mar/agent/query/windows",
1943.                 "enabled" : true
1944.               },
1945.               "utf8Sensitive" : false
1946.             } ],
1947.             "itemType" : "CUSTOM",
1948.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
1949.           },
1950.           "content" : "' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n'\n' This script will display full File Hashing Status\n'\nDim objFSO, objFile, line, arrLines\nSet objFSO = CreateObject(\"Scripting.FileSystemObject\")\nstartFile = \"C:\\ProgramData\\McAfee\\MAR\\data\\marlog.log\"\n' ***********************************************\n' Open Mar Log and Check Status\n' ***********************************************\nIF objFSO.FileExists(startFile) Then\n\tobjFile = objFSO.OpenTextFile(startFile, 1).ReadAll\n\tarrLines = Split(objFile,vbCrLf)\n\t\tFor Each line in arrLines\n\t\t\tIF inStr(line,\"Analyzing parent dir\") > 1 Then\n\t\t\t\tWScript.echo \"Start\" & \",\" & Trim(Left(line, (inStr(line,\"    \")))) & \",\" & Replace(Replace(Replace(Right(line, (len(line)-(inStr(line,\"dir [\")))),\"ir [\",\"\"),\"]\",\"\"),\"\\\",\"\\\\\")\n\t\t\tEnd IF\n\t\t\tIF inStr(line,\"Stop Hashing - Total Hashing Time\") > 1 Then\n\t\t\t\tWScript.echo \"Stop\" & \",\" & Trim(Left(line, (inStr(line,\"    \")))) & \",,\" & Replace(Replace(Right(line, (len(line)-(inStr(line,\"Stop Hashing -\")))),\"top Hashing - Total Hashing Time: \",\"\"),\" seconds\",\"\")\n\t\t\tEnd IF\n\t\tNext\nELSE\n\tWScript.Quit\nEnd IF\n' ***********************************************\n' End\n' ***********************************************\nWScript.Quit",
1951.           "arguments" : null,
1952.           "utf8Sensitive" : false
1953.         } ],
1954.         "timeout" : 60,
1955.         "outputs" : [ {
1956.           "id" : "5b3fb07ce4b0cbe06dd672cf",
1957.           "name" : "event_type",
1958.           "type" : "STRING",
1959.           "byDefault" : true,
1960.           "sequence" : 1
1961.         }, {
1962.           "id" : "5b3fb07ce4b0cbe06dd672d0",
1963.           "name" : "date",
1964.           "type" : "STRING",
1965.           "byDefault" : true,
1966.           "sequence" : 2
1967.         }, {
1968.           "id" : "5b3fb07ce4b0cbe06dd672d1",
1969.           "name" : "directory",
1970.           "type" : "STRING",
1971.           "byDefault" : true,
1972.           "sequence" : 3
1973.         }, {
1974.           "id" : "5b3fb07ce4b0cbe06dd672d2",
1975.           "name" : "hashing_time",
1976.           "type" : "NUMBER",
1977.           "byDefault" : true,
1978.           "sequence" : 4
1979.         } ]
1980.       },
1981.       "sequence" : "1",
1982.       "output" : [ {
1983.         "id" : "5b3fb07ce4b0cbe06dd672d0",
1984.         "name" : "date",
1985.         "type" : "STRING",
1986.         "byDefault" : true,
1987.         "sequence" : 2
1988.       }, {
1989.         "id" : "5b3fb07ce4b0cbe06dd672d1",
1990.         "name" : "directory",
1991.         "type" : "STRING",
1992.         "byDefault" : true,
1993.         "sequence" : 3
1994.       }, {
1995.         "id" : "5b3fb07ce4b0cbe06dd672cf",
1996.         "name" : "event_type",
1997.         "type" : "STRING",
1998.         "byDefault" : true,
1999.         "sequence" : 1
2000.       }, {
2001.         "id" : "5b3fb07ce4b0cbe06dd672d2",
2002.         "name" : "hashing_time",
2003.         "type" : "NUMBER",
2004.         "byDefault" : true,
2005.         "sequence" : 4
2006.       } ]
2007.     }, {
2008.       "collector" : {
2009.         "catalogVersion" : 230233,
2010.         "dbVersion" : 2,
2011.         "id" : "58efec8ee4b0c390d69a8ec5",
2012.         "name" : "HostInfo",
2013.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
2014.         "type" : "BUILTIN",
2015.         "contents" : [ {
2016.           "platform" : {
2017.             "catalogVersion" : 230233,
2018.             "dbVersion" : 2,
2019.             "id" : "58efec8ee4b0c390d69a8e0f",
2020.             "name" : "linux",
2021.             "topic" : "/mcafee/mar/agent/query/linux",
2022.             "enabled" : true
2023.           },
2024.           "capability" : {
2025.             "catalogVersion" : 230233,
2026.             "dbVersion" : 2,
2027.             "id" : "58efec8ee4b0c390d69a8e14",
2028.             "name" : "Bash Script",
2029.             "description" : "Executes Bash script on target client",
2030.             "module" : "SystemRuntime",
2031.             "function" : "executeBash",
2032.             "contentEnabled" : true,
2033.             "arguments" : [ ],
2034.             "outputs" : [ ],
2035.             "formatArgs" : {
2036.               "hasHeaders" : false,
2037.               "delimiter" : ","
2038.             },
2039.             "format" : "CSV",
2040.             "platforms" : [ {
2041.               "catalogVersion" : 230233,
2042.               "dbVersion" : 2,
2043.               "id" : "58efec8ee4b0c390d69a8e0f",
2044.               "name" : "linux",
2045.               "topic" : "/mcafee/mar/agent/query/linux",
2046.               "enabled" : true
2047.             }, {
2048.               "catalogVersion" : 230233,
2049.               "dbVersion" : 2,
2050.               "id" : "5a1a45c9e4b0401274ab7141",
2051.               "name" : "macos",
2052.               "topic" : "/mcafee/mar/agent/query/macos",
2053.               "enabled" : true
2054.             } ],
2055.             "platformSettings" : [ {
2056.               "platform" : {
2057.                 "catalogVersion" : 230233,
2058.                 "dbVersion" : 2,
2059.                 "id" : "58efec8ee4b0c390d69a8e0f",
2060.                 "name" : "linux",
2061.                 "topic" : "/mcafee/mar/agent/query/linux",
2062.                 "enabled" : true
2063.               },
2064.               "utf8Sensitive" : false
2065.             }, {
2066.               "platform" : {
2067.                 "catalogVersion" : 230233,
2068.                 "dbVersion" : 2,
2069.                 "id" : "5a1a45c9e4b0401274ab7141",
2070.                 "name" : "macos",
2071.                 "topic" : "/mcafee/mar/agent/query/macos",
2072.                 "enabled" : true
2073.               },
2074.               "utf8Sensitive" : false
2075.             } ],
2076.             "itemType" : "CUSTOM",
2077.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
2078.           },
2079.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
2080.           "arguments" : [ ],
2081.           "utf8Sensitive" : false
2082.         }, {
2083.           "platform" : {
2084.             "catalogVersion" : 230233,
2085.             "dbVersion" : 2,
2086.             "id" : "58efec8ee4b0c390d69a8e0e",
2087.             "name" : "windows",
2088.             "topic" : "/mcafee/mar/agent/query/windows",
2089.             "enabled" : true
2090.           },
2091.           "capability" : {
2092.             "catalogVersion" : 230233,
2093.             "dbVersion" : 2,
2094.             "id" : "58efec8ee4b0c390d69a8e12",
2095.             "name" : "Visual Basic Script",
2096.             "description" : "Executes VBS script on target client",
2097.             "module" : "SystemRuntime",
2098.             "function" : "executeVBS",
2099.             "contentEnabled" : true,
2100.             "arguments" : [ ],
2101.             "outputs" : [ ],
2102.             "formatArgs" : {
2103.               "hasHeaders" : false,
2104.               "delimiter" : ","
2105.             },
2106.             "format" : "CSV",
2107.             "platforms" : [ {
2108.               "catalogVersion" : 230233,
2109.               "dbVersion" : 2,
2110.               "id" : "58efec8ee4b0c390d69a8e0e",
2111.               "name" : "windows",
2112.               "topic" : "/mcafee/mar/agent/query/windows",
2113.               "enabled" : true
2114.             } ],
2115.             "platformSettings" : [ {
2116.               "platform" : {
2117.                 "catalogVersion" : 230233,
2118.                 "dbVersion" : 2,
2119.                 "id" : "58efec8ee4b0c390d69a8e0e",
2120.                 "name" : "windows",
2121.                 "topic" : "/mcafee/mar/agent/query/windows",
2122.                 "enabled" : true
2123.               },
2124.               "utf8Sensitive" : false
2125.             } ],
2126.             "itemType" : "CUSTOM",
2127.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
2128.           },
2129.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
2130.           "arguments" : [ ],
2131.           "utf8Sensitive" : false
2132.         }, {
2133.           "platform" : {
2134.             "catalogVersion" : 230233,
2135.             "dbVersion" : 2,
2136.             "id" : "5a1a45c9e4b0401274ab7141",
2137.             "name" : "macos",
2138.             "topic" : "/mcafee/mar/agent/query/macos",
2139.             "enabled" : true
2140.           },
2141.           "capability" : {
2142.             "catalogVersion" : 230233,
2143.             "dbVersion" : 2,
2144.             "id" : "5a1a45cae4b0401274ab7183",
2145.             "name" : "HostInfo SysInfo",
2146.             "description" : "Shows Hostname, 1st IP Address and OS version",
2147.             "module" : "SysInfo",
2148.             "function" : "HostInfo",
2149.             "contentEnabled" : false,
2150.             "arguments" : [ ],
2151.             "outputs" : [ ],
2152.             "formatArgs" : { },
2153.             "format" : "BIN",
2154.             "platforms" : [ {
2155.               "catalogVersion" : 230233,
2156.               "dbVersion" : 2,
2157.               "id" : "5a1a45c9e4b0401274ab7141",
2158.               "name" : "macos",
2159.               "topic" : "/mcafee/mar/agent/query/macos",
2160.               "enabled" : true
2161.             } ],
2162.             "platformSettings" : [ {
2163.               "platform" : {
2164.                 "catalogVersion" : 230233,
2165.                 "dbVersion" : 2,
2166.                 "id" : "5a1a45c9e4b0401274ab7141",
2167.                 "name" : "macos",
2168.                 "topic" : "/mcafee/mar/agent/query/macos",
2169.                 "enabled" : true
2170.               },
2171.               "utf8Sensitive" : false
2172.             } ],
2173.             "itemType" : "BUILTIN",
2174.             "catalogItems" : [ "COLLECTOR" ]
2175.           },
2176.           "content" : null,
2177.           "arguments" : [ ],
2178.           "utf8Sensitive" : false
2179.         } ],
2180.         "timeout" : 60,
2181.         "outputs" : [ {
2182.           "id" : "58efec8ee4b0c390d69a8ec2",
2183.           "name" : "hostname",
2184.           "type" : "STRING",
2185.           "byDefault" : false,
2186.           "sequence" : 1
2187.         }, {
2188.           "id" : "58efec8ee4b0c390d69a8ec3",
2189.           "name" : "ip_address",
2190.           "type" : "IPV4IPV6",
2191.           "byDefault" : false,
2192.           "sequence" : 2
2193.         }, {
2194.           "id" : "58efec8ee4b0c390d69a8ec4",
2195.           "name" : "os",
2196.           "type" : "STRING",
2197.           "byDefault" : false,
2198.           "sequence" : 3
2199.         }, {
2200.           "id" : "5b3f9b64e4b0dfaf321a6346",
2201.           "name" : "connection_status",
2202.           "type" : "STRING",
2203.           "byDefault" : false,
2204.           "sequence" : 4
2205.         }, {
2206.           "id" : "5b3f9b64e4b0dfaf321a6347",
2207.           "name" : "platform",
2208.           "type" : "STRING",
2209.           "byDefault" : false,
2210.           "sequence" : 5
2211.         } ]
2212.       },
2213.       "sequence" : "2",
2214.       "output" : [ {
2215.         "id" : "58efec8ee4b0c390d69a8ec2",
2216.         "name" : "hostname",
2217.         "type" : "STRING",
2218.         "byDefault" : false,
2219.         "sequence" : 1
2220.       } ]
2221.     } ],
2222.     "disjunction" : {
2223.       "conjunctions" : [ {
2224.         "terms" : [ {
2225.           "output" : {
2226.             "id" : "58efec8ee4b0c390d69a8ec2",
2227.             "name" : "hostname",
2228.             "type" : "STRING",
2229.             "byDefault" : false,
2230.             "sequence" : 1
2231.           },
2232.           "operator" : "EQUALS",
2233.           "value" : "WIN71",
2234.           "negated" : false,
2235.           "collector" : {
2236.             "catalogVersion" : 230233,
2237.             "dbVersion" : 2,
2238.             "id" : "58efec8ee4b0c390d69a8ec5",
2239.             "name" : "HostInfo",
2240.             "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
2241.             "type" : "BUILTIN",
2242.             "contents" : [ {
2243.               "platform" : {
2244.                 "catalogVersion" : 230233,
2245.                 "dbVersion" : 2,
2246.                 "id" : "58efec8ee4b0c390d69a8e0f",
2247.                 "name" : "linux",
2248.                 "topic" : "/mcafee/mar/agent/query/linux",
2249.                 "enabled" : true
2250.               },
2251.               "capability" : {
2252.                 "catalogVersion" : 230233,
2253.                 "dbVersion" : 2,
2254.                 "id" : "58efec8ee4b0c390d69a8e14",
2255.                 "name" : "Bash Script",
2256.                 "description" : "Executes Bash script on target client",
2257.                 "module" : "SystemRuntime",
2258.                 "function" : "executeBash",
2259.                 "contentEnabled" : true,
2260.                 "arguments" : [ ],
2261.                 "outputs" : [ ],
2262.                 "formatArgs" : {
2263.                   "hasHeaders" : false,
2264.                   "delimiter" : ","
2265.                 },
2266.                 "format" : "CSV",
2267.                 "platforms" : [ {
2268.                   "catalogVersion" : 230233,
2269.                   "dbVersion" : 2,
2270.                   "id" : "58efec8ee4b0c390d69a8e0f",
2271.                   "name" : "linux",
2272.                   "topic" : "/mcafee/mar/agent/query/linux",
2273.                   "enabled" : true
2274.                 }, {
2275.                   "catalogVersion" : 230233,
2276.                   "dbVersion" : 2,
2277.                   "id" : "5a1a45c9e4b0401274ab7141",
2278.                   "name" : "macos",
2279.                   "topic" : "/mcafee/mar/agent/query/macos",
2280.                   "enabled" : true
2281.                 } ],
2282.                 "platformSettings" : [ {
2283.                   "platform" : {
2284.                     "catalogVersion" : 230233,
2285.                     "dbVersion" : 2,
2286.                     "id" : "58efec8ee4b0c390d69a8e0f",
2287.                     "name" : "linux",
2288.                     "topic" : "/mcafee/mar/agent/query/linux",
2289.                     "enabled" : true
2290.                   },
2291.                   "utf8Sensitive" : false
2292.                 }, {
2293.                   "platform" : {
2294.                     "catalogVersion" : 230233,
2295.                     "dbVersion" : 2,
2296.                     "id" : "5a1a45c9e4b0401274ab7141",
2297.                     "name" : "macos",
2298.                     "topic" : "/mcafee/mar/agent/query/macos",
2299.                     "enabled" : true
2300.                   },
2301.                   "utf8Sensitive" : false
2302.                 } ],
2303.                 "itemType" : "CUSTOM",
2304.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
2305.               },
2306.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
2307.               "arguments" : [ ],
2308.               "utf8Sensitive" : false
2309.             }, {
2310.               "platform" : {
2311.                 "catalogVersion" : 230233,
2312.                 "dbVersion" : 2,
2313.                 "id" : "58efec8ee4b0c390d69a8e0e",
2314.                 "name" : "windows",
2315.                 "topic" : "/mcafee/mar/agent/query/windows",
2316.                 "enabled" : true
2317.               },
2318.               "capability" : {
2319.                 "catalogVersion" : 230233,
2320.                 "dbVersion" : 2,
2321.                 "id" : "58efec8ee4b0c390d69a8e12",
2322.                 "name" : "Visual Basic Script",
2323.                 "description" : "Executes VBS script on target client",
2324.                 "module" : "SystemRuntime",
2325.                 "function" : "executeVBS",
2326.                 "contentEnabled" : true,
2327.                 "arguments" : [ ],
2328.                 "outputs" : [ ],
2329.                 "formatArgs" : {
2330.                   "hasHeaders" : false,
2331.                   "delimiter" : ","
2332.                 },
2333.                 "format" : "CSV",
2334.                 "platforms" : [ {
2335.                   "catalogVersion" : 230233,
2336.                   "dbVersion" : 2,
2337.                   "id" : "58efec8ee4b0c390d69a8e0e",
2338.                   "name" : "windows",
2339.                   "topic" : "/mcafee/mar/agent/query/windows",
2340.                   "enabled" : true
2341.                 } ],
2342.                 "platformSettings" : [ {
2343.                   "platform" : {
2344.                     "catalogVersion" : 230233,
2345.                     "dbVersion" : 2,
2346.                     "id" : "58efec8ee4b0c390d69a8e0e",
2347.                     "name" : "windows",
2348.                     "topic" : "/mcafee/mar/agent/query/windows",
2349.                     "enabled" : true
2350.                   },
2351.                   "utf8Sensitive" : false
2352.                 } ],
2353.                 "itemType" : "CUSTOM",
2354.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
2355.               },
2356.               "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
2357.               "arguments" : [ ],
2358.               "utf8Sensitive" : false
2359.             }, {
2360.               "platform" : {
2361.                 "catalogVersion" : 230233,
2362.                 "dbVersion" : 2,
2363.                 "id" : "5a1a45c9e4b0401274ab7141",
2364.                 "name" : "macos",
2365.                 "topic" : "/mcafee/mar/agent/query/macos",
2366.                 "enabled" : true
2367.               },
2368.               "capability" : {
2369.                 "catalogVersion" : 230233,
2370.                 "dbVersion" : 2,
2371.                 "id" : "5a1a45cae4b0401274ab7183",
2372.                 "name" : "HostInfo SysInfo",
2373.                 "description" : "Shows Hostname, 1st IP Address and OS version",
2374.                 "module" : "SysInfo",
2375.                 "function" : "HostInfo",
2376.                 "contentEnabled" : false,
2377.                 "arguments" : [ ],
2378.                 "outputs" : [ ],
2379.                 "formatArgs" : { },
2380.                 "format" : "BIN",
2381.                 "platforms" : [ {
2382.                   "catalogVersion" : 230233,
2383.                   "dbVersion" : 2,
2384.                   "id" : "5a1a45c9e4b0401274ab7141",
2385.                   "name" : "macos",
2386.                   "topic" : "/mcafee/mar/agent/query/macos",
2387.                   "enabled" : true
2388.                 } ],
2389.                 "platformSettings" : [ {
2390.                   "platform" : {
2391.                     "catalogVersion" : 230233,
2392.                     "dbVersion" : 2,
2393.                     "id" : "5a1a45c9e4b0401274ab7141",
2394.                     "name" : "macos",
2395.                     "topic" : "/mcafee/mar/agent/query/macos",
2396.                     "enabled" : true
2397.                   },
2398.                   "utf8Sensitive" : false
2399.                 } ],
2400.                 "itemType" : "BUILTIN",
2401.                 "catalogItems" : [ "COLLECTOR" ]
2402.               },
2403.               "content" : null,
2404.               "arguments" : [ ],
2405.               "utf8Sensitive" : false
2406.             } ],
2407.             "timeout" : 60,
2408.             "outputs" : [ {
2409.               "id" : "58efec8ee4b0c390d69a8ec2",
2410.               "name" : "hostname",
2411.               "type" : "STRING",
2412.               "byDefault" : false,
2413.               "sequence" : 1
2414.             }, {
2415.               "id" : "58efec8ee4b0c390d69a8ec3",
2416.               "name" : "ip_address",
2417.               "type" : "IPV4IPV6",
2418.               "byDefault" : false,
2419.               "sequence" : 2
2420.             }, {
2421.               "id" : "58efec8ee4b0c390d69a8ec4",
2422.               "name" : "os",
2423.               "type" : "STRING",
2424.               "byDefault" : false,
2425.               "sequence" : 3
2426.             }, {
2427.               "id" : "5b3f9b64e4b0dfaf321a6346",
2428.               "name" : "connection_status",
2429.               "type" : "STRING",
2430.               "byDefault" : false,
2431.               "sequence" : 4
2432.             }, {
2433.               "id" : "5b3f9b64e4b0dfaf321a6347",
2434.               "name" : "platform",
2435.               "type" : "STRING",
2436.               "byDefault" : false,
2437.               "sequence" : 5
2438.             } ]
2439.           }
2440.         } ]
2441.       } ]
2442.     },
2443.     "running" : false,
2444.     "createdAt" : 1530900630245,
2445.     "executedAt" : null,
2446.     "status" : "CREATED",
2447.     "ttl" : 60000,
2448.     "startTime" : null,
2449.     "endpointPermission" : null,
2450.     "maGuidsTarget" : null,
2451.     "expectedHostResponses" : 0
2452.   },
2453.   "type" : "com.intel.mar.model.search.Search"
2454. }, {
2455.   "item" : {
2456.     "catalogVersion" : 1,
2457.     "dbVersion" : 2,
2458.     "id" : "5b3fb096e4b0cbe06dd67317",
2459.     "name" : "Hosts with Manual Proxy Settings",
2460.     "description" : "",
2461.     "type" : null,
2462.     "expression" : null,
2463.     "temporal" : false,
2464.     "invalid" : false,
2465.     "aggregated" : false,
2466.     "projections" : [ {
2467.       "collector" : {
2468.         "catalogVersion" : 230233,
2469.         "dbVersion" : 2,
2470.         "id" : "58efec8ee4b0c390d69a8ec5",
2471.         "name" : "HostInfo",
2472.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
2473.         "type" : "BUILTIN",
2474.         "contents" : [ {
2475.           "platform" : {
2476.             "catalogVersion" : 230233,
2477.             "dbVersion" : 2,
2478.             "id" : "58efec8ee4b0c390d69a8e0f",
2479.             "name" : "linux",
2480.             "topic" : "/mcafee/mar/agent/query/linux",
2481.             "enabled" : true
2482.           },
2483.           "capability" : {
2484.             "catalogVersion" : 230233,
2485.             "dbVersion" : 2,
2486.             "id" : "58efec8ee4b0c390d69a8e14",
2487.             "name" : "Bash Script",
2488.             "description" : "Executes Bash script on target client",
2489.             "module" : "SystemRuntime",
2490.             "function" : "executeBash",
2491.             "contentEnabled" : true,
2492.             "arguments" : [ ],
2493.             "outputs" : [ ],
2494.             "formatArgs" : {
2495.               "hasHeaders" : false,
2496.               "delimiter" : ","
2497.             },
2498.             "format" : "CSV",
2499.             "platforms" : [ {
2500.               "catalogVersion" : 230233,
2501.               "dbVersion" : 2,
2502.               "id" : "58efec8ee4b0c390d69a8e0f",
2503.               "name" : "linux",
2504.               "topic" : "/mcafee/mar/agent/query/linux",
2505.               "enabled" : true
2506.             }, {
2507.               "catalogVersion" : 230233,
2508.               "dbVersion" : 2,
2509.               "id" : "5a1a45c9e4b0401274ab7141",
2510.               "name" : "macos",
2511.               "topic" : "/mcafee/mar/agent/query/macos",
2512.               "enabled" : true
2513.             } ],
2514.             "platformSettings" : [ {
2515.               "platform" : {
2516.                 "catalogVersion" : 230233,
2517.                 "dbVersion" : 2,
2518.                 "id" : "58efec8ee4b0c390d69a8e0f",
2519.                 "name" : "linux",
2520.                 "topic" : "/mcafee/mar/agent/query/linux",
2521.                 "enabled" : true
2522.               },
2523.               "utf8Sensitive" : false
2524.             }, {
2525.               "platform" : {
2526.                 "catalogVersion" : 230233,
2527.                 "dbVersion" : 2,
2528.                 "id" : "5a1a45c9e4b0401274ab7141",
2529.                 "name" : "macos",
2530.                 "topic" : "/mcafee/mar/agent/query/macos",
2531.                 "enabled" : true
2532.               },
2533.               "utf8Sensitive" : false
2534.             } ],
2535.             "itemType" : "CUSTOM",
2536.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
2537.           },
2538.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
2539.           "arguments" : [ ],
2540.           "utf8Sensitive" : false
2541.         }, {
2542.           "platform" : {
2543.             "catalogVersion" : 230233,
2544.             "dbVersion" : 2,
2545.             "id" : "58efec8ee4b0c390d69a8e0e",
2546.             "name" : "windows",
2547.             "topic" : "/mcafee/mar/agent/query/windows",
2548.             "enabled" : true
2549.           },
2550.           "capability" : {
2551.             "catalogVersion" : 230233,
2552.             "dbVersion" : 2,
2553.             "id" : "58efec8ee4b0c390d69a8e12",
2554.             "name" : "Visual Basic Script",
2555.             "description" : "Executes VBS script on target client",
2556.             "module" : "SystemRuntime",
2557.             "function" : "executeVBS",
2558.             "contentEnabled" : true,
2559.             "arguments" : [ ],
2560.             "outputs" : [ ],
2561.             "formatArgs" : {
2562.               "hasHeaders" : false,
2563.               "delimiter" : ","
2564.             },
2565.             "format" : "CSV",
2566.             "platforms" : [ {
2567.               "catalogVersion" : 230233,
2568.               "dbVersion" : 2,
2569.               "id" : "58efec8ee4b0c390d69a8e0e",
2570.               "name" : "windows",
2571.               "topic" : "/mcafee/mar/agent/query/windows",
2572.               "enabled" : true
2573.             } ],
2574.             "platformSettings" : [ {
2575.               "platform" : {
2576.                 "catalogVersion" : 230233,
2577.                 "dbVersion" : 2,
2578.                 "id" : "58efec8ee4b0c390d69a8e0e",
2579.                 "name" : "windows",
2580.                 "topic" : "/mcafee/mar/agent/query/windows",
2581.                 "enabled" : true
2582.               },
2583.               "utf8Sensitive" : false
2584.             } ],
2585.             "itemType" : "CUSTOM",
2586.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
2587.           },
2588.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
2589.           "arguments" : [ ],
2590.           "utf8Sensitive" : false
2591.         }, {
2592.           "platform" : {
2593.             "catalogVersion" : 230233,
2594.             "dbVersion" : 2,
2595.             "id" : "5a1a45c9e4b0401274ab7141",
2596.             "name" : "macos",
2597.             "topic" : "/mcafee/mar/agent/query/macos",
2598.             "enabled" : true
2599.           },
2600.           "capability" : {
2601.             "catalogVersion" : 230233,
2602.             "dbVersion" : 2,
2603.             "id" : "5a1a45cae4b0401274ab7183",
2604.             "name" : "HostInfo SysInfo",
2605.             "description" : "Shows Hostname, 1st IP Address and OS version",
2606.             "module" : "SysInfo",
2607.             "function" : "HostInfo",
2608.             "contentEnabled" : false,
2609.             "arguments" : [ ],
2610.             "outputs" : [ ],
2611.             "formatArgs" : { },
2612.             "format" : "BIN",
2613.             "platforms" : [ {
2614.               "catalogVersion" : 230233,
2615.               "dbVersion" : 2,
2616.               "id" : "5a1a45c9e4b0401274ab7141",
2617.               "name" : "macos",
2618.               "topic" : "/mcafee/mar/agent/query/macos",
2619.               "enabled" : true
2620.             } ],
2621.             "platformSettings" : [ {
2622.               "platform" : {
2623.                 "catalogVersion" : 230233,
2624.                 "dbVersion" : 2,
2625.                 "id" : "5a1a45c9e4b0401274ab7141",
2626.                 "name" : "macos",
2627.                 "topic" : "/mcafee/mar/agent/query/macos",
2628.                 "enabled" : true
2629.               },
2630.               "utf8Sensitive" : false
2631.             } ],
2632.             "itemType" : "BUILTIN",
2633.             "catalogItems" : [ "COLLECTOR" ]
2634.           },
2635.           "content" : null,
2636.           "arguments" : [ ],
2637.           "utf8Sensitive" : false
2638.         } ],
2639.         "timeout" : 60,
2640.         "outputs" : [ {
2641.           "id" : "58efec8ee4b0c390d69a8ec2",
2642.           "name" : "hostname",
2643.           "type" : "STRING",
2644.           "byDefault" : false,
2645.           "sequence" : 1
2646.         }, {
2647.           "id" : "58efec8ee4b0c390d69a8ec3",
2648.           "name" : "ip_address",
2649.           "type" : "IPV4IPV6",
2650.           "byDefault" : false,
2651.           "sequence" : 2
2652.         }, {
2653.           "id" : "58efec8ee4b0c390d69a8ec4",
2654.           "name" : "os",
2655.           "type" : "STRING",
2656.           "byDefault" : false,
2657.           "sequence" : 3
2658.         }, {
2659.           "id" : "5b3f9b64e4b0dfaf321a6346",
2660.           "name" : "connection_status",
2661.           "type" : "STRING",
2662.           "byDefault" : false,
2663.           "sequence" : 4
2664.         }, {
2665.           "id" : "5b3f9b64e4b0dfaf321a6347",
2666.           "name" : "platform",
2667.           "type" : "STRING",
2668.           "byDefault" : false,
2669.           "sequence" : 5
2670.         } ]
2671.       },
2672.       "sequence" : "1",
2673.       "output" : [ {
2674.         "id" : "58efec8ee4b0c390d69a8ec2",
2675.         "name" : "hostname",
2676.         "type" : "STRING",
2677.         "byDefault" : false,
2678.         "sequence" : 1
2679.       }, {
2680.         "id" : "58efec8ee4b0c390d69a8ec3",
2681.         "name" : "ip_address",
2682.         "type" : "IPV4IPV6",
2683.         "byDefault" : false,
2684.         "sequence" : 2
2685.       } ]
2686.     }, {
2687.       "collector" : {
2688.         "catalogVersion" : 230233,
2689.         "dbVersion" : 2,
2690.         "id" : "58efec8ee4b0c390d69a8ea9",
2691.         "name" : "WinRegistry",
2692.         "description" : "Shows the registries keys",
2693.         "type" : "BUILTIN",
2694.         "contents" : [ {
2695.           "platform" : {
2696.             "catalogVersion" : 230233,
2697.             "dbVersion" : 2,
2698.             "id" : "58efec8ee4b0c390d69a8e0e",
2699.             "name" : "windows",
2700.             "topic" : "/mcafee/mar/agent/query/windows",
2701.             "enabled" : true
2702.           },
2703.           "capability" : {
2704.             "catalogVersion" : 230233,
2705.             "dbVersion" : 2,
2706.             "id" : "58efec8ee4b0c390d69a8e31",
2707.             "name" : "WinRegistry",
2708.             "description" : "Gets registry key info",
2709.             "module" : "WinRegistry",
2710.             "function" : "FindRegistry",
2711.             "contentEnabled" : false,
2712.             "arguments" : [ ],
2713.             "outputs" : [ ],
2714.             "formatArgs" : { },
2715.             "format" : "BIN",
2716.             "platforms" : [ {
2717.               "catalogVersion" : 230233,
2718.               "dbVersion" : 2,
2719.               "id" : "58efec8ee4b0c390d69a8e0e",
2720.               "name" : "windows",
2721.               "topic" : "/mcafee/mar/agent/query/windows",
2722.               "enabled" : true
2723.             } ],
2724.             "platformSettings" : [ {
2725.               "platform" : {
2726.                 "catalogVersion" : 230233,
2727.                 "dbVersion" : 2,
2728.                 "id" : "58efec8ee4b0c390d69a8e0e",
2729.                 "name" : "windows",
2730.                 "topic" : "/mcafee/mar/agent/query/windows",
2731.                 "enabled" : true
2732.               },
2733.               "utf8Sensitive" : false
2734.             } ],
2735.             "itemType" : "BUILTIN",
2736.             "catalogItems" : [ "COLLECTOR" ]
2737.           },
2738.           "content" : null,
2739.           "arguments" : [ ],
2740.           "utf8Sensitive" : false
2741.         }, {
2742.           "platform" : {
2743.             "catalogVersion" : 230233,
2744.             "dbVersion" : 2,
2745.             "id" : "58efec8ee4b0c390d69a8e0f",
2746.             "name" : "linux",
2747.             "topic" : "/mcafee/mar/agent/query/linux",
2748.             "enabled" : true
2749.           },
2750.           "capability" : {
2751.             "catalogVersion" : 230233,
2752.             "dbVersion" : 2,
2753.             "id" : "58efec8ee4b0c390d69a8e51",
2754.             "name" : "NotAvailable",
2755.             "description" : "Capability not available",
2756.             "module" : "Internal",
2757.             "function" : "GetFalseResult",
2758.             "contentEnabled" : false,
2759.             "arguments" : [ ],
2760.             "outputs" : [ ],
2761.             "formatArgs" : { },
2762.             "format" : "BIN",
2763.             "platforms" : [ {
2764.               "catalogVersion" : 230233,
2765.               "dbVersion" : 2,
2766.               "id" : "58efec8ee4b0c390d69a8e0e",
2767.               "name" : "windows",
2768.               "topic" : "/mcafee/mar/agent/query/windows",
2769.               "enabled" : true
2770.             }, {
2771.               "catalogVersion" : 230233,
2772.               "dbVersion" : 2,
2773.               "id" : "58efec8ee4b0c390d69a8e0f",
2774.               "name" : "linux",
2775.               "topic" : "/mcafee/mar/agent/query/linux",
2776.               "enabled" : true
2777.             } ],
2778.             "platformSettings" : [ ],
2779.             "itemType" : "BUILTIN",
2780.             "catalogItems" : [ ]
2781.           },
2782.           "content" : null,
2783.           "arguments" : [ ],
2784.           "utf8Sensitive" : false
2785.         }, {
2786.           "platform" : {
2787.             "catalogVersion" : 230233,
2788.             "dbVersion" : 2,
2789.             "id" : "5a1a45c9e4b0401274ab7141",
2790.             "name" : "macos",
2791.             "topic" : "/mcafee/mar/agent/query/macos",
2792.             "enabled" : true
2793.           },
2794.           "capability" : {
2795.             "catalogVersion" : 230233,
2796.             "dbVersion" : 2,
2797.             "id" : "58efec8ee4b0c390d69a8e51",
2798.             "name" : "NotAvailable",
2799.             "description" : "Capability not available",
2800.             "module" : "Internal",
2801.             "function" : "GetFalseResult",
2802.             "contentEnabled" : false,
2803.             "arguments" : [ ],
2804.             "outputs" : [ ],
2805.             "formatArgs" : { },
2806.             "format" : "BIN",
2807.             "platforms" : [ {
2808.               "catalogVersion" : 230233,
2809.               "dbVersion" : 2,
2810.               "id" : "58efec8ee4b0c390d69a8e0e",
2811.               "name" : "windows",
2812.               "topic" : "/mcafee/mar/agent/query/windows",
2813.               "enabled" : true
2814.             }, {
2815.               "catalogVersion" : 230233,
2816.               "dbVersion" : 2,
2817.               "id" : "58efec8ee4b0c390d69a8e0f",
2818.               "name" : "linux",
2819.               "topic" : "/mcafee/mar/agent/query/linux",
2820.               "enabled" : true
2821.             } ],
2822.             "platformSettings" : [ ],
2823.             "itemType" : "BUILTIN",
2824.             "catalogItems" : [ ]
2825.           },
2826.           "content" : null,
2827.           "arguments" : null,
2828.           "utf8Sensitive" : false
2829.         } ],
2830.         "timeout" : 60,
2831.         "outputs" : [ {
2832.           "id" : "58efec8ee4b0c390d69a8ea5",
2833.           "name" : "keypath",
2834.           "type" : "REG_PATH",
2835.           "byDefault" : false,
2836.           "sequence" : 1
2837.         }, {
2838.           "id" : "58efec8ee4b0c390d69a8ea6",
2839.           "name" : "keyvalue",
2840.           "type" : "REG_STR",
2841.           "byDefault" : false,
2842.           "sequence" : 2
2843.         }, {
2844.           "id" : "58efec8ee4b0c390d69a8ea7",
2845.           "name" : "valuedata",
2846.           "type" : "REG_STR",
2847.           "byDefault" : false,
2848.           "sequence" : 3
2849.         }, {
2850.           "id" : "58efec8ee4b0c390d69a8ea8",
2851.           "name" : "valuetype",
2852.           "type" : "REG_STR",
2853.           "byDefault" : false,
2854.           "sequence" : 4
2855.         } ]
2856.       },
2857.       "sequence" : "2",
2858.       "output" : [ ]
2859.     } ],
2860.     "disjunction" : {
2861.       "conjunctions" : [ {
2862.         "terms" : [ {
2863.           "output" : {
2864.             "id" : "58efec8ee4b0c390d69a8ea5",
2865.             "name" : "keypath",
2866.             "type" : "REG_PATH",
2867.             "byDefault" : false,
2868.             "sequence" : 1
2869.           },
2870.           "operator" : "EQUALS",
2871.           "value" : "HKCU\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\INTERNET SETTINGS",
2872.           "negated" : false,
2873.           "collector" : {
2874.             "catalogVersion" : 230233,
2875.             "dbVersion" : 2,
2876.             "id" : "58efec8ee4b0c390d69a8ea9",
2877.             "name" : "WinRegistry",
2878.             "description" : "Shows the registries keys",
2879.             "type" : "BUILTIN",
2880.             "contents" : [ {
2881.               "platform" : {
2882.                 "catalogVersion" : 230233,
2883.                 "dbVersion" : 2,
2884.                 "id" : "58efec8ee4b0c390d69a8e0e",
2885.                 "name" : "windows",
2886.                 "topic" : "/mcafee/mar/agent/query/windows",
2887.                 "enabled" : true
2888.               },
2889.               "capability" : {
2890.                 "catalogVersion" : 230233,
2891.                 "dbVersion" : 2,
2892.                 "id" : "58efec8ee4b0c390d69a8e31",
2893.                 "name" : "WinRegistry",
2894.                 "description" : "Gets registry key info",
2895.                 "module" : "WinRegistry",
2896.                 "function" : "FindRegistry",
2897.                 "contentEnabled" : false,
2898.                 "arguments" : [ ],
2899.                 "outputs" : [ ],
2900.                 "formatArgs" : { },
2901.                 "format" : "BIN",
2902.                 "platforms" : [ {
2903.                   "catalogVersion" : 230233,
2904.                   "dbVersion" : 2,
2905.                   "id" : "58efec8ee4b0c390d69a8e0e",
2906.                   "name" : "windows",
2907.                   "topic" : "/mcafee/mar/agent/query/windows",
2908.                   "enabled" : true
2909.                 } ],
2910.                 "platformSettings" : [ {
2911.                   "platform" : {
2912.                     "catalogVersion" : 230233,
2913.                     "dbVersion" : 2,
2914.                     "id" : "58efec8ee4b0c390d69a8e0e",
2915.                     "name" : "windows",
2916.                     "topic" : "/mcafee/mar/agent/query/windows",
2917.                     "enabled" : true
2918.                   },
2919.                   "utf8Sensitive" : false
2920.                 } ],
2921.                 "itemType" : "BUILTIN",
2922.                 "catalogItems" : [ "COLLECTOR" ]
2923.               },
2924.               "content" : null,
2925.               "arguments" : [ ],
2926.               "utf8Sensitive" : false
2927.             }, {
2928.               "platform" : {
2929.                 "catalogVersion" : 230233,
2930.                 "dbVersion" : 2,
2931.                 "id" : "58efec8ee4b0c390d69a8e0f",
2932.                 "name" : "linux",
2933.                 "topic" : "/mcafee/mar/agent/query/linux",
2934.                 "enabled" : true
2935.               },
2936.               "capability" : {
2937.                 "catalogVersion" : 230233,
2938.                 "dbVersion" : 2,
2939.                 "id" : "58efec8ee4b0c390d69a8e51",
2940.                 "name" : "NotAvailable",
2941.                 "description" : "Capability not available",
2942.                 "module" : "Internal",
2943.                 "function" : "GetFalseResult",
2944.                 "contentEnabled" : false,
2945.                 "arguments" : [ ],
2946.                 "outputs" : [ ],
2947.                 "formatArgs" : { },
2948.                 "format" : "BIN",
2949.                 "platforms" : [ {
2950.                   "catalogVersion" : 230233,
2951.                   "dbVersion" : 2,
2952.                   "id" : "58efec8ee4b0c390d69a8e0e",
2953.                   "name" : "windows",
2954.                   "topic" : "/mcafee/mar/agent/query/windows",
2955.                   "enabled" : true
2956.                 }, {
2957.                   "catalogVersion" : 230233,
2958.                   "dbVersion" : 2,
2959.                   "id" : "58efec8ee4b0c390d69a8e0f",
2960.                   "name" : "linux",
2961.                   "topic" : "/mcafee/mar/agent/query/linux",
2962.                   "enabled" : true
2963.                 } ],
2964.                 "platformSettings" : [ ],
2965.                 "itemType" : "BUILTIN",
2966.                 "catalogItems" : [ ]
2967.               },
2968.               "content" : null,
2969.               "arguments" : [ ],
2970.               "utf8Sensitive" : false
2971.             }, {
2972.               "platform" : {
2973.                 "catalogVersion" : 230233,
2974.                 "dbVersion" : 2,
2975.                 "id" : "5a1a45c9e4b0401274ab7141",
2976.                 "name" : "macos",
2977.                 "topic" : "/mcafee/mar/agent/query/macos",
2978.                 "enabled" : true
2979.               },
2980.               "capability" : {
2981.                 "catalogVersion" : 230233,
2982.                 "dbVersion" : 2,
2983.                 "id" : "58efec8ee4b0c390d69a8e51",
2984.                 "name" : "NotAvailable",
2985.                 "description" : "Capability not available",
2986.                 "module" : "Internal",
2987.                 "function" : "GetFalseResult",
2988.                 "contentEnabled" : false,
2989.                 "arguments" : [ ],
2990.                 "outputs" : [ ],
2991.                 "formatArgs" : { },
2992.                 "format" : "BIN",
2993.                 "platforms" : [ {
2994.                   "catalogVersion" : 230233,
2995.                   "dbVersion" : 2,
2996.                   "id" : "58efec8ee4b0c390d69a8e0e",
2997.                   "name" : "windows",
2998.                   "topic" : "/mcafee/mar/agent/query/windows",
2999.                   "enabled" : true
3000.                 }, {
3001.                   "catalogVersion" : 230233,
3002.                   "dbVersion" : 2,
3003.                   "id" : "58efec8ee4b0c390d69a8e0f",
3004.                   "name" : "linux",
3005.                   "topic" : "/mcafee/mar/agent/query/linux",
3006.                   "enabled" : true
3007.                 } ],
3008.                 "platformSettings" : [ ],
3009.                 "itemType" : "BUILTIN",
3010.                 "catalogItems" : [ ]
3011.               },
3012.               "content" : null,
3013.               "arguments" : null,
3014.               "utf8Sensitive" : false
3015.             } ],
3016.             "timeout" : 60,
3017.             "outputs" : [ {
3018.               "id" : "58efec8ee4b0c390d69a8ea5",
3019.               "name" : "keypath",
3020.               "type" : "REG_PATH",
3021.               "byDefault" : false,
3022.               "sequence" : 1
3023.             }, {
3024.               "id" : "58efec8ee4b0c390d69a8ea6",
3025.               "name" : "keyvalue",
3026.               "type" : "REG_STR",
3027.               "byDefault" : false,
3028.               "sequence" : 2
3029.             }, {
3030.               "id" : "58efec8ee4b0c390d69a8ea7",
3031.               "name" : "valuedata",
3032.               "type" : "REG_STR",
3033.               "byDefault" : false,
3034.               "sequence" : 3
3035.             }, {
3036.               "id" : "58efec8ee4b0c390d69a8ea8",
3037.               "name" : "valuetype",
3038.               "type" : "REG_STR",
3039.               "byDefault" : false,
3040.               "sequence" : 4
3041.             } ]
3042.           }
3043.         }, {
3044.           "output" : {
3045.             "id" : "58efec8ee4b0c390d69a8ea6",
3046.             "name" : "keyvalue",
3047.             "type" : "REG_STR",
3048.             "byDefault" : false,
3049.             "sequence" : 2
3050.           },
3051.           "operator" : "EQUALS",
3052.           "value" : "PROXYSERVER",
3053.           "negated" : false,
3054.           "collector" : {
3055.             "catalogVersion" : 230233,
3056.             "dbVersion" : 2,
3057.             "id" : "58efec8ee4b0c390d69a8ea9",
3058.             "name" : "WinRegistry",
3059.             "description" : "Shows the registries keys",
3060.             "type" : "BUILTIN",
3061.             "contents" : [ {
3062.               "platform" : {
3063.                 "catalogVersion" : 230233,
3064.                 "dbVersion" : 2,
3065.                 "id" : "58efec8ee4b0c390d69a8e0e",
3066.                 "name" : "windows",
3067.                 "topic" : "/mcafee/mar/agent/query/windows",
3068.                 "enabled" : true
3069.               },
3070.               "capability" : {
3071.                 "catalogVersion" : 230233,
3072.                 "dbVersion" : 2,
3073.                 "id" : "58efec8ee4b0c390d69a8e31",
3074.                 "name" : "WinRegistry",
3075.                 "description" : "Gets registry key info",
3076.                 "module" : "WinRegistry",
3077.                 "function" : "FindRegistry",
3078.                 "contentEnabled" : false,
3079.                 "arguments" : [ ],
3080.                 "outputs" : [ ],
3081.                 "formatArgs" : { },
3082.                 "format" : "BIN",
3083.                 "platforms" : [ {
3084.                   "catalogVersion" : 230233,
3085.                   "dbVersion" : 2,
3086.                   "id" : "58efec8ee4b0c390d69a8e0e",
3087.                   "name" : "windows",
3088.                   "topic" : "/mcafee/mar/agent/query/windows",
3089.                   "enabled" : true
3090.                 } ],
3091.                 "platformSettings" : [ {
3092.                   "platform" : {
3093.                     "catalogVersion" : 230233,
3094.                     "dbVersion" : 2,
3095.                     "id" : "58efec8ee4b0c390d69a8e0e",
3096.                     "name" : "windows",
3097.                     "topic" : "/mcafee/mar/agent/query/windows",
3098.                     "enabled" : true
3099.                   },
3100.                   "utf8Sensitive" : false
3101.                 } ],
3102.                 "itemType" : "BUILTIN",
3103.                 "catalogItems" : [ "COLLECTOR" ]
3104.               },
3105.               "content" : null,
3106.               "arguments" : [ ],
3107.               "utf8Sensitive" : false
3108.             }, {
3109.               "platform" : {
3110.                 "catalogVersion" : 230233,
3111.                 "dbVersion" : 2,
3112.                 "id" : "58efec8ee4b0c390d69a8e0f",
3113.                 "name" : "linux",
3114.                 "topic" : "/mcafee/mar/agent/query/linux",
3115.                 "enabled" : true
3116.               },
3117.               "capability" : {
3118.                 "catalogVersion" : 230233,
3119.                 "dbVersion" : 2,
3120.                 "id" : "58efec8ee4b0c390d69a8e51",
3121.                 "name" : "NotAvailable",
3122.                 "description" : "Capability not available",
3123.                 "module" : "Internal",
3124.                 "function" : "GetFalseResult",
3125.                 "contentEnabled" : false,
3126.                 "arguments" : [ ],
3127.                 "outputs" : [ ],
3128.                 "formatArgs" : { },
3129.                 "format" : "BIN",
3130.                 "platforms" : [ {
3131.                   "catalogVersion" : 230233,
3132.                   "dbVersion" : 2,
3133.                   "id" : "58efec8ee4b0c390d69a8e0e",
3134.                   "name" : "windows",
3135.                   "topic" : "/mcafee/mar/agent/query/windows",
3136.                   "enabled" : true
3137.                 }, {
3138.                   "catalogVersion" : 230233,
3139.                   "dbVersion" : 2,
3140.                   "id" : "58efec8ee4b0c390d69a8e0f",
3141.                   "name" : "linux",
3142.                   "topic" : "/mcafee/mar/agent/query/linux",
3143.                   "enabled" : true
3144.                 } ],
3145.                 "platformSettings" : [ ],
3146.                 "itemType" : "BUILTIN",
3147.                 "catalogItems" : [ ]
3148.               },
3149.               "content" : null,
3150.               "arguments" : [ ],
3151.               "utf8Sensitive" : false
3152.             }, {
3153.               "platform" : {
3154.                 "catalogVersion" : 230233,
3155.                 "dbVersion" : 2,
3156.                 "id" : "5a1a45c9e4b0401274ab7141",
3157.                 "name" : "macos",
3158.                 "topic" : "/mcafee/mar/agent/query/macos",
3159.                 "enabled" : true
3160.               },
3161.               "capability" : {
3162.                 "catalogVersion" : 230233,
3163.                 "dbVersion" : 2,
3164.                 "id" : "58efec8ee4b0c390d69a8e51",
3165.                 "name" : "NotAvailable",
3166.                 "description" : "Capability not available",
3167.                 "module" : "Internal",
3168.                 "function" : "GetFalseResult",
3169.                 "contentEnabled" : false,
3170.                 "arguments" : [ ],
3171.                 "outputs" : [ ],
3172.                 "formatArgs" : { },
3173.                 "format" : "BIN",
3174.                 "platforms" : [ {
3175.                   "catalogVersion" : 230233,
3176.                   "dbVersion" : 2,
3177.                   "id" : "58efec8ee4b0c390d69a8e0e",
3178.                   "name" : "windows",
3179.                   "topic" : "/mcafee/mar/agent/query/windows",
3180.                   "enabled" : true
3181.                 }, {
3182.                   "catalogVersion" : 230233,
3183.                   "dbVersion" : 2,
3184.                   "id" : "58efec8ee4b0c390d69a8e0f",
3185.                   "name" : "linux",
3186.                   "topic" : "/mcafee/mar/agent/query/linux",
3187.                   "enabled" : true
3188.                 } ],
3189.                 "platformSettings" : [ ],
3190.                 "itemType" : "BUILTIN",
3191.                 "catalogItems" : [ ]
3192.               },
3193.               "content" : null,
3194.               "arguments" : null,
3195.               "utf8Sensitive" : false
3196.             } ],
3197.             "timeout" : 60,
3198.             "outputs" : [ {
3199.               "id" : "58efec8ee4b0c390d69a8ea5",
3200.               "name" : "keypath",
3201.               "type" : "REG_PATH",
3202.               "byDefault" : false,
3203.               "sequence" : 1
3204.             }, {
3205.               "id" : "58efec8ee4b0c390d69a8ea6",
3206.               "name" : "keyvalue",
3207.               "type" : "REG_STR",
3208.               "byDefault" : false,
3209.               "sequence" : 2
3210.             }, {
3211.               "id" : "58efec8ee4b0c390d69a8ea7",
3212.               "name" : "valuedata",
3213.               "type" : "REG_STR",
3214.               "byDefault" : false,
3215.               "sequence" : 3
3216.             }, {
3217.               "id" : "58efec8ee4b0c390d69a8ea8",
3218.               "name" : "valuetype",
3219.               "type" : "REG_STR",
3220.               "byDefault" : false,
3221.               "sequence" : 4
3222.             } ]
3223.           }
3224.         } ]
3225.       } ]
3226.     },
3227.     "running" : false,
3228.     "createdAt" : 1530900630249,
3229.     "executedAt" : null,
3230.     "status" : "CREATED",
3231.     "ttl" : 60000,
3232.     "startTime" : null,
3233.     "endpointPermission" : null,
3234.     "maGuidsTarget" : null,
3235.     "expectedHostResponses" : 0
3236.   },
3237.   "type" : "com.intel.mar.model.search.Search"
3238. }, {
3239.   "item" : {
3240.     "catalogVersion" : 1,
3241.     "dbVersion" : 2,
3242.     "id" : "5b3fb096e4b0cbe06dd67318",
3243.     "name" : "INFO GATHERING - REALTIME - Port Bound Services not running as NT AUTHORITY",
3244.     "description" : "",
3245.     "type" : null,
3246.     "expression" : "CurrentFlow where CurrentFlow status equals \"Listening\" and CurrentFlow user not contains \"NT\"",
3247.     "temporal" : false,
3248.     "invalid" : false,
3249.     "aggregated" : true,
3250.     "projections" : [ {
3251.       "collector" : {
3252.         "catalogVersion" : 230233,
3253.         "dbVersion" : 2,
3254.         "id" : "58efec8ee4b0c390d69a8ea4",
3255.         "name" : "CurrentFlow",
3256.         "description" : "Shows the current network flow",
3257.         "type" : "BUILTIN",
3258.         "contents" : [ {
3259.           "platform" : {
3260.             "catalogVersion" : 230233,
3261.             "dbVersion" : 2,
3262.             "id" : "58efec8ee4b0c390d69a8e0f",
3263.             "name" : "linux",
3264.             "topic" : "/mcafee/mar/agent/query/linux",
3265.             "enabled" : true
3266.           },
3267.           "capability" : {
3268.             "catalogVersion" : 230233,
3269.             "dbVersion" : 2,
3270.             "id" : "58efec8ee4b0c390d69a8e20",
3271.             "name" : "CurrentFlow",
3272.             "description" : "Gets current network information",
3273.             "module" : "NetworkFlow",
3274.             "function" : "CurrentFlow",
3275.             "contentEnabled" : false,
3276.             "arguments" : [ ],
3277.             "outputs" : [ ],
3278.             "formatArgs" : { },
3279.             "format" : "BIN",
3280.             "platforms" : [ {
3281.               "catalogVersion" : 230233,
3282.               "dbVersion" : 2,
3283.               "id" : "58efec8ee4b0c390d69a8e0e",
3284.               "name" : "windows",
3285.               "topic" : "/mcafee/mar/agent/query/windows",
3286.               "enabled" : true
3287.             }, {
3288.               "catalogVersion" : 230233,
3289.               "dbVersion" : 2,
3290.               "id" : "58efec8ee4b0c390d69a8e0f",
3291.               "name" : "linux",
3292.               "topic" : "/mcafee/mar/agent/query/linux",
3293.               "enabled" : true
3294.             }, {
3295.               "catalogVersion" : 230233,
3296.               "dbVersion" : 2,
3297.               "id" : "5a1a45c9e4b0401274ab7141",
3298.               "name" : "macos",
3299.               "topic" : "/mcafee/mar/agent/query/macos",
3300.               "enabled" : true
3301.             } ],
3302.             "platformSettings" : [ {
3303.               "platform" : {
3304.                 "catalogVersion" : 230233,
3305.                 "dbVersion" : 2,
3306.                 "id" : "58efec8ee4b0c390d69a8e0e",
3307.                 "name" : "windows",
3308.                 "topic" : "/mcafee/mar/agent/query/windows",
3309.                 "enabled" : true
3310.               },
3311.               "utf8Sensitive" : false
3312.             }, {
3313.               "platform" : {
3314.                 "catalogVersion" : 230233,
3315.                 "dbVersion" : 2,
3316.                 "id" : "58efec8ee4b0c390d69a8e0f",
3317.                 "name" : "linux",
3318.                 "topic" : "/mcafee/mar/agent/query/linux",
3319.                 "enabled" : true
3320.               },
3321.               "utf8Sensitive" : false
3322.             }, {
3323.               "platform" : {
3324.                 "catalogVersion" : 230233,
3325.                 "dbVersion" : 2,
3326.                 "id" : "5a1a45c9e4b0401274ab7141",
3327.                 "name" : "macos",
3328.                 "topic" : "/mcafee/mar/agent/query/macos",
3329.                 "enabled" : true
3330.               },
3331.               "utf8Sensitive" : false
3332.             } ],
3333.             "itemType" : "BUILTIN",
3334.             "catalogItems" : [ "COLLECTOR" ]
3335.           },
3336.           "content" : null,
3337.           "arguments" : [ ],
3338.           "utf8Sensitive" : false
3339.         }, {
3340.           "platform" : {
3341.             "catalogVersion" : 230233,
3342.             "dbVersion" : 2,
3343.             "id" : "58efec8ee4b0c390d69a8e0e",
3344.             "name" : "windows",
3345.             "topic" : "/mcafee/mar/agent/query/windows",
3346.             "enabled" : true
3347.           },
3348.           "capability" : {
3349.             "catalogVersion" : 230233,
3350.             "dbVersion" : 2,
3351.             "id" : "58efec8ee4b0c390d69a8e20",
3352.             "name" : "CurrentFlow",
3353.             "description" : "Gets current network information",
3354.             "module" : "NetworkFlow",
3355.             "function" : "CurrentFlow",
3356.             "contentEnabled" : false,
3357.             "arguments" : [ ],
3358.             "outputs" : [ ],
3359.             "formatArgs" : { },
3360.             "format" : "BIN",
3361.             "platforms" : [ {
3362.               "catalogVersion" : 230233,
3363.               "dbVersion" : 2,
3364.               "id" : "58efec8ee4b0c390d69a8e0e",
3365.               "name" : "windows",
3366.               "topic" : "/mcafee/mar/agent/query/windows",
3367.               "enabled" : true
3368.             }, {
3369.               "catalogVersion" : 230233,
3370.               "dbVersion" : 2,
3371.               "id" : "58efec8ee4b0c390d69a8e0f",
3372.               "name" : "linux",
3373.               "topic" : "/mcafee/mar/agent/query/linux",
3374.               "enabled" : true
3375.             }, {
3376.               "catalogVersion" : 230233,
3377.               "dbVersion" : 2,
3378.               "id" : "5a1a45c9e4b0401274ab7141",
3379.               "name" : "macos",
3380.               "topic" : "/mcafee/mar/agent/query/macos",
3381.               "enabled" : true
3382.             } ],
3383.             "platformSettings" : [ {
3384.               "platform" : {
3385.                 "catalogVersion" : 230233,
3386.                 "dbVersion" : 2,
3387.                 "id" : "58efec8ee4b0c390d69a8e0e",
3388.                 "name" : "windows",
3389.                 "topic" : "/mcafee/mar/agent/query/windows",
3390.                 "enabled" : true
3391.               },
3392.               "utf8Sensitive" : false
3393.             }, {
3394.               "platform" : {
3395.                 "catalogVersion" : 230233,
3396.                 "dbVersion" : 2,
3397.                 "id" : "58efec8ee4b0c390d69a8e0f",
3398.                 "name" : "linux",
3399.                 "topic" : "/mcafee/mar/agent/query/linux",
3400.                 "enabled" : true
3401.               },
3402.               "utf8Sensitive" : false
3403.             }, {
3404.               "platform" : {
3405.                 "catalogVersion" : 230233,
3406.                 "dbVersion" : 2,
3407.                 "id" : "5a1a45c9e4b0401274ab7141",
3408.                 "name" : "macos",
3409.                 "topic" : "/mcafee/mar/agent/query/macos",
3410.                 "enabled" : true
3411.               },
3412.               "utf8Sensitive" : false
3413.             } ],
3414.             "itemType" : "BUILTIN",
3415.             "catalogItems" : [ "COLLECTOR" ]
3416.           },
3417.           "content" : null,
3418.           "arguments" : [ ],
3419.           "utf8Sensitive" : false
3420.         }, {
3421.           "platform" : {
3422.             "catalogVersion" : 230233,
3423.             "dbVersion" : 2,
3424.             "id" : "5a1a45c9e4b0401274ab7141",
3425.             "name" : "macos",
3426.             "topic" : "/mcafee/mar/agent/query/macos",
3427.             "enabled" : true
3428.           },
3429.           "capability" : {
3430.             "catalogVersion" : 230233,
3431.             "dbVersion" : 2,
3432.             "id" : "58efec8ee4b0c390d69a8e20",
3433.             "name" : "CurrentFlow",
3434.             "description" : "Gets current network information",
3435.             "module" : "NetworkFlow",
3436.             "function" : "CurrentFlow",
3437.             "contentEnabled" : false,
3438.             "arguments" : [ ],
3439.             "outputs" : [ ],
3440.             "formatArgs" : { },
3441.             "format" : "BIN",
3442.             "platforms" : [ {
3443.               "catalogVersion" : 230233,
3444.               "dbVersion" : 2,
3445.               "id" : "58efec8ee4b0c390d69a8e0e",
3446.               "name" : "windows",
3447.               "topic" : "/mcafee/mar/agent/query/windows",
3448.               "enabled" : true
3449.             }, {
3450.               "catalogVersion" : 230233,
3451.               "dbVersion" : 2,
3452.               "id" : "58efec8ee4b0c390d69a8e0f",
3453.               "name" : "linux",
3454.               "topic" : "/mcafee/mar/agent/query/linux",
3455.               "enabled" : true
3456.             }, {
3457.               "catalogVersion" : 230233,
3458.               "dbVersion" : 2,
3459.               "id" : "5a1a45c9e4b0401274ab7141",
3460.               "name" : "macos",
3461.               "topic" : "/mcafee/mar/agent/query/macos",
3462.               "enabled" : true
3463.             } ],
3464.             "platformSettings" : [ {
3465.               "platform" : {
3466.                 "catalogVersion" : 230233,
3467.                 "dbVersion" : 2,
3468.                 "id" : "58efec8ee4b0c390d69a8e0e",
3469.                 "name" : "windows",
3470.                 "topic" : "/mcafee/mar/agent/query/windows",
3471.                 "enabled" : true
3472.               },
3473.               "utf8Sensitive" : false
3474.             }, {
3475.               "platform" : {
3476.                 "catalogVersion" : 230233,
3477.                 "dbVersion" : 2,
3478.                 "id" : "58efec8ee4b0c390d69a8e0f",
3479.                 "name" : "linux",
3480.                 "topic" : "/mcafee/mar/agent/query/linux",
3481.                 "enabled" : true
3482.               },
3483.               "utf8Sensitive" : false
3484.             }, {
3485.               "platform" : {
3486.                 "catalogVersion" : 230233,
3487.                 "dbVersion" : 2,
3488.                 "id" : "5a1a45c9e4b0401274ab7141",
3489.                 "name" : "macos",
3490.                 "topic" : "/mcafee/mar/agent/query/macos",
3491.                 "enabled" : true
3492.               },
3493.               "utf8Sensitive" : false
3494.             } ],
3495.             "itemType" : "BUILTIN",
3496.             "catalogItems" : [ "COLLECTOR" ]
3497.           },
3498.           "content" : null,
3499.           "arguments" : [ ],
3500.           "utf8Sensitive" : false
3501.         } ],
3502.         "timeout" : 60,
3503.         "outputs" : [ {
3504.           "id" : "58efec8ee4b0c390d69a8e98",
3505.           "name" : "local_ip",
3506.           "type" : "IPV4IPV6",
3507.           "byDefault" : true,
3508.           "sequence" : 1
3509.         }, {
3510.           "id" : "58efec8ee4b0c390d69a8e99",
3511.           "name" : "local_port",
3512.           "type" : "NUMBER",
3513.           "byDefault" : true,
3514.           "sequence" : 2
3515.         }, {
3516.           "id" : "58efec8ee4b0c390d69a8e9a",
3517.           "name" : "remote_ip",
3518.           "type" : "IPV4IPV6",
3519.           "byDefault" : true,
3520.           "sequence" : 3
3521.         }, {
3522.           "id" : "58efec8ee4b0c390d69a8e9b",
3523.           "name" : "remote_port",
3524.           "type" : "NUMBER",
3525.           "byDefault" : true,
3526.           "sequence" : 4
3527.         }, {
3528.           "id" : "58efec8ee4b0c390d69a8e9c",
3529.           "name" : "status",
3530.           "type" : "STRING",
3531.           "byDefault" : true,
3532.           "sequence" : 5
3533.         }, {
3534.           "id" : "58efec8ee4b0c390d69a8e9d",
3535.           "name" : "proto",
3536.           "type" : "STRING",
3537.           "byDefault" : true,
3538.           "sequence" : 6
3539.         }, {
3540.           "id" : "58efec8ee4b0c390d69a8e9e",
3541.           "name" : "process_id",
3542.           "type" : "NUMBER",
3543.           "byDefault" : false,
3544.           "sequence" : 7
3545.         }, {
3546.           "id" : "58efec8ee4b0c390d69a8e9f",
3547.           "name" : "process",
3548.           "type" : "STRING",
3549.           "byDefault" : true,
3550.           "sequence" : 8
3551.         }, {
3552.           "id" : "58efec8ee4b0c390d69a8ea0",
3553.           "name" : "user",
3554.           "type" : "STRING",
3555.           "byDefault" : true,
3556.           "sequence" : 9
3557.         }, {
3558.           "id" : "58efec8ee4b0c390d69a8ea1",
3559.           "name" : "user_id",
3560.           "type" : "STRING",
3561.           "byDefault" : false,
3562.           "sequence" : 10
3563.         }, {
3564.           "id" : "58efec8ee4b0c390d69a8ea2",
3565.           "name" : "md5",
3566.           "type" : "STRING",
3567.           "byDefault" : false,
3568.           "sequence" : 11
3569.         }, {
3570.           "id" : "58efec8ee4b0c390d69a8ea3",
3571.           "name" : "sha1",
3572.           "type" : "STRING",
3573.           "byDefault" : false,
3574.           "sequence" : 12
3575.         }, {
3576.           "id" : "5a1a45cbe4b0401274ab7192",
3577.           "name" : "sha256",
3578.           "type" : "STRING",
3579.           "byDefault" : false,
3580.           "sequence" : 13
3581.         } ]
3582.       },
3583.       "sequence" : "1",
3584.       "output" : [ ]
3585.     } ],
3586.     "disjunction" : {
3587.       "conjunctions" : [ {
3588.         "terms" : [ {
3589.           "output" : {
3590.             "id" : "58efec8ee4b0c390d69a8e9c",
3591.             "name" : "status",
3592.             "type" : "STRING",
3593.             "byDefault" : true,
3594.             "sequence" : 5
3595.           },
3596.           "operator" : "EQUALS",
3597.           "value" : "Listening",
3598.           "negated" : false,
3599.           "collector" : {
3600.             "catalogVersion" : 230233,
3601.             "dbVersion" : 2,
3602.             "id" : "58efec8ee4b0c390d69a8ea4",
3603.             "name" : "CurrentFlow",
3604.             "description" : "Shows the current network flow",
3605.             "type" : "BUILTIN",
3606.             "contents" : [ {
3607.               "platform" : {
3608.                 "catalogVersion" : 230233,
3609.                 "dbVersion" : 2,
3610.                 "id" : "58efec8ee4b0c390d69a8e0f",
3611.                 "name" : "linux",
3612.                 "topic" : "/mcafee/mar/agent/query/linux",
3613.                 "enabled" : true
3614.               },
3615.               "capability" : {
3616.                 "catalogVersion" : 230233,
3617.                 "dbVersion" : 2,
3618.                 "id" : "58efec8ee4b0c390d69a8e20",
3619.                 "name" : "CurrentFlow",
3620.                 "description" : "Gets current network information",
3621.                 "module" : "NetworkFlow",
3622.                 "function" : "CurrentFlow",
3623.                 "contentEnabled" : false,
3624.                 "arguments" : [ ],
3625.                 "outputs" : [ ],
3626.                 "formatArgs" : { },
3627.                 "format" : "BIN",
3628.                 "platforms" : [ {
3629.                   "catalogVersion" : 230233,
3630.                   "dbVersion" : 2,
3631.                   "id" : "58efec8ee4b0c390d69a8e0e",
3632.                   "name" : "windows",
3633.                   "topic" : "/mcafee/mar/agent/query/windows",
3634.                   "enabled" : true
3635.                 }, {
3636.                   "catalogVersion" : 230233,
3637.                   "dbVersion" : 2,
3638.                   "id" : "58efec8ee4b0c390d69a8e0f",
3639.                   "name" : "linux",
3640.                   "topic" : "/mcafee/mar/agent/query/linux",
3641.                   "enabled" : true
3642.                 }, {
3643.                   "catalogVersion" : 230233,
3644.                   "dbVersion" : 2,
3645.                   "id" : "5a1a45c9e4b0401274ab7141",
3646.                   "name" : "macos",
3647.                   "topic" : "/mcafee/mar/agent/query/macos",
3648.                   "enabled" : true
3649.                 } ],
3650.                 "platformSettings" : [ {
3651.                   "platform" : {
3652.                     "catalogVersion" : 230233,
3653.                     "dbVersion" : 2,
3654.                     "id" : "58efec8ee4b0c390d69a8e0e",
3655.                     "name" : "windows",
3656.                     "topic" : "/mcafee/mar/agent/query/windows",
3657.                     "enabled" : true
3658.                   },
3659.                   "utf8Sensitive" : false
3660.                 }, {
3661.                   "platform" : {
3662.                     "catalogVersion" : 230233,
3663.                     "dbVersion" : 2,
3664.                     "id" : "58efec8ee4b0c390d69a8e0f",
3665.                     "name" : "linux",
3666.                     "topic" : "/mcafee/mar/agent/query/linux",
3667.                     "enabled" : true
3668.                   },
3669.                   "utf8Sensitive" : false
3670.                 }, {
3671.                   "platform" : {
3672.                     "catalogVersion" : 230233,
3673.                     "dbVersion" : 2,
3674.                     "id" : "5a1a45c9e4b0401274ab7141",
3675.                     "name" : "macos",
3676.                     "topic" : "/mcafee/mar/agent/query/macos",
3677.                     "enabled" : true
3678.                   },
3679.                   "utf8Sensitive" : false
3680.                 } ],
3681.                 "itemType" : "BUILTIN",
3682.                 "catalogItems" : [ "COLLECTOR" ]
3683.               },
3684.               "content" : null,
3685.               "arguments" : [ ],
3686.               "utf8Sensitive" : false
3687.             }, {
3688.               "platform" : {
3689.                 "catalogVersion" : 230233,
3690.                 "dbVersion" : 2,
3691.                 "id" : "58efec8ee4b0c390d69a8e0e",
3692.                 "name" : "windows",
3693.                 "topic" : "/mcafee/mar/agent/query/windows",
3694.                 "enabled" : true
3695.               },
3696.               "capability" : {
3697.                 "catalogVersion" : 230233,
3698.                 "dbVersion" : 2,
3699.                 "id" : "58efec8ee4b0c390d69a8e20",
3700.                 "name" : "CurrentFlow",
3701.                 "description" : "Gets current network information",
3702.                 "module" : "NetworkFlow",
3703.                 "function" : "CurrentFlow",
3704.                 "contentEnabled" : false,
3705.                 "arguments" : [ ],
3706.                 "outputs" : [ ],
3707.                 "formatArgs" : { },
3708.                 "format" : "BIN",
3709.                 "platforms" : [ {
3710.                   "catalogVersion" : 230233,
3711.                   "dbVersion" : 2,
3712.                   "id" : "58efec8ee4b0c390d69a8e0e",
3713.                   "name" : "windows",
3714.                   "topic" : "/mcafee/mar/agent/query/windows",
3715.                   "enabled" : true
3716.                 }, {
3717.                   "catalogVersion" : 230233,
3718.                   "dbVersion" : 2,
3719.                   "id" : "58efec8ee4b0c390d69a8e0f",
3720.                   "name" : "linux",
3721.                   "topic" : "/mcafee/mar/agent/query/linux",
3722.                   "enabled" : true
3723.                 }, {
3724.                   "catalogVersion" : 230233,
3725.                   "dbVersion" : 2,
3726.                   "id" : "5a1a45c9e4b0401274ab7141",
3727.                   "name" : "macos",
3728.                   "topic" : "/mcafee/mar/agent/query/macos",
3729.                   "enabled" : true
3730.                 } ],
3731.                 "platformSettings" : [ {
3732.                   "platform" : {
3733.                     "catalogVersion" : 230233,
3734.                     "dbVersion" : 2,
3735.                     "id" : "58efec8ee4b0c390d69a8e0e",
3736.                     "name" : "windows",
3737.                     "topic" : "/mcafee/mar/agent/query/windows",
3738.                     "enabled" : true
3739.                   },
3740.                   "utf8Sensitive" : false
3741.                 }, {
3742.                   "platform" : {
3743.                     "catalogVersion" : 230233,
3744.                     "dbVersion" : 2,
3745.                     "id" : "58efec8ee4b0c390d69a8e0f",
3746.                     "name" : "linux",
3747.                     "topic" : "/mcafee/mar/agent/query/linux",
3748.                     "enabled" : true
3749.                   },
3750.                   "utf8Sensitive" : false
3751.                 }, {
3752.                   "platform" : {
3753.                     "catalogVersion" : 230233,
3754.                     "dbVersion" : 2,
3755.                     "id" : "5a1a45c9e4b0401274ab7141",
3756.                     "name" : "macos",
3757.                     "topic" : "/mcafee/mar/agent/query/macos",
3758.                     "enabled" : true
3759.                   },
3760.                   "utf8Sensitive" : false
3761.                 } ],
3762.                 "itemType" : "BUILTIN",
3763.                 "catalogItems" : [ "COLLECTOR" ]
3764.               },
3765.               "content" : null,
3766.               "arguments" : [ ],
3767.               "utf8Sensitive" : false
3768.             }, {
3769.               "platform" : {
3770.                 "catalogVersion" : 230233,
3771.                 "dbVersion" : 2,
3772.                 "id" : "5a1a45c9e4b0401274ab7141",
3773.                 "name" : "macos",
3774.                 "topic" : "/mcafee/mar/agent/query/macos",
3775.                 "enabled" : true
3776.               },
3777.               "capability" : {
3778.                 "catalogVersion" : 230233,
3779.                 "dbVersion" : 2,
3780.                 "id" : "58efec8ee4b0c390d69a8e20",
3781.                 "name" : "CurrentFlow",
3782.                 "description" : "Gets current network information",
3783.                 "module" : "NetworkFlow",
3784.                 "function" : "CurrentFlow",
3785.                 "contentEnabled" : false,
3786.                 "arguments" : [ ],
3787.                 "outputs" : [ ],
3788.                 "formatArgs" : { },
3789.                 "format" : "BIN",
3790.                 "platforms" : [ {
3791.                   "catalogVersion" : 230233,
3792.                   "dbVersion" : 2,
3793.                   "id" : "58efec8ee4b0c390d69a8e0e",
3794.                   "name" : "windows",
3795.                   "topic" : "/mcafee/mar/agent/query/windows",
3796.                   "enabled" : true
3797.                 }, {
3798.                   "catalogVersion" : 230233,
3799.                   "dbVersion" : 2,
3800.                   "id" : "58efec8ee4b0c390d69a8e0f",
3801.                   "name" : "linux",
3802.                   "topic" : "/mcafee/mar/agent/query/linux",
3803.                   "enabled" : true
3804.                 }, {
3805.                   "catalogVersion" : 230233,
3806.                   "dbVersion" : 2,
3807.                   "id" : "5a1a45c9e4b0401274ab7141",
3808.                   "name" : "macos",
3809.                   "topic" : "/mcafee/mar/agent/query/macos",
3810.                   "enabled" : true
3811.                 } ],
3812.                 "platformSettings" : [ {
3813.                   "platform" : {
3814.                     "catalogVersion" : 230233,
3815.                     "dbVersion" : 2,
3816.                     "id" : "58efec8ee4b0c390d69a8e0e",
3817.                     "name" : "windows",
3818.                     "topic" : "/mcafee/mar/agent/query/windows",
3819.                     "enabled" : true
3820.                   },
3821.                   "utf8Sensitive" : false
3822.                 }, {
3823.                   "platform" : {
3824.                     "catalogVersion" : 230233,
3825.                     "dbVersion" : 2,
3826.                     "id" : "58efec8ee4b0c390d69a8e0f",
3827.                     "name" : "linux",
3828.                     "topic" : "/mcafee/mar/agent/query/linux",
3829.                     "enabled" : true
3830.                   },
3831.                   "utf8Sensitive" : false
3832.                 }, {
3833.                   "platform" : {
3834.                     "catalogVersion" : 230233,
3835.                     "dbVersion" : 2,
3836.                     "id" : "5a1a45c9e4b0401274ab7141",
3837.                     "name" : "macos",
3838.                     "topic" : "/mcafee/mar/agent/query/macos",
3839.                     "enabled" : true
3840.                   },
3841.                   "utf8Sensitive" : false
3842.                 } ],
3843.                 "itemType" : "BUILTIN",
3844.                 "catalogItems" : [ "COLLECTOR" ]
3845.               },
3846.               "content" : null,
3847.               "arguments" : [ ],
3848.               "utf8Sensitive" : false
3849.             } ],
3850.             "timeout" : 60,
3851.             "outputs" : [ {
3852.               "id" : "58efec8ee4b0c390d69a8e98",
3853.               "name" : "local_ip",
3854.               "type" : "IPV4IPV6",
3855.               "byDefault" : true,
3856.               "sequence" : 1
3857.             }, {
3858.               "id" : "58efec8ee4b0c390d69a8e99",
3859.               "name" : "local_port",
3860.               "type" : "NUMBER",
3861.               "byDefault" : true,
3862.               "sequence" : 2
3863.             }, {
3864.               "id" : "58efec8ee4b0c390d69a8e9a",
3865.               "name" : "remote_ip",
3866.               "type" : "IPV4IPV6",
3867.               "byDefault" : true,
3868.               "sequence" : 3
3869.             }, {
3870.               "id" : "58efec8ee4b0c390d69a8e9b",
3871.               "name" : "remote_port",
3872.               "type" : "NUMBER",
3873.               "byDefault" : true,
3874.               "sequence" : 4
3875.             }, {
3876.               "id" : "58efec8ee4b0c390d69a8e9c",
3877.               "name" : "status",
3878.               "type" : "STRING",
3879.               "byDefault" : true,
3880.               "sequence" : 5
3881.             }, {
3882.               "id" : "58efec8ee4b0c390d69a8e9d",
3883.               "name" : "proto",
3884.               "type" : "STRING",
3885.               "byDefault" : true,
3886.               "sequence" : 6
3887.             }, {
3888.               "id" : "58efec8ee4b0c390d69a8e9e",
3889.               "name" : "process_id",
3890.               "type" : "NUMBER",
3891.               "byDefault" : false,
3892.               "sequence" : 7
3893.             }, {
3894.               "id" : "58efec8ee4b0c390d69a8e9f",
3895.               "name" : "process",
3896.               "type" : "STRING",
3897.               "byDefault" : true,
3898.               "sequence" : 8
3899.             }, {
3900.               "id" : "58efec8ee4b0c390d69a8ea0",
3901.               "name" : "user",
3902.               "type" : "STRING",
3903.               "byDefault" : true,
3904.               "sequence" : 9
3905.             }, {
3906.               "id" : "58efec8ee4b0c390d69a8ea1",
3907.               "name" : "user_id",
3908.               "type" : "STRING",
3909.               "byDefault" : false,
3910.               "sequence" : 10
3911.             }, {
3912.               "id" : "58efec8ee4b0c390d69a8ea2",
3913.               "name" : "md5",
3914.               "type" : "STRING",
3915.               "byDefault" : false,
3916.               "sequence" : 11
3917.             }, {
3918.               "id" : "58efec8ee4b0c390d69a8ea3",
3919.               "name" : "sha1",
3920.               "type" : "STRING",
3921.               "byDefault" : false,
3922.               "sequence" : 12
3923.             }, {
3924.               "id" : "5a1a45cbe4b0401274ab7192",
3925.               "name" : "sha256",
3926.               "type" : "STRING",
3927.               "byDefault" : false,
3928.               "sequence" : 13
3929.             } ]
3930.           }
3931.         }, {
3932.           "output" : {
3933.             "id" : "58efec8ee4b0c390d69a8ea0",
3934.             "name" : "user",
3935.             "type" : "STRING",
3936.             "byDefault" : true,
3937.             "sequence" : 9
3938.           },
3939.           "operator" : "CONTAINS",
3940.           "value" : "NT",
3941.           "negated" : true,
3942.           "collector" : {
3943.             "catalogVersion" : 230233,
3944.             "dbVersion" : 2,
3945.             "id" : "58efec8ee4b0c390d69a8ea4",
3946.             "name" : "CurrentFlow",
3947.             "description" : "Shows the current network flow",
3948.             "type" : "BUILTIN",
3949.             "contents" : [ {
3950.               "platform" : {
3951.                 "catalogVersion" : 230233,
3952.                 "dbVersion" : 2,
3953.                 "id" : "58efec8ee4b0c390d69a8e0f",
3954.                 "name" : "linux",
3955.                 "topic" : "/mcafee/mar/agent/query/linux",
3956.                 "enabled" : true
3957.               },
3958.               "capability" : {
3959.                 "catalogVersion" : 230233,
3960.                 "dbVersion" : 2,
3961.                 "id" : "58efec8ee4b0c390d69a8e20",
3962.                 "name" : "CurrentFlow",
3963.                 "description" : "Gets current network information",
3964.                 "module" : "NetworkFlow",
3965.                 "function" : "CurrentFlow",
3966.                 "contentEnabled" : false,
3967.                 "arguments" : [ ],
3968.                 "outputs" : [ ],
3969.                 "formatArgs" : { },
3970.                 "format" : "BIN",
3971.                 "platforms" : [ {
3972.                   "catalogVersion" : 230233,
3973.                   "dbVersion" : 2,
3974.                   "id" : "58efec8ee4b0c390d69a8e0e",
3975.                   "name" : "windows",
3976.                   "topic" : "/mcafee/mar/agent/query/windows",
3977.                   "enabled" : true
3978.                 }, {
3979.                   "catalogVersion" : 230233,
3980.                   "dbVersion" : 2,
3981.                   "id" : "58efec8ee4b0c390d69a8e0f",
3982.                   "name" : "linux",
3983.                   "topic" : "/mcafee/mar/agent/query/linux",
3984.                   "enabled" : true
3985.                 }, {
3986.                   "catalogVersion" : 230233,
3987.                   "dbVersion" : 2,
3988.                   "id" : "5a1a45c9e4b0401274ab7141",
3989.                   "name" : "macos",
3990.                   "topic" : "/mcafee/mar/agent/query/macos",
3991.                   "enabled" : true
3992.                 } ],
3993.                 "platformSettings" : [ {
3994.                   "platform" : {
3995.                     "catalogVersion" : 230233,
3996.                     "dbVersion" : 2,
3997.                     "id" : "58efec8ee4b0c390d69a8e0e",
3998.                     "name" : "windows",
3999.                     "topic" : "/mcafee/mar/agent/query/windows",
4000.                     "enabled" : true
4001.                   },
4002.                   "utf8Sensitive" : false
4003.                 }, {
4004.                   "platform" : {
4005.                     "catalogVersion" : 230233,
4006.                     "dbVersion" : 2,
4007.                     "id" : "58efec8ee4b0c390d69a8e0f",
4008.                     "name" : "linux",
4009.                     "topic" : "/mcafee/mar/agent/query/linux",
4010.                     "enabled" : true
4011.                   },
4012.                   "utf8Sensitive" : false
4013.                 }, {
4014.                   "platform" : {
4015.                     "catalogVersion" : 230233,
4016.                     "dbVersion" : 2,
4017.                     "id" : "5a1a45c9e4b0401274ab7141",
4018.                     "name" : "macos",
4019.                     "topic" : "/mcafee/mar/agent/query/macos",
4020.                     "enabled" : true
4021.                   },
4022.                   "utf8Sensitive" : false
4023.                 } ],
4024.                 "itemType" : "BUILTIN",
4025.                 "catalogItems" : [ "COLLECTOR" ]
4026.               },
4027.               "content" : null,
4028.               "arguments" : [ ],
4029.               "utf8Sensitive" : false
4030.             }, {
4031.               "platform" : {
4032.                 "catalogVersion" : 230233,
4033.                 "dbVersion" : 2,
4034.                 "id" : "58efec8ee4b0c390d69a8e0e",
4035.                 "name" : "windows",
4036.                 "topic" : "/mcafee/mar/agent/query/windows",
4037.                 "enabled" : true
4038.               },
4039.               "capability" : {
4040.                 "catalogVersion" : 230233,
4041.                 "dbVersion" : 2,
4042.                 "id" : "58efec8ee4b0c390d69a8e20",
4043.                 "name" : "CurrentFlow",
4044.                 "description" : "Gets current network information",
4045.                 "module" : "NetworkFlow",
4046.                 "function" : "CurrentFlow",
4047.                 "contentEnabled" : false,
4048.                 "arguments" : [ ],
4049.                 "outputs" : [ ],
4050.                 "formatArgs" : { },
4051.                 "format" : "BIN",
4052.                 "platforms" : [ {
4053.                   "catalogVersion" : 230233,
4054.                   "dbVersion" : 2,
4055.                   "id" : "58efec8ee4b0c390d69a8e0e",
4056.                   "name" : "windows",
4057.                   "topic" : "/mcafee/mar/agent/query/windows",
4058.                   "enabled" : true
4059.                 }, {
4060.                   "catalogVersion" : 230233,
4061.                   "dbVersion" : 2,
4062.                   "id" : "58efec8ee4b0c390d69a8e0f",
4063.                   "name" : "linux",
4064.                   "topic" : "/mcafee/mar/agent/query/linux",
4065.                   "enabled" : true
4066.                 }, {
4067.                   "catalogVersion" : 230233,
4068.                   "dbVersion" : 2,
4069.                   "id" : "5a1a45c9e4b0401274ab7141",
4070.                   "name" : "macos",
4071.                   "topic" : "/mcafee/mar/agent/query/macos",
4072.                   "enabled" : true
4073.                 } ],
4074.                 "platformSettings" : [ {
4075.                   "platform" : {
4076.                     "catalogVersion" : 230233,
4077.                     "dbVersion" : 2,
4078.                     "id" : "58efec8ee4b0c390d69a8e0e",
4079.                     "name" : "windows",
4080.                     "topic" : "/mcafee/mar/agent/query/windows",
4081.                     "enabled" : true
4082.                   },
4083.                   "utf8Sensitive" : false
4084.                 }, {
4085.                   "platform" : {
4086.                     "catalogVersion" : 230233,
4087.                     "dbVersion" : 2,
4088.                     "id" : "58efec8ee4b0c390d69a8e0f",
4089.                     "name" : "linux",
4090.                     "topic" : "/mcafee/mar/agent/query/linux",
4091.                     "enabled" : true
4092.                   },
4093.                   "utf8Sensitive" : false
4094.                 }, {
4095.                   "platform" : {
4096.                     "catalogVersion" : 230233,
4097.                     "dbVersion" : 2,
4098.                     "id" : "5a1a45c9e4b0401274ab7141",
4099.                     "name" : "macos",
4100.                     "topic" : "/mcafee/mar/agent/query/macos",
4101.                     "enabled" : true
4102.                   },
4103.                   "utf8Sensitive" : false
4104.                 } ],
4105.                 "itemType" : "BUILTIN",
4106.                 "catalogItems" : [ "COLLECTOR" ]
4107.               },
4108.               "content" : null,
4109.               "arguments" : [ ],
4110.               "utf8Sensitive" : false
4111.             }, {
4112.               "platform" : {
4113.                 "catalogVersion" : 230233,
4114.                 "dbVersion" : 2,
4115.                 "id" : "5a1a45c9e4b0401274ab7141",
4116.                 "name" : "macos",
4117.                 "topic" : "/mcafee/mar/agent/query/macos",
4118.                 "enabled" : true
4119.               },
4120.               "capability" : {
4121.                 "catalogVersion" : 230233,
4122.                 "dbVersion" : 2,
4123.                 "id" : "58efec8ee4b0c390d69a8e20",
4124.                 "name" : "CurrentFlow",
4125.                 "description" : "Gets current network information",
4126.                 "module" : "NetworkFlow",
4127.                 "function" : "CurrentFlow",
4128.                 "contentEnabled" : false,
4129.                 "arguments" : [ ],
4130.                 "outputs" : [ ],
4131.                 "formatArgs" : { },
4132.                 "format" : "BIN",
4133.                 "platforms" : [ {
4134.                   "catalogVersion" : 230233,
4135.                   "dbVersion" : 2,
4136.                   "id" : "58efec8ee4b0c390d69a8e0e",
4137.                   "name" : "windows",
4138.                   "topic" : "/mcafee/mar/agent/query/windows",
4139.                   "enabled" : true
4140.                 }, {
4141.                   "catalogVersion" : 230233,
4142.                   "dbVersion" : 2,
4143.                   "id" : "58efec8ee4b0c390d69a8e0f",
4144.                   "name" : "linux",
4145.                   "topic" : "/mcafee/mar/agent/query/linux",
4146.                   "enabled" : true
4147.                 }, {
4148.                   "catalogVersion" : 230233,
4149.                   "dbVersion" : 2,
4150.                   "id" : "5a1a45c9e4b0401274ab7141",
4151.                   "name" : "macos",
4152.                   "topic" : "/mcafee/mar/agent/query/macos",
4153.                   "enabled" : true
4154.                 } ],
4155.                 "platformSettings" : [ {
4156.                   "platform" : {
4157.                     "catalogVersion" : 230233,
4158.                     "dbVersion" : 2,
4159.                     "id" : "58efec8ee4b0c390d69a8e0e",
4160.                     "name" : "windows",
4161.                     "topic" : "/mcafee/mar/agent/query/windows",
4162.                     "enabled" : true
4163.                   },
4164.                   "utf8Sensitive" : false
4165.                 }, {
4166.                   "platform" : {
4167.                     "catalogVersion" : 230233,
4168.                     "dbVersion" : 2,
4169.                     "id" : "58efec8ee4b0c390d69a8e0f",
4170.                     "name" : "linux",
4171.                     "topic" : "/mcafee/mar/agent/query/linux",
4172.                     "enabled" : true
4173.                   },
4174.                   "utf8Sensitive" : false
4175.                 }, {
4176.                   "platform" : {
4177.                     "catalogVersion" : 230233,
4178.                     "dbVersion" : 2,
4179.                     "id" : "5a1a45c9e4b0401274ab7141",
4180.                     "name" : "macos",
4181.                     "topic" : "/mcafee/mar/agent/query/macos",
4182.                     "enabled" : true
4183.                   },
4184.                   "utf8Sensitive" : false
4185.                 } ],
4186.                 "itemType" : "BUILTIN",
4187.                 "catalogItems" : [ "COLLECTOR" ]
4188.               },
4189.               "content" : null,
4190.               "arguments" : [ ],
4191.               "utf8Sensitive" : false
4192.             } ],
4193.             "timeout" : 60,
4194.             "outputs" : [ {
4195.               "id" : "58efec8ee4b0c390d69a8e98",
4196.               "name" : "local_ip",
4197.               "type" : "IPV4IPV6",
4198.               "byDefault" : true,
4199.               "sequence" : 1
4200.             }, {
4201.               "id" : "58efec8ee4b0c390d69a8e99",
4202.               "name" : "local_port",
4203.               "type" : "NUMBER",
4204.               "byDefault" : true,
4205.               "sequence" : 2
4206.             }, {
4207.               "id" : "58efec8ee4b0c390d69a8e9a",
4208.               "name" : "remote_ip",
4209.               "type" : "IPV4IPV6",
4210.               "byDefault" : true,
4211.               "sequence" : 3
4212.             }, {
4213.               "id" : "58efec8ee4b0c390d69a8e9b",
4214.               "name" : "remote_port",
4215.               "type" : "NUMBER",
4216.               "byDefault" : true,
4217.               "sequence" : 4
4218.             }, {
4219.               "id" : "58efec8ee4b0c390d69a8e9c",
4220.               "name" : "status",
4221.               "type" : "STRING",
4222.               "byDefault" : true,
4223.               "sequence" : 5
4224.             }, {
4225.               "id" : "58efec8ee4b0c390d69a8e9d",
4226.               "name" : "proto",
4227.               "type" : "STRING",
4228.               "byDefault" : true,
4229.               "sequence" : 6
4230.             }, {
4231.               "id" : "58efec8ee4b0c390d69a8e9e",
4232.               "name" : "process_id",
4233.               "type" : "NUMBER",
4234.               "byDefault" : false,
4235.               "sequence" : 7
4236.             }, {
4237.               "id" : "58efec8ee4b0c390d69a8e9f",
4238.               "name" : "process",
4239.               "type" : "STRING",
4240.               "byDefault" : true,
4241.               "sequence" : 8
4242.             }, {
4243.               "id" : "58efec8ee4b0c390d69a8ea0",
4244.               "name" : "user",
4245.               "type" : "STRING",
4246.               "byDefault" : true,
4247.               "sequence" : 9
4248.             }, {
4249.               "id" : "58efec8ee4b0c390d69a8ea1",
4250.               "name" : "user_id",
4251.               "type" : "STRING",
4252.               "byDefault" : false,
4253.               "sequence" : 10
4254.             }, {
4255.               "id" : "58efec8ee4b0c390d69a8ea2",
4256.               "name" : "md5",
4257.               "type" : "STRING",
4258.               "byDefault" : false,
4259.               "sequence" : 11
4260.             }, {
4261.               "id" : "58efec8ee4b0c390d69a8ea3",
4262.               "name" : "sha1",
4263.               "type" : "STRING",
4264.               "byDefault" : false,
4265.               "sequence" : 12
4266.             }, {
4267.               "id" : "5a1a45cbe4b0401274ab7192",
4268.               "name" : "sha256",
4269.               "type" : "STRING",
4270.               "byDefault" : false,
4271.               "sequence" : 13
4272.             } ]
4273.           }
4274.         } ]
4275.       } ]
4276.     },
4277.     "running" : false,
4278.     "createdAt" : 1530900630254,
4279.     "executedAt" : null,
4280.     "status" : "CREATED",
4281.     "ttl" : 60000,
4282.     "startTime" : null,
4283.     "endpointPermission" : null,
4284.     "maGuidsTarget" : null,
4285.     "expectedHostResponses" : 0
4286.   },
4287.   "type" : "com.intel.mar.model.search.Search"
4288. }, {
4289.   "item" : {
4290.     "catalogVersion" : 1,
4291.     "dbVersion" : 2,
4292.     "id" : "5b3fb096e4b0cbe06dd67319",
4293.     "name" : "INFO GATHERING - REALTIME - System local net connections",
4294.     "description" : "",
4295.     "type" : null,
4296.     "expression" : "Processes name, user_id, user, cmdline where CurrentFlow remote_ip contains 192.168.1.0/24",
4297.     "temporal" : false,
4298.     "invalid" : false,
4299.     "aggregated" : true,
4300.     "projections" : [ {
4301.       "collector" : {
4302.         "catalogVersion" : 230233,
4303.         "dbVersion" : 2,
4304.         "id" : "58efec8ee4b0c390d69a8e79",
4305.         "name" : "Processes",
4306.         "description" : "Shows the running processes",
4307.         "type" : "BUILTIN",
4308.         "contents" : [ {
4309.           "platform" : {
4310.             "catalogVersion" : 230233,
4311.             "dbVersion" : 2,
4312.             "id" : "58efec8ee4b0c390d69a8e0f",
4313.             "name" : "linux",
4314.             "topic" : "/mcafee/mar/agent/query/linux",
4315.             "enabled" : true
4316.           },
4317.           "capability" : {
4318.             "catalogVersion" : 230233,
4319.             "dbVersion" : 2,
4320.             "id" : "58efec8ee4b0c390d69a8e10",
4321.             "name" : "Running Processes",
4322.             "description" : "Obtains the list of the running processes",
4323.             "module" : "SystemInfo",
4324.             "function" : "CollectProcess",
4325.             "contentEnabled" : false,
4326.             "arguments" : [ ],
4327.             "outputs" : [ ],
4328.             "formatArgs" : { },
4329.             "format" : "BIN",
4330.             "platforms" : [ {
4331.               "catalogVersion" : 230233,
4332.               "dbVersion" : 2,
4333.               "id" : "58efec8ee4b0c390d69a8e0e",
4334.               "name" : "windows",
4335.               "topic" : "/mcafee/mar/agent/query/windows",
4336.               "enabled" : true
4337.             }, {
4338.               "catalogVersion" : 230233,
4339.               "dbVersion" : 2,
4340.               "id" : "58efec8ee4b0c390d69a8e0f",
4341.               "name" : "linux",
4342.               "topic" : "/mcafee/mar/agent/query/linux",
4343.               "enabled" : true
4344.             }, {
4345.               "catalogVersion" : 230233,
4346.               "dbVersion" : 2,
4347.               "id" : "5a1a45c9e4b0401274ab7141",
4348.               "name" : "macos",
4349.               "topic" : "/mcafee/mar/agent/query/macos",
4350.               "enabled" : true
4351.             } ],
4352.             "platformSettings" : [ {
4353.               "platform" : {
4354.                 "catalogVersion" : 230233,
4355.                 "dbVersion" : 2,
4356.                 "id" : "58efec8ee4b0c390d69a8e0e",
4357.                 "name" : "windows",
4358.                 "topic" : "/mcafee/mar/agent/query/windows",
4359.                 "enabled" : true
4360.               },
4361.               "utf8Sensitive" : false
4362.             }, {
4363.               "platform" : {
4364.                 "catalogVersion" : 230233,
4365.                 "dbVersion" : 2,
4366.                 "id" : "58efec8ee4b0c390d69a8e0f",
4367.                 "name" : "linux",
4368.                 "topic" : "/mcafee/mar/agent/query/linux",
4369.                 "enabled" : true
4370.               },
4371.               "utf8Sensitive" : false
4372.             }, {
4373.               "platform" : {
4374.                 "catalogVersion" : 230233,
4375.                 "dbVersion" : 2,
4376.                 "id" : "5a1a45c9e4b0401274ab7141",
4377.                 "name" : "macos",
4378.                 "topic" : "/mcafee/mar/agent/query/macos",
4379.                 "enabled" : true
4380.               },
4381.               "utf8Sensitive" : false
4382.             } ],
4383.             "itemType" : "BUILTIN",
4384.             "catalogItems" : [ "COLLECTOR" ]
4385.           },
4386.           "content" : null,
4387.           "arguments" : [ ],
4388.           "utf8Sensitive" : false
4389.         }, {
4390.           "platform" : {
4391.             "catalogVersion" : 230233,
4392.             "dbVersion" : 2,
4393.             "id" : "58efec8ee4b0c390d69a8e0e",
4394.             "name" : "windows",
4395.             "topic" : "/mcafee/mar/agent/query/windows",
4396.             "enabled" : true
4397.           },
4398.           "capability" : {
4399.             "catalogVersion" : 230233,
4400.             "dbVersion" : 2,
4401.             "id" : "58efec8ee4b0c390d69a8e10",
4402.             "name" : "Running Processes",
4403.             "description" : "Obtains the list of the running processes",
4404.             "module" : "SystemInfo",
4405.             "function" : "CollectProcess",
4406.             "contentEnabled" : false,
4407.             "arguments" : [ ],
4408.             "outputs" : [ ],
4409.             "formatArgs" : { },
4410.             "format" : "BIN",
4411.             "platforms" : [ {
4412.               "catalogVersion" : 230233,
4413.               "dbVersion" : 2,
4414.               "id" : "58efec8ee4b0c390d69a8e0e",
4415.               "name" : "windows",
4416.               "topic" : "/mcafee/mar/agent/query/windows",
4417.               "enabled" : true
4418.             }, {
4419.               "catalogVersion" : 230233,
4420.               "dbVersion" : 2,
4421.               "id" : "58efec8ee4b0c390d69a8e0f",
4422.               "name" : "linux",
4423.               "topic" : "/mcafee/mar/agent/query/linux",
4424.               "enabled" : true
4425.             }, {
4426.               "catalogVersion" : 230233,
4427.               "dbVersion" : 2,
4428.               "id" : "5a1a45c9e4b0401274ab7141",
4429.               "name" : "macos",
4430.               "topic" : "/mcafee/mar/agent/query/macos",
4431.               "enabled" : true
4432.             } ],
4433.             "platformSettings" : [ {
4434.               "platform" : {
4435.                 "catalogVersion" : 230233,
4436.                 "dbVersion" : 2,
4437.                 "id" : "58efec8ee4b0c390d69a8e0e",
4438.                 "name" : "windows",
4439.                 "topic" : "/mcafee/mar/agent/query/windows",
4440.                 "enabled" : true
4441.               },
4442.               "utf8Sensitive" : false
4443.             }, {
4444.               "platform" : {
4445.                 "catalogVersion" : 230233,
4446.                 "dbVersion" : 2,
4447.                 "id" : "58efec8ee4b0c390d69a8e0f",
4448.                 "name" : "linux",
4449.                 "topic" : "/mcafee/mar/agent/query/linux",
4450.                 "enabled" : true
4451.               },
4452.               "utf8Sensitive" : false
4453.             }, {
4454.               "platform" : {
4455.                 "catalogVersion" : 230233,
4456.                 "dbVersion" : 2,
4457.                 "id" : "5a1a45c9e4b0401274ab7141",
4458.                 "name" : "macos",
4459.                 "topic" : "/mcafee/mar/agent/query/macos",
4460.                 "enabled" : true
4461.               },
4462.               "utf8Sensitive" : false
4463.             } ],
4464.             "itemType" : "BUILTIN",
4465.             "catalogItems" : [ "COLLECTOR" ]
4466.           },
4467.           "content" : null,
4468.           "arguments" : [ ],
4469.           "utf8Sensitive" : false
4470.         }, {
4471.           "platform" : {
4472.             "catalogVersion" : 230233,
4473.             "dbVersion" : 2,
4474.             "id" : "5a1a45c9e4b0401274ab7141",
4475.             "name" : "macos",
4476.             "topic" : "/mcafee/mar/agent/query/macos",
4477.             "enabled" : true
4478.           },
4479.           "capability" : {
4480.             "catalogVersion" : 230233,
4481.             "dbVersion" : 2,
4482.             "id" : "58efec8ee4b0c390d69a8e10",
4483.             "name" : "Running Processes",
4484.             "description" : "Obtains the list of the running processes",
4485.             "module" : "SystemInfo",
4486.             "function" : "CollectProcess",
4487.             "contentEnabled" : false,
4488.             "arguments" : [ ],
4489.             "outputs" : [ ],
4490.             "formatArgs" : { },
4491.             "format" : "BIN",
4492.             "platforms" : [ {
4493.               "catalogVersion" : 230233,
4494.               "dbVersion" : 2,
4495.               "id" : "58efec8ee4b0c390d69a8e0e",
4496.               "name" : "windows",
4497.               "topic" : "/mcafee/mar/agent/query/windows",
4498.               "enabled" : true
4499.             }, {
4500.               "catalogVersion" : 230233,
4501.               "dbVersion" : 2,
4502.               "id" : "58efec8ee4b0c390d69a8e0f",
4503.               "name" : "linux",
4504.               "topic" : "/mcafee/mar/agent/query/linux",
4505.               "enabled" : true
4506.             }, {
4507.               "catalogVersion" : 230233,
4508.               "dbVersion" : 2,
4509.               "id" : "5a1a45c9e4b0401274ab7141",
4510.               "name" : "macos",
4511.               "topic" : "/mcafee/mar/agent/query/macos",
4512.               "enabled" : true
4513.             } ],
4514.             "platformSettings" : [ {
4515.               "platform" : {
4516.                 "catalogVersion" : 230233,
4517.                 "dbVersion" : 2,
4518.                 "id" : "58efec8ee4b0c390d69a8e0e",
4519.                 "name" : "windows",
4520.                 "topic" : "/mcafee/mar/agent/query/windows",
4521.                 "enabled" : true
4522.               },
4523.               "utf8Sensitive" : false
4524.             }, {
4525.               "platform" : {
4526.                 "catalogVersion" : 230233,
4527.                 "dbVersion" : 2,
4528.                 "id" : "58efec8ee4b0c390d69a8e0f",
4529.                 "name" : "linux",
4530.                 "topic" : "/mcafee/mar/agent/query/linux",
4531.                 "enabled" : true
4532.               },
4533.               "utf8Sensitive" : false
4534.             }, {
4535.               "platform" : {
4536.                 "catalogVersion" : 230233,
4537.                 "dbVersion" : 2,
4538.                 "id" : "5a1a45c9e4b0401274ab7141",
4539.                 "name" : "macos",
4540.                 "topic" : "/mcafee/mar/agent/query/macos",
4541.                 "enabled" : true
4542.               },
4543.               "utf8Sensitive" : false
4544.             } ],
4545.             "itemType" : "BUILTIN",
4546.             "catalogItems" : [ "COLLECTOR" ]
4547.           },
4548.           "content" : null,
4549.           "arguments" : [ ],
4550.           "utf8Sensitive" : false
4551.         } ],
4552.         "timeout" : 60,
4553.         "outputs" : [ {
4554.           "id" : "58efec8ee4b0c390d69a8e6a",
4555.           "name" : "name",
4556.           "type" : "STRING",
4557.           "byDefault" : true,
4558.           "sequence" : 1
4559.         }, {
4560.           "id" : "58efec8ee4b0c390d69a8e6b",
4561.           "name" : "id",
4562.           "type" : "NUMBER",
4563.           "byDefault" : false,
4564.           "sequence" : 2
4565.         }, {
4566.           "id" : "58efec8ee4b0c390d69a8e6c",
4567.           "name" : "threadcount",
4568.           "type" : "NUMBER",
4569.           "byDefault" : false,
4570.           "sequence" : 3
4571.         }, {
4572.           "id" : "58efec8ee4b0c390d69a8e6d",
4573.           "name" : "parentid",
4574.           "type" : "NUMBER",
4575.           "byDefault" : false,
4576.           "sequence" : 4
4577.         }, {
4578.           "id" : "58efec8ee4b0c390d69a8e6e",
4579.           "name" : "parentname",
4580.           "type" : "STRING",
4581.           "byDefault" : false,
4582.           "sequence" : 999
4583.         }, {
4584.           "id" : "5a1a45cae4b0401274ab718e",
4585.           "name" : "parentimagepath",
4586.           "type" : "STRING",
4587.           "byDefault" : false,
4588.           "sequence" : 1000
4589.         }, {
4590.           "id" : "5a1a45cae4b0401274ab718f",
4591.           "name" : "file_reputation",
4592.           "type" : "REPUTATION",
4593.           "byDefault" : false,
4594.           "sequence" : 1001
4595.         }, {
4596.           "id" : "5b3f9b64e4b0dfaf321a630e",
4597.           "name" : "process_reputation",
4598.           "type" : "REPUTATION",
4599.           "byDefault" : false,
4600.           "sequence" : 1002
4601.         }, {
4602.           "id" : "5b3f9b64e4b0dfaf321a630f",
4603.           "name" : "started_at",
4604.           "type" : "DATE",
4605.           "byDefault" : false,
4606.           "sequence" : 1003
4607.         }, {
4608.           "id" : "5b3f9b64e4b0dfaf321a6310",
4609.           "name" : "content_size",
4610.           "type" : "NUMBER",
4611.           "byDefault" : false,
4612.           "sequence" : 1004
4613.         }, {
4614.           "id" : "5b3f9b64e4b0dfaf321a6311",
4615.           "name" : "content",
4616.           "type" : "STRING",
4617.           "byDefault" : false,
4618.           "sequence" : 1005
4619.         }, {
4620.           "id" : "5b3f9b64e4b0dfaf321a6312",
4621.           "name" : "content_file",
4622.           "type" : "STRING",
4623.           "byDefault" : false,
4624.           "sequence" : 1006
4625.         }, {
4626.           "id" : "5b3f9b64e4b0dfaf321a6313",
4627.           "name" : "execution_mode",
4628.           "type" : "STRING",
4629.           "byDefault" : false,
4630.           "sequence" : 1007
4631.         }, {
4632.           "id" : "58efec8ee4b0c390d69a8e6f",
4633.           "name" : "size",
4634.           "type" : "NUMBER",
4635.           "byDefault" : false,
4636.           "sequence" : 5
4637.         }, {
4638.           "id" : "58efec8ee4b0c390d69a8e70",
4639.           "name" : "md5",
4640.           "type" : "STRING",
4641.           "byDefault" : true,
4642.           "sequence" : 6
4643.         }, {
4644.           "id" : "58efec8ee4b0c390d69a8e71",
4645.           "name" : "sha1",
4646.           "type" : "STRING",
4647.           "byDefault" : true,
4648.           "sequence" : 7
4649.         }, {
4650.           "id" : "58efec8ee4b0c390d69a8e72",
4651.           "name" : "cmdline",
4652.           "type" : "STRING",
4653.           "byDefault" : true,
4654.           "sequence" : 8
4655.         }, {
4656.           "id" : "58efec8ee4b0c390d69a8e73",
4657.           "name" : "imagepath",
4658.           "type" : "STRING",
4659.           "byDefault" : true,
4660.           "sequence" : 9
4661.         }, {
4662.           "id" : "58efec8ee4b0c390d69a8e74",
4663.           "name" : "kerneltime",
4664.           "type" : "NUMBER",
4665.           "byDefault" : false,
4666.           "sequence" : 10
4667.         }, {
4668.           "id" : "58efec8ee4b0c390d69a8e75",
4669.           "name" : "usertime",
4670.           "type" : "NUMBER",
4671.           "byDefault" : false,
4672.           "sequence" : 11
4673.         }, {
4674.           "id" : "58efec8ee4b0c390d69a8e76",
4675.           "name" : "uptime",
4676.           "type" : "NUMBER",
4677.           "byDefault" : false,
4678.           "sequence" : 12
4679.         }, {
4680.           "id" : "58efec8ee4b0c390d69a8e77",
4681.           "name" : "user",
4682.           "type" : "STRING",
4683.           "byDefault" : false,
4684.           "sequence" : 13
4685.         }, {
4686.           "id" : "58efec8ee4b0c390d69a8e78",
4687.           "name" : "user_id",
4688.           "type" : "STRING",
4689.           "byDefault" : false,
4690.           "sequence" : 14
4691.         }, {
4692.           "id" : "5a1a45cae4b0401274ab7190",
4693.           "name" : "sha256",
4694.           "type" : "STRING",
4695.           "byDefault" : true,
4696.           "sequence" : 15
4697.         }, {
4698.           "id" : "5b3f9b64e4b0dfaf321a6314",
4699.           "name" : "normalized_cmdline",
4700.           "type" : "STRING",
4701.           "byDefault" : false,
4702.           "sequence" : 1009
4703.         }, {
4704.           "id" : "5b3f9b64e4b0dfaf321a6315",
4705.           "name" : "parent_cmdline",
4706.           "type" : "STRING",
4707.           "byDefault" : false,
4708.           "sequence" : 1010
4709.         } ]
4710.       },
4711.       "sequence" : "1",
4712.       "output" : [ {
4713.         "id" : "58efec8ee4b0c390d69a8e6a",
4714.         "name" : "name",
4715.         "type" : "STRING",
4716.         "byDefault" : true,
4717.         "sequence" : 1
4718.       }, {
4719.         "id" : "58efec8ee4b0c390d69a8e78",
4720.         "name" : "user_id",
4721.         "type" : "STRING",
4722.         "byDefault" : false,
4723.         "sequence" : 14
4724.       }, {
4725.         "id" : "58efec8ee4b0c390d69a8e77",
4726.         "name" : "user",
4727.         "type" : "STRING",
4728.         "byDefault" : false,
4729.         "sequence" : 13
4730.       }, {
4731.         "id" : "58efec8ee4b0c390d69a8e72",
4732.         "name" : "cmdline",
4733.         "type" : "STRING",
4734.         "byDefault" : true,
4735.         "sequence" : 8
4736.       } ]
4737.     } ],
4738.     "disjunction" : {
4739.       "conjunctions" : [ {
4740.         "terms" : [ {
4741.           "output" : {
4742.             "id" : "58efec8ee4b0c390d69a8e9a",
4743.             "name" : "remote_ip",
4744.             "type" : "IPV4IPV6",
4745.             "byDefault" : true,
4746.             "sequence" : 3
4747.           },
4748.           "operator" : "CONTAINS",
4749.           "value" : "192.168.1.0/24",
4750.           "negated" : false,
4751.           "collector" : {
4752.             "catalogVersion" : 230233,
4753.             "dbVersion" : 2,
4754.             "id" : "58efec8ee4b0c390d69a8ea4",
4755.             "name" : "CurrentFlow",
4756.             "description" : "Shows the current network flow",
4757.             "type" : "BUILTIN",
4758.             "contents" : [ {
4759.               "platform" : {
4760.                 "catalogVersion" : 230233,
4761.                 "dbVersion" : 2,
4762.                 "id" : "58efec8ee4b0c390d69a8e0f",
4763.                 "name" : "linux",
4764.                 "topic" : "/mcafee/mar/agent/query/linux",
4765.                 "enabled" : true
4766.               },
4767.               "capability" : {
4768.                 "catalogVersion" : 230233,
4769.                 "dbVersion" : 2,
4770.                 "id" : "58efec8ee4b0c390d69a8e20",
4771.                 "name" : "CurrentFlow",
4772.                 "description" : "Gets current network information",
4773.                 "module" : "NetworkFlow",
4774.                 "function" : "CurrentFlow",
4775.                 "contentEnabled" : false,
4776.                 "arguments" : [ ],
4777.                 "outputs" : [ ],
4778.                 "formatArgs" : { },
4779.                 "format" : "BIN",
4780.                 "platforms" : [ {
4781.                   "catalogVersion" : 230233,
4782.                   "dbVersion" : 2,
4783.                   "id" : "58efec8ee4b0c390d69a8e0e",
4784.                   "name" : "windows",
4785.                   "topic" : "/mcafee/mar/agent/query/windows",
4786.                   "enabled" : true
4787.                 }, {
4788.                   "catalogVersion" : 230233,
4789.                   "dbVersion" : 2,
4790.                   "id" : "58efec8ee4b0c390d69a8e0f",
4791.                   "name" : "linux",
4792.                   "topic" : "/mcafee/mar/agent/query/linux",
4793.                   "enabled" : true
4794.                 }, {
4795.                   "catalogVersion" : 230233,
4796.                   "dbVersion" : 2,
4797.                   "id" : "5a1a45c9e4b0401274ab7141",
4798.                   "name" : "macos",
4799.                   "topic" : "/mcafee/mar/agent/query/macos",
4800.                   "enabled" : true
4801.                 } ],
4802.                 "platformSettings" : [ {
4803.                   "platform" : {
4804.                     "catalogVersion" : 230233,
4805.                     "dbVersion" : 2,
4806.                     "id" : "58efec8ee4b0c390d69a8e0e",
4807.                     "name" : "windows",
4808.                     "topic" : "/mcafee/mar/agent/query/windows",
4809.                     "enabled" : true
4810.                   },
4811.                   "utf8Sensitive" : false
4812.                 }, {
4813.                   "platform" : {
4814.                     "catalogVersion" : 230233,
4815.                     "dbVersion" : 2,
4816.                     "id" : "58efec8ee4b0c390d69a8e0f",
4817.                     "name" : "linux",
4818.                     "topic" : "/mcafee/mar/agent/query/linux",
4819.                     "enabled" : true
4820.                   },
4821.                   "utf8Sensitive" : false
4822.                 }, {
4823.                   "platform" : {
4824.                     "catalogVersion" : 230233,
4825.                     "dbVersion" : 2,
4826.                     "id" : "5a1a45c9e4b0401274ab7141",
4827.                     "name" : "macos",
4828.                     "topic" : "/mcafee/mar/agent/query/macos",
4829.                     "enabled" : true
4830.                   },
4831.                   "utf8Sensitive" : false
4832.                 } ],
4833.                 "itemType" : "BUILTIN",
4834.                 "catalogItems" : [ "COLLECTOR" ]
4835.               },
4836.               "content" : null,
4837.               "arguments" : [ ],
4838.               "utf8Sensitive" : false
4839.             }, {
4840.               "platform" : {
4841.                 "catalogVersion" : 230233,
4842.                 "dbVersion" : 2,
4843.                 "id" : "58efec8ee4b0c390d69a8e0e",
4844.                 "name" : "windows",
4845.                 "topic" : "/mcafee/mar/agent/query/windows",
4846.                 "enabled" : true
4847.               },
4848.               "capability" : {
4849.                 "catalogVersion" : 230233,
4850.                 "dbVersion" : 2,
4851.                 "id" : "58efec8ee4b0c390d69a8e20",
4852.                 "name" : "CurrentFlow",
4853.                 "description" : "Gets current network information",
4854.                 "module" : "NetworkFlow",
4855.                 "function" : "CurrentFlow",
4856.                 "contentEnabled" : false,
4857.                 "arguments" : [ ],
4858.                 "outputs" : [ ],
4859.                 "formatArgs" : { },
4860.                 "format" : "BIN",
4861.                 "platforms" : [ {
4862.                   "catalogVersion" : 230233,
4863.                   "dbVersion" : 2,
4864.                   "id" : "58efec8ee4b0c390d69a8e0e",
4865.                   "name" : "windows",
4866.                   "topic" : "/mcafee/mar/agent/query/windows",
4867.                   "enabled" : true
4868.                 }, {
4869.                   "catalogVersion" : 230233,
4870.                   "dbVersion" : 2,
4871.                   "id" : "58efec8ee4b0c390d69a8e0f",
4872.                   "name" : "linux",
4873.                   "topic" : "/mcafee/mar/agent/query/linux",
4874.                   "enabled" : true
4875.                 }, {
4876.                   "catalogVersion" : 230233,
4877.                   "dbVersion" : 2,
4878.                   "id" : "5a1a45c9e4b0401274ab7141",
4879.                   "name" : "macos",
4880.                   "topic" : "/mcafee/mar/agent/query/macos",
4881.                   "enabled" : true
4882.                 } ],
4883.                 "platformSettings" : [ {
4884.                   "platform" : {
4885.                     "catalogVersion" : 230233,
4886.                     "dbVersion" : 2,
4887.                     "id" : "58efec8ee4b0c390d69a8e0e",
4888.                     "name" : "windows",
4889.                     "topic" : "/mcafee/mar/agent/query/windows",
4890.                     "enabled" : true
4891.                   },
4892.                   "utf8Sensitive" : false
4893.                 }, {
4894.                   "platform" : {
4895.                     "catalogVersion" : 230233,
4896.                     "dbVersion" : 2,
4897.                     "id" : "58efec8ee4b0c390d69a8e0f",
4898.                     "name" : "linux",
4899.                     "topic" : "/mcafee/mar/agent/query/linux",
4900.                     "enabled" : true
4901.                   },
4902.                   "utf8Sensitive" : false
4903.                 }, {
4904.                   "platform" : {
4905.                     "catalogVersion" : 230233,
4906.                     "dbVersion" : 2,
4907.                     "id" : "5a1a45c9e4b0401274ab7141",
4908.                     "name" : "macos",
4909.                     "topic" : "/mcafee/mar/agent/query/macos",
4910.                     "enabled" : true
4911.                   },
4912.                   "utf8Sensitive" : false
4913.                 } ],
4914.                 "itemType" : "BUILTIN",
4915.                 "catalogItems" : [ "COLLECTOR" ]
4916.               },
4917.               "content" : null,
4918.               "arguments" : [ ],
4919.               "utf8Sensitive" : false
4920.             }, {
4921.               "platform" : {
4922.                 "catalogVersion" : 230233,
4923.                 "dbVersion" : 2,
4924.                 "id" : "5a1a45c9e4b0401274ab7141",
4925.                 "name" : "macos",
4926.                 "topic" : "/mcafee/mar/agent/query/macos",
4927.                 "enabled" : true
4928.               },
4929.               "capability" : {
4930.                 "catalogVersion" : 230233,
4931.                 "dbVersion" : 2,
4932.                 "id" : "58efec8ee4b0c390d69a8e20",
4933.                 "name" : "CurrentFlow",
4934.                 "description" : "Gets current network information",
4935.                 "module" : "NetworkFlow",
4936.                 "function" : "CurrentFlow",
4937.                 "contentEnabled" : false,
4938.                 "arguments" : [ ],
4939.                 "outputs" : [ ],
4940.                 "formatArgs" : { },
4941.                 "format" : "BIN",
4942.                 "platforms" : [ {
4943.                   "catalogVersion" : 230233,
4944.                   "dbVersion" : 2,
4945.                   "id" : "58efec8ee4b0c390d69a8e0e",
4946.                   "name" : "windows",
4947.                   "topic" : "/mcafee/mar/agent/query/windows",
4948.                   "enabled" : true
4949.                 }, {
4950.                   "catalogVersion" : 230233,
4951.                   "dbVersion" : 2,
4952.                   "id" : "58efec8ee4b0c390d69a8e0f",
4953.                   "name" : "linux",
4954.                   "topic" : "/mcafee/mar/agent/query/linux",
4955.                   "enabled" : true
4956.                 }, {
4957.                   "catalogVersion" : 230233,
4958.                   "dbVersion" : 2,
4959.                   "id" : "5a1a45c9e4b0401274ab7141",
4960.                   "name" : "macos",
4961.                   "topic" : "/mcafee/mar/agent/query/macos",
4962.                   "enabled" : true
4963.                 } ],
4964.                 "platformSettings" : [ {
4965.                   "platform" : {
4966.                     "catalogVersion" : 230233,
4967.                     "dbVersion" : 2,
4968.                     "id" : "58efec8ee4b0c390d69a8e0e",
4969.                     "name" : "windows",
4970.                     "topic" : "/mcafee/mar/agent/query/windows",
4971.                     "enabled" : true
4972.                   },
4973.                   "utf8Sensitive" : false
4974.                 }, {
4975.                   "platform" : {
4976.                     "catalogVersion" : 230233,
4977.                     "dbVersion" : 2,
4978.                     "id" : "58efec8ee4b0c390d69a8e0f",
4979.                     "name" : "linux",
4980.                     "topic" : "/mcafee/mar/agent/query/linux",
4981.                     "enabled" : true
4982.                   },
4983.                   "utf8Sensitive" : false
4984.                 }, {
4985.                   "platform" : {
4986.                     "catalogVersion" : 230233,
4987.                     "dbVersion" : 2,
4988.                     "id" : "5a1a45c9e4b0401274ab7141",
4989.                     "name" : "macos",
4990.                     "topic" : "/mcafee/mar/agent/query/macos",
4991.                     "enabled" : true
4992.                   },
4993.                   "utf8Sensitive" : false
4994.                 } ],
4995.                 "itemType" : "BUILTIN",
4996.                 "catalogItems" : [ "COLLECTOR" ]
4997.               },
4998.               "content" : null,
4999.               "arguments" : [ ],
5000.               "utf8Sensitive" : false
5001.             } ],
5002.             "timeout" : 60,
5003.             "outputs" : [ {
5004.               "id" : "58efec8ee4b0c390d69a8e98",
5005.               "name" : "local_ip",
5006.               "type" : "IPV4IPV6",
5007.               "byDefault" : true,
5008.               "sequence" : 1
5009.             }, {
5010.               "id" : "58efec8ee4b0c390d69a8e99",
5011.               "name" : "local_port",
5012.               "type" : "NUMBER",
5013.               "byDefault" : true,
5014.               "sequence" : 2
5015.             }, {
5016.               "id" : "58efec8ee4b0c390d69a8e9a",
5017.               "name" : "remote_ip",
5018.               "type" : "IPV4IPV6",
5019.               "byDefault" : true,
5020.               "sequence" : 3
5021.             }, {
5022.               "id" : "58efec8ee4b0c390d69a8e9b",
5023.               "name" : "remote_port",
5024.               "type" : "NUMBER",
5025.               "byDefault" : true,
5026.               "sequence" : 4
5027.             }, {
5028.               "id" : "58efec8ee4b0c390d69a8e9c",
5029.               "name" : "status",
5030.               "type" : "STRING",
5031.               "byDefault" : true,
5032.               "sequence" : 5
5033.             }, {
5034.               "id" : "58efec8ee4b0c390d69a8e9d",
5035.               "name" : "proto",
5036.               "type" : "STRING",
5037.               "byDefault" : true,
5038.               "sequence" : 6
5039.             }, {
5040.               "id" : "58efec8ee4b0c390d69a8e9e",
5041.               "name" : "process_id",
5042.               "type" : "NUMBER",
5043.               "byDefault" : false,
5044.               "sequence" : 7
5045.             }, {
5046.               "id" : "58efec8ee4b0c390d69a8e9f",
5047.               "name" : "process",
5048.               "type" : "STRING",
5049.               "byDefault" : true,
5050.               "sequence" : 8
5051.             }, {
5052.               "id" : "58efec8ee4b0c390d69a8ea0",
5053.               "name" : "user",
5054.               "type" : "STRING",
5055.               "byDefault" : true,
5056.               "sequence" : 9
5057.             }, {
5058.               "id" : "58efec8ee4b0c390d69a8ea1",
5059.               "name" : "user_id",
5060.               "type" : "STRING",
5061.               "byDefault" : false,
5062.               "sequence" : 10
5063.             }, {
5064.               "id" : "58efec8ee4b0c390d69a8ea2",
5065.               "name" : "md5",
5066.               "type" : "STRING",
5067.               "byDefault" : false,
5068.               "sequence" : 11
5069.             }, {
5070.               "id" : "58efec8ee4b0c390d69a8ea3",
5071.               "name" : "sha1",
5072.               "type" : "STRING",
5073.               "byDefault" : false,
5074.               "sequence" : 12
5075.             }, {
5076.               "id" : "5a1a45cbe4b0401274ab7192",
5077.               "name" : "sha256",
5078.               "type" : "STRING",
5079.               "byDefault" : false,
5080.               "sequence" : 13
5081.             } ]
5082.           }
5083.         } ]
5084.       } ]
5085.     },
5086.     "running" : false,
5087.     "createdAt" : 1530900630261,
5088.     "executedAt" : null,
5089.     "status" : "CREATED",
5090.     "ttl" : 60000,
5091.     "startTime" : null,
5092.     "endpointPermission" : null,
5093.     "maGuidsTarget" : null,
5094.     "expectedHostResponses" : 0
5095.   },
5096.   "type" : "com.intel.mar.model.search.Search"
5097. }, {
5098.   "item" : {
5099.     "catalogVersion" : 1,
5100.     "dbVersion" : 2,
5101.     "id" : "5b3fb096e4b0cbe06dd6731a",
5102.     "name" : "INFO GATHERING - Systems outbound SSH with local certs",
5103.     "description" : "Potential shadow IT users \nSystems that have made outbound SSH connections that also have local certs.  ",
5104.     "type" : null,
5105.     "expression" : "HostInfo and NetworkFlow and Files full_name where NetworkFlow direction equals \"out\" and NetworkFlow dst_port equals 22 and Files full_name ends with \".pem\"",
5106.     "temporal" : false,
5107.     "invalid" : false,
5108.     "aggregated" : true,
5109.     "projections" : [ {
5110.       "collector" : {
5111.         "catalogVersion" : 230233,
5112.         "dbVersion" : 2,
5113.         "id" : "58efec8ee4b0c390d69a8ec5",
5114.         "name" : "HostInfo",
5115.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
5116.         "type" : "BUILTIN",
5117.         "contents" : [ {
5118.           "platform" : {
5119.             "catalogVersion" : 230233,
5120.             "dbVersion" : 2,
5121.             "id" : "58efec8ee4b0c390d69a8e0f",
5122.             "name" : "linux",
5123.             "topic" : "/mcafee/mar/agent/query/linux",
5124.             "enabled" : true
5125.           },
5126.           "capability" : {
5127.             "catalogVersion" : 230233,
5128.             "dbVersion" : 2,
5129.             "id" : "58efec8ee4b0c390d69a8e14",
5130.             "name" : "Bash Script",
5131.             "description" : "Executes Bash script on target client",
5132.             "module" : "SystemRuntime",
5133.             "function" : "executeBash",
5134.             "contentEnabled" : true,
5135.             "arguments" : [ ],
5136.             "outputs" : [ ],
5137.             "formatArgs" : {
5138.               "hasHeaders" : false,
5139.               "delimiter" : ","
5140.             },
5141.             "format" : "CSV",
5142.             "platforms" : [ {
5143.               "catalogVersion" : 230233,
5144.               "dbVersion" : 2,
5145.               "id" : "58efec8ee4b0c390d69a8e0f",
5146.               "name" : "linux",
5147.               "topic" : "/mcafee/mar/agent/query/linux",
5148.               "enabled" : true
5149.             }, {
5150.               "catalogVersion" : 230233,
5151.               "dbVersion" : 2,
5152.               "id" : "5a1a45c9e4b0401274ab7141",
5153.               "name" : "macos",
5154.               "topic" : "/mcafee/mar/agent/query/macos",
5155.               "enabled" : true
5156.             } ],
5157.             "platformSettings" : [ {
5158.               "platform" : {
5159.                 "catalogVersion" : 230233,
5160.                 "dbVersion" : 2,
5161.                 "id" : "58efec8ee4b0c390d69a8e0f",
5162.                 "name" : "linux",
5163.                 "topic" : "/mcafee/mar/agent/query/linux",
5164.                 "enabled" : true
5165.               },
5166.               "utf8Sensitive" : false
5167.             }, {
5168.               "platform" : {
5169.                 "catalogVersion" : 230233,
5170.                 "dbVersion" : 2,
5171.                 "id" : "5a1a45c9e4b0401274ab7141",
5172.                 "name" : "macos",
5173.                 "topic" : "/mcafee/mar/agent/query/macos",
5174.                 "enabled" : true
5175.               },
5176.               "utf8Sensitive" : false
5177.             } ],
5178.             "itemType" : "CUSTOM",
5179.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
5180.           },
5181.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
5182.           "arguments" : [ ],
5183.           "utf8Sensitive" : false
5184.         }, {
5185.           "platform" : {
5186.             "catalogVersion" : 230233,
5187.             "dbVersion" : 2,
5188.             "id" : "58efec8ee4b0c390d69a8e0e",
5189.             "name" : "windows",
5190.             "topic" : "/mcafee/mar/agent/query/windows",
5191.             "enabled" : true
5192.           },
5193.           "capability" : {
5194.             "catalogVersion" : 230233,
5195.             "dbVersion" : 2,
5196.             "id" : "58efec8ee4b0c390d69a8e12",
5197.             "name" : "Visual Basic Script",
5198.             "description" : "Executes VBS script on target client",
5199.             "module" : "SystemRuntime",
5200.             "function" : "executeVBS",
5201.             "contentEnabled" : true,
5202.             "arguments" : [ ],
5203.             "outputs" : [ ],
5204.             "formatArgs" : {
5205.               "hasHeaders" : false,
5206.               "delimiter" : ","
5207.             },
5208.             "format" : "CSV",
5209.             "platforms" : [ {
5210.               "catalogVersion" : 230233,
5211.               "dbVersion" : 2,
5212.               "id" : "58efec8ee4b0c390d69a8e0e",
5213.               "name" : "windows",
5214.               "topic" : "/mcafee/mar/agent/query/windows",
5215.               "enabled" : true
5216.             } ],
5217.             "platformSettings" : [ {
5218.               "platform" : {
5219.                 "catalogVersion" : 230233,
5220.                 "dbVersion" : 2,
5221.                 "id" : "58efec8ee4b0c390d69a8e0e",
5222.                 "name" : "windows",
5223.                 "topic" : "/mcafee/mar/agent/query/windows",
5224.                 "enabled" : true
5225.               },
5226.               "utf8Sensitive" : false
5227.             } ],
5228.             "itemType" : "CUSTOM",
5229.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
5230.           },
5231.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
5232.           "arguments" : [ ],
5233.           "utf8Sensitive" : false
5234.         }, {
5235.           "platform" : {
5236.             "catalogVersion" : 230233,
5237.             "dbVersion" : 2,
5238.             "id" : "5a1a45c9e4b0401274ab7141",
5239.             "name" : "macos",
5240.             "topic" : "/mcafee/mar/agent/query/macos",
5241.             "enabled" : true
5242.           },
5243.           "capability" : {
5244.             "catalogVersion" : 230233,
5245.             "dbVersion" : 2,
5246.             "id" : "5a1a45cae4b0401274ab7183",
5247.             "name" : "HostInfo SysInfo",
5248.             "description" : "Shows Hostname, 1st IP Address and OS version",
5249.             "module" : "SysInfo",
5250.             "function" : "HostInfo",
5251.             "contentEnabled" : false,
5252.             "arguments" : [ ],
5253.             "outputs" : [ ],
5254.             "formatArgs" : { },
5255.             "format" : "BIN",
5256.             "platforms" : [ {
5257.               "catalogVersion" : 230233,
5258.               "dbVersion" : 2,
5259.               "id" : "5a1a45c9e4b0401274ab7141",
5260.               "name" : "macos",
5261.               "topic" : "/mcafee/mar/agent/query/macos",
5262.               "enabled" : true
5263.             } ],
5264.             "platformSettings" : [ {
5265.               "platform" : {
5266.                 "catalogVersion" : 230233,
5267.                 "dbVersion" : 2,
5268.                 "id" : "5a1a45c9e4b0401274ab7141",
5269.                 "name" : "macos",
5270.                 "topic" : "/mcafee/mar/agent/query/macos",
5271.                 "enabled" : true
5272.               },
5273.               "utf8Sensitive" : false
5274.             } ],
5275.             "itemType" : "BUILTIN",
5276.             "catalogItems" : [ "COLLECTOR" ]
5277.           },
5278.           "content" : null,
5279.           "arguments" : [ ],
5280.           "utf8Sensitive" : false
5281.         } ],
5282.         "timeout" : 60,
5283.         "outputs" : [ {
5284.           "id" : "58efec8ee4b0c390d69a8ec2",
5285.           "name" : "hostname",
5286.           "type" : "STRING",
5287.           "byDefault" : false,
5288.           "sequence" : 1
5289.         }, {
5290.           "id" : "58efec8ee4b0c390d69a8ec3",
5291.           "name" : "ip_address",
5292.           "type" : "IPV4IPV6",
5293.           "byDefault" : false,
5294.           "sequence" : 2
5295.         }, {
5296.           "id" : "58efec8ee4b0c390d69a8ec4",
5297.           "name" : "os",
5298.           "type" : "STRING",
5299.           "byDefault" : false,
5300.           "sequence" : 3
5301.         }, {
5302.           "id" : "5b3f9b64e4b0dfaf321a6346",
5303.           "name" : "connection_status",
5304.           "type" : "STRING",
5305.           "byDefault" : false,
5306.           "sequence" : 4
5307.         }, {
5308.           "id" : "5b3f9b64e4b0dfaf321a6347",
5309.           "name" : "platform",
5310.           "type" : "STRING",
5311.           "byDefault" : false,
5312.           "sequence" : 5
5313.         } ]
5314.       },
5315.       "sequence" : "1",
5316.       "output" : [ ]
5317.     }, {
5318.       "collector" : {
5319.         "catalogVersion" : 230233,
5320.         "dbVersion" : 2,
5321.         "id" : "58efec8ee4b0c390d69a8e97",
5322.         "name" : "NetworkFlow",
5323.         "description" : "Shows the network flow",
5324.         "type" : "BUILTIN",
5325.         "contents" : [ {
5326.           "platform" : {
5327.             "catalogVersion" : 230233,
5328.             "dbVersion" : 2,
5329.             "id" : "58efec8ee4b0c390d69a8e0f",
5330.             "name" : "linux",
5331.             "topic" : "/mcafee/mar/agent/query/linux",
5332.             "enabled" : true
5333.           },
5334.           "capability" : {
5335.             "catalogVersion" : 230233,
5336.             "dbVersion" : 2,
5337.             "id" : "58efec8ee4b0c390d69a8e1f",
5338.             "name" : "NetworkFlow",
5339.             "description" : "Gets flow information",
5340.             "module" : "NetworkFlow",
5341.             "function" : "FindFlow",
5342.             "contentEnabled" : false,
5343.             "arguments" : [ ],
5344.             "outputs" : [ ],
5345.             "formatArgs" : { },
5346.             "format" : "BIN",
5347.             "platforms" : [ {
5348.               "catalogVersion" : 230233,
5349.               "dbVersion" : 2,
5350.               "id" : "58efec8ee4b0c390d69a8e0e",
5351.               "name" : "windows",
5352.               "topic" : "/mcafee/mar/agent/query/windows",
5353.               "enabled" : true
5354.             }, {
5355.               "catalogVersion" : 230233,
5356.               "dbVersion" : 2,
5357.               "id" : "58efec8ee4b0c390d69a8e0f",
5358.               "name" : "linux",
5359.               "topic" : "/mcafee/mar/agent/query/linux",
5360.               "enabled" : true
5361.             }, {
5362.               "catalogVersion" : 230233,
5363.               "dbVersion" : 2,
5364.               "id" : "5a1a45c9e4b0401274ab7141",
5365.               "name" : "macos",
5366.               "topic" : "/mcafee/mar/agent/query/macos",
5367.               "enabled" : true
5368.             } ],
5369.             "platformSettings" : [ {
5370.               "platform" : {
5371.                 "catalogVersion" : 230233,
5372.                 "dbVersion" : 2,
5373.                 "id" : "58efec8ee4b0c390d69a8e0e",
5374.                 "name" : "windows",
5375.                 "topic" : "/mcafee/mar/agent/query/windows",
5376.                 "enabled" : true
5377.               },
5378.               "utf8Sensitive" : false
5379.             }, {
5380.               "platform" : {
5381.                 "catalogVersion" : 230233,
5382.                 "dbVersion" : 2,
5383.                 "id" : "58efec8ee4b0c390d69a8e0f",
5384.                 "name" : "linux",
5385.                 "topic" : "/mcafee/mar/agent/query/linux",
5386.                 "enabled" : true
5387.               },
5388.               "utf8Sensitive" : false
5389.             }, {
5390.               "platform" : {
5391.                 "catalogVersion" : 230233,
5392.                 "dbVersion" : 2,
5393.                 "id" : "5a1a45c9e4b0401274ab7141",
5394.                 "name" : "macos",
5395.                 "topic" : "/mcafee/mar/agent/query/macos",
5396.                 "enabled" : true
5397.               },
5398.               "utf8Sensitive" : false
5399.             } ],
5400.             "itemType" : "BUILTIN",
5401.             "catalogItems" : [ "COLLECTOR" ]
5402.           },
5403.           "content" : null,
5404.           "arguments" : [ ],
5405.           "utf8Sensitive" : false
5406.         }, {
5407.           "platform" : {
5408.             "catalogVersion" : 230233,
5409.             "dbVersion" : 2,
5410.             "id" : "58efec8ee4b0c390d69a8e0e",
5411.             "name" : "windows",
5412.             "topic" : "/mcafee/mar/agent/query/windows",
5413.             "enabled" : true
5414.           },
5415.           "capability" : {
5416.             "catalogVersion" : 230233,
5417.             "dbVersion" : 2,
5418.             "id" : "58efec8ee4b0c390d69a8e1f",
5419.             "name" : "NetworkFlow",
5420.             "description" : "Gets flow information",
5421.             "module" : "NetworkFlow",
5422.             "function" : "FindFlow",
5423.             "contentEnabled" : false,
5424.             "arguments" : [ ],
5425.             "outputs" : [ ],
5426.             "formatArgs" : { },
5427.             "format" : "BIN",
5428.             "platforms" : [ {
5429.               "catalogVersion" : 230233,
5430.               "dbVersion" : 2,
5431.               "id" : "58efec8ee4b0c390d69a8e0e",
5432.               "name" : "windows",
5433.               "topic" : "/mcafee/mar/agent/query/windows",
5434.               "enabled" : true
5435.             }, {
5436.               "catalogVersion" : 230233,
5437.               "dbVersion" : 2,
5438.               "id" : "58efec8ee4b0c390d69a8e0f",
5439.               "name" : "linux",
5440.               "topic" : "/mcafee/mar/agent/query/linux",
5441.               "enabled" : true
5442.             }, {
5443.               "catalogVersion" : 230233,
5444.               "dbVersion" : 2,
5445.               "id" : "5a1a45c9e4b0401274ab7141",
5446.               "name" : "macos",
5447.               "topic" : "/mcafee/mar/agent/query/macos",
5448.               "enabled" : true
5449.             } ],
5450.             "platformSettings" : [ {
5451.               "platform" : {
5452.                 "catalogVersion" : 230233,
5453.                 "dbVersion" : 2,
5454.                 "id" : "58efec8ee4b0c390d69a8e0e",
5455.                 "name" : "windows",
5456.                 "topic" : "/mcafee/mar/agent/query/windows",
5457.                 "enabled" : true
5458.               },
5459.               "utf8Sensitive" : false
5460.             }, {
5461.               "platform" : {
5462.                 "catalogVersion" : 230233,
5463.                 "dbVersion" : 2,
5464.                 "id" : "58efec8ee4b0c390d69a8e0f",
5465.                 "name" : "linux",
5466.                 "topic" : "/mcafee/mar/agent/query/linux",
5467.                 "enabled" : true
5468.               },
5469.               "utf8Sensitive" : false
5470.             }, {
5471.               "platform" : {
5472.                 "catalogVersion" : 230233,
5473.                 "dbVersion" : 2,
5474.                 "id" : "5a1a45c9e4b0401274ab7141",
5475.                 "name" : "macos",
5476.                 "topic" : "/mcafee/mar/agent/query/macos",
5477.                 "enabled" : true
5478.               },
5479.               "utf8Sensitive" : false
5480.             } ],
5481.             "itemType" : "BUILTIN",
5482.             "catalogItems" : [ "COLLECTOR" ]
5483.           },
5484.           "content" : null,
5485.           "arguments" : [ ],
5486.           "utf8Sensitive" : false
5487.         }, {
5488.           "platform" : {
5489.             "catalogVersion" : 230233,
5490.             "dbVersion" : 2,
5491.             "id" : "5a1a45c9e4b0401274ab7141",
5492.             "name" : "macos",
5493.             "topic" : "/mcafee/mar/agent/query/macos",
5494.             "enabled" : true
5495.           },
5496.           "capability" : {
5497.             "catalogVersion" : 230233,
5498.             "dbVersion" : 2,
5499.             "id" : "58efec8ee4b0c390d69a8e1f",
5500.             "name" : "NetworkFlow",
5501.             "description" : "Gets flow information",
5502.             "module" : "NetworkFlow",
5503.             "function" : "FindFlow",
5504.             "contentEnabled" : false,
5505.             "arguments" : [ ],
5506.             "outputs" : [ ],
5507.             "formatArgs" : { },
5508.             "format" : "BIN",
5509.             "platforms" : [ {
5510.               "catalogVersion" : 230233,
5511.               "dbVersion" : 2,
5512.               "id" : "58efec8ee4b0c390d69a8e0e",
5513.               "name" : "windows",
5514.               "topic" : "/mcafee/mar/agent/query/windows",
5515.               "enabled" : true
5516.             }, {
5517.               "catalogVersion" : 230233,
5518.               "dbVersion" : 2,
5519.               "id" : "58efec8ee4b0c390d69a8e0f",
5520.               "name" : "linux",
5521.               "topic" : "/mcafee/mar/agent/query/linux",
5522.               "enabled" : true
5523.             }, {
5524.               "catalogVersion" : 230233,
5525.               "dbVersion" : 2,
5526.               "id" : "5a1a45c9e4b0401274ab7141",
5527.               "name" : "macos",
5528.               "topic" : "/mcafee/mar/agent/query/macos",
5529.               "enabled" : true
5530.             } ],
5531.             "platformSettings" : [ {
5532.               "platform" : {
5533.                 "catalogVersion" : 230233,
5534.                 "dbVersion" : 2,
5535.                 "id" : "58efec8ee4b0c390d69a8e0e",
5536.                 "name" : "windows",
5537.                 "topic" : "/mcafee/mar/agent/query/windows",
5538.                 "enabled" : true
5539.               },
5540.               "utf8Sensitive" : false
5541.             }, {
5542.               "platform" : {
5543.                 "catalogVersion" : 230233,
5544.                 "dbVersion" : 2,
5545.                 "id" : "58efec8ee4b0c390d69a8e0f",
5546.                 "name" : "linux",
5547.                 "topic" : "/mcafee/mar/agent/query/linux",
5548.                 "enabled" : true
5549.               },
5550.               "utf8Sensitive" : false
5551.             }, {
5552.               "platform" : {
5553.                 "catalogVersion" : 230233,
5554.                 "dbVersion" : 2,
5555.                 "id" : "5a1a45c9e4b0401274ab7141",
5556.                 "name" : "macos",
5557.                 "topic" : "/mcafee/mar/agent/query/macos",
5558.                 "enabled" : true
5559.               },
5560.               "utf8Sensitive" : false
5561.             } ],
5562.             "itemType" : "BUILTIN",
5563.             "catalogItems" : [ "COLLECTOR" ]
5564.           },
5565.           "content" : null,
5566.           "arguments" : [ ],
5567.           "utf8Sensitive" : false
5568.         } ],
5569.         "timeout" : 60,
5570.         "outputs" : [ {
5571.           "id" : "58efec8ee4b0c390d69a8e85",
5572.           "name" : "time",
5573.           "type" : "DATE",
5574.           "byDefault" : true,
5575.           "sequence" : 1
5576.         }, {
5577.           "id" : "58efec8ee4b0c390d69a8e86",
5578.           "name" : "direction",
5579.           "type" : "STRING",
5580.           "byDefault" : true,
5581.           "sequence" : 2
5582.         }, {
5583.           "id" : "58efec8ee4b0c390d69a8e87",
5584.           "name" : "src_ip",
5585.           "type" : "IPV4IPV6",
5586.           "byDefault" : true,
5587.           "sequence" : 3
5588.         }, {
5589.           "id" : "58efec8ee4b0c390d69a8e88",
5590.           "name" : "src_port",
5591.           "type" : "NUMBER",
5592.           "byDefault" : true,
5593.           "sequence" : 4
5594.         }, {
5595.           "id" : "58efec8ee4b0c390d69a8e89",
5596.           "name" : "dst_ip",
5597.           "type" : "IPV4IPV6",
5598.           "byDefault" : true,
5599.           "sequence" : 5
5600.         }, {
5601.           "id" : "58efec8ee4b0c390d69a8e8a",
5602.           "name" : "dst_port",
5603.           "type" : "NUMBER",
5604.           "byDefault" : true,
5605.           "sequence" : 6
5606.         }, {
5607.           "id" : "58efec8ee4b0c390d69a8e8b",
5608.           "name" : "status",
5609.           "type" : "STRING",
5610.           "byDefault" : true,
5611.           "sequence" : 7
5612.         }, {
5613.           "id" : "58efec8ee4b0c390d69a8e8c",
5614.           "name" : "proto",
5615.           "type" : "STRING",
5616.           "byDefault" : true,
5617.           "sequence" : 8
5618.         }, {
5619.           "id" : "58efec8ee4b0c390d69a8e8d",
5620.           "name" : "ip_class",
5621.           "type" : "NUMBER",
5622.           "byDefault" : false,
5623.           "sequence" : 9
5624.         }, {
5625.           "id" : "58efec8ee4b0c390d69a8e8e",
5626.           "name" : "seq_number",
5627.           "type" : "NUMBER",
5628.           "byDefault" : false,
5629.           "sequence" : 10
5630.         }, {
5631.           "id" : "58efec8ee4b0c390d69a8e8f",
5632.           "name" : "src_mac",
5633.           "type" : "STRING",
5634.           "byDefault" : false,
5635.           "sequence" : 11
5636.         }, {
5637.           "id" : "58efec8ee4b0c390d69a8e90",
5638.           "name" : "dst_mac",
5639.           "type" : "STRING",
5640.           "byDefault" : false,
5641.           "sequence" : 12
5642.         }, {
5643.           "id" : "58efec8ee4b0c390d69a8e91",
5644.           "name" : "process",
5645.           "type" : "STRING",
5646.           "byDefault" : true,
5647.           "sequence" : 13
5648.         }, {
5649.           "id" : "58efec8ee4b0c390d69a8e92",
5650.           "name" : "process_id",
5651.           "type" : "NUMBER",
5652.           "byDefault" : false,
5653.           "sequence" : 14
5654.         }, {
5655.           "id" : "58efec8ee4b0c390d69a8e93",
5656.           "name" : "md5",
5657.           "type" : "STRING",
5658.           "byDefault" : false,
5659.           "sequence" : 15
5660.         }, {
5661.           "id" : "58efec8ee4b0c390d69a8e94",
5662.           "name" : "sha1",
5663.           "type" : "STRING",
5664.           "byDefault" : false,
5665.           "sequence" : 16
5666.         }, {
5667.           "id" : "58efec8ee4b0c390d69a8e95",
5668.           "name" : "user",
5669.           "type" : "STRING",
5670.           "byDefault" : true,
5671.           "sequence" : 17
5672.         }, {
5673.           "id" : "58efec8ee4b0c390d69a8e96",
5674.           "name" : "user_id",
5675.           "type" : "STRING",
5676.           "byDefault" : false,
5677.           "sequence" : 18
5678.         }, {
5679.           "id" : "5a1a45cbe4b0401274ab7191",
5680.           "name" : "sha256",
5681.           "type" : "STRING",
5682.           "byDefault" : false,
5683.           "sequence" : 19
5684.         } ]
5685.       },
5686.       "sequence" : "2",
5687.       "output" : [ ]
5688.     }, {
5689.       "collector" : {
5690.         "catalogVersion" : 230233,
5691.         "dbVersion" : 2,
5692.         "id" : "58efec8ee4b0c390d69a8e84",
5693.         "name" : "Files",
5694.         "description" : "Shows the existing files",
5695.         "type" : "BUILTIN",
5696.         "contents" : [ {
5697.           "platform" : {
5698.             "catalogVersion" : 230233,
5699.             "dbVersion" : 2,
5700.             "id" : "58efec8ee4b0c390d69a8e0f",
5701.             "name" : "linux",
5702.             "topic" : "/mcafee/mar/agent/query/linux",
5703.             "enabled" : true
5704.           },
5705.           "capability" : {
5706.             "catalogVersion" : 230233,
5707.             "dbVersion" : 2,
5708.             "id" : "58efec8ee4b0c390d69a8e15",
5709.             "name" : "Files",
5710.             "description" : "Gets the list of files",
5711.             "module" : "FileHashing",
5712.             "function" : "FindFiles",
5713.             "contentEnabled" : false,
5714.             "arguments" : [ ],
5715.             "outputs" : [ ],
5716.             "formatArgs" : { },
5717.             "format" : "BIN",
5718.             "platforms" : [ {
5719.               "catalogVersion" : 230233,
5720.               "dbVersion" : 2,
5721.               "id" : "58efec8ee4b0c390d69a8e0e",
5722.               "name" : "windows",
5723.               "topic" : "/mcafee/mar/agent/query/windows",
5724.               "enabled" : true
5725.             }, {
5726.               "catalogVersion" : 230233,
5727.               "dbVersion" : 2,
5728.               "id" : "58efec8ee4b0c390d69a8e0f",
5729.               "name" : "linux",
5730.               "topic" : "/mcafee/mar/agent/query/linux",
5731.               "enabled" : true
5732.             }, {
5733.               "catalogVersion" : 230233,
5734.               "dbVersion" : 2,
5735.               "id" : "5a1a45c9e4b0401274ab7141",
5736.               "name" : "macos",
5737.               "topic" : "/mcafee/mar/agent/query/macos",
5738.               "enabled" : true
5739.             } ],
5740.             "platformSettings" : [ {
5741.               "platform" : {
5742.                 "catalogVersion" : 230233,
5743.                 "dbVersion" : 2,
5744.                 "id" : "58efec8ee4b0c390d69a8e0e",
5745.                 "name" : "windows",
5746.                 "topic" : "/mcafee/mar/agent/query/windows",
5747.                 "enabled" : true
5748.               },
5749.               "utf8Sensitive" : false
5750.             }, {
5751.               "platform" : {
5752.                 "catalogVersion" : 230233,
5753.                 "dbVersion" : 2,
5754.                 "id" : "58efec8ee4b0c390d69a8e0f",
5755.                 "name" : "linux",
5756.                 "topic" : "/mcafee/mar/agent/query/linux",
5757.                 "enabled" : true
5758.               },
5759.               "utf8Sensitive" : false
5760.             }, {
5761.               "platform" : {
5762.                 "catalogVersion" : 230233,
5763.                 "dbVersion" : 2,
5764.                 "id" : "5a1a45c9e4b0401274ab7141",
5765.                 "name" : "macos",
5766.                 "topic" : "/mcafee/mar/agent/query/macos",
5767.                 "enabled" : true
5768.               },
5769.               "utf8Sensitive" : false
5770.             } ],
5771.             "itemType" : "BUILTIN",
5772.             "catalogItems" : [ "COLLECTOR" ]
5773.           },
5774.           "content" : null,
5775.           "arguments" : [ ],
5776.           "utf8Sensitive" : false
5777.         }, {
5778.           "platform" : {
5779.             "catalogVersion" : 230233,
5780.             "dbVersion" : 2,
5781.             "id" : "58efec8ee4b0c390d69a8e0e",
5782.             "name" : "windows",
5783.             "topic" : "/mcafee/mar/agent/query/windows",
5784.             "enabled" : true
5785.           },
5786.           "capability" : {
5787.             "catalogVersion" : 230233,
5788.             "dbVersion" : 2,
5789.             "id" : "58efec8ee4b0c390d69a8e15",
5790.             "name" : "Files",
5791.             "description" : "Gets the list of files",
5792.             "module" : "FileHashing",
5793.             "function" : "FindFiles",
5794.             "contentEnabled" : false,
5795.             "arguments" : [ ],
5796.             "outputs" : [ ],
5797.             "formatArgs" : { },
5798.             "format" : "BIN",
5799.             "platforms" : [ {
5800.               "catalogVersion" : 230233,
5801.               "dbVersion" : 2,
5802.               "id" : "58efec8ee4b0c390d69a8e0e",
5803.               "name" : "windows",
5804.               "topic" : "/mcafee/mar/agent/query/windows",
5805.               "enabled" : true
5806.             }, {
5807.               "catalogVersion" : 230233,
5808.               "dbVersion" : 2,
5809.               "id" : "58efec8ee4b0c390d69a8e0f",
5810.               "name" : "linux",
5811.               "topic" : "/mcafee/mar/agent/query/linux",
5812.               "enabled" : true
5813.             }, {
5814.               "catalogVersion" : 230233,
5815.               "dbVersion" : 2,
5816.               "id" : "5a1a45c9e4b0401274ab7141",
5817.               "name" : "macos",
5818.               "topic" : "/mcafee/mar/agent/query/macos",
5819.               "enabled" : true
5820.             } ],
5821.             "platformSettings" : [ {
5822.               "platform" : {
5823.                 "catalogVersion" : 230233,
5824.                 "dbVersion" : 2,
5825.                 "id" : "58efec8ee4b0c390d69a8e0e",
5826.                 "name" : "windows",
5827.                 "topic" : "/mcafee/mar/agent/query/windows",
5828.                 "enabled" : true
5829.               },
5830.               "utf8Sensitive" : false
5831.             }, {
5832.               "platform" : {
5833.                 "catalogVersion" : 230233,
5834.                 "dbVersion" : 2,
5835.                 "id" : "58efec8ee4b0c390d69a8e0f",
5836.                 "name" : "linux",
5837.                 "topic" : "/mcafee/mar/agent/query/linux",
5838.                 "enabled" : true
5839.               },
5840.               "utf8Sensitive" : false
5841.             }, {
5842.               "platform" : {
5843.                 "catalogVersion" : 230233,
5844.                 "dbVersion" : 2,
5845.                 "id" : "5a1a45c9e4b0401274ab7141",
5846.                 "name" : "macos",
5847.                 "topic" : "/mcafee/mar/agent/query/macos",
5848.                 "enabled" : true
5849.               },
5850.               "utf8Sensitive" : false
5851.             } ],
5852.             "itemType" : "BUILTIN",
5853.             "catalogItems" : [ "COLLECTOR" ]
5854.           },
5855.           "content" : null,
5856.           "arguments" : [ ],
5857.           "utf8Sensitive" : false
5858.         }, {
5859.           "platform" : {
5860.             "catalogVersion" : 230233,
5861.             "dbVersion" : 2,
5862.             "id" : "5a1a45c9e4b0401274ab7141",
5863.             "name" : "macos",
5864.             "topic" : "/mcafee/mar/agent/query/macos",
5865.             "enabled" : true
5866.           },
5867.           "capability" : {
5868.             "catalogVersion" : 230233,
5869.             "dbVersion" : 2,
5870.             "id" : "58efec8ee4b0c390d69a8e15",
5871.             "name" : "Files",
5872.             "description" : "Gets the list of files",
5873.             "module" : "FileHashing",
5874.             "function" : "FindFiles",
5875.             "contentEnabled" : false,
5876.             "arguments" : [ ],
5877.             "outputs" : [ ],
5878.             "formatArgs" : { },
5879.             "format" : "BIN",
5880.             "platforms" : [ {
5881.               "catalogVersion" : 230233,
5882.               "dbVersion" : 2,
5883.               "id" : "58efec8ee4b0c390d69a8e0e",
5884.               "name" : "windows",
5885.               "topic" : "/mcafee/mar/agent/query/windows",
5886.               "enabled" : true
5887.             }, {
5888.               "catalogVersion" : 230233,
5889.               "dbVersion" : 2,
5890.               "id" : "58efec8ee4b0c390d69a8e0f",
5891.               "name" : "linux",
5892.               "topic" : "/mcafee/mar/agent/query/linux",
5893.               "enabled" : true
5894.             }, {
5895.               "catalogVersion" : 230233,
5896.               "dbVersion" : 2,
5897.               "id" : "5a1a45c9e4b0401274ab7141",
5898.               "name" : "macos",
5899.               "topic" : "/mcafee/mar/agent/query/macos",
5900.               "enabled" : true
5901.             } ],
5902.             "platformSettings" : [ {
5903.               "platform" : {
5904.                 "catalogVersion" : 230233,
5905.                 "dbVersion" : 2,
5906.                 "id" : "58efec8ee4b0c390d69a8e0e",
5907.                 "name" : "windows",
5908.                 "topic" : "/mcafee/mar/agent/query/windows",
5909.                 "enabled" : true
5910.               },
5911.               "utf8Sensitive" : false
5912.             }, {
5913.               "platform" : {
5914.                 "catalogVersion" : 230233,
5915.                 "dbVersion" : 2,
5916.                 "id" : "58efec8ee4b0c390d69a8e0f",
5917.                 "name" : "linux",
5918.                 "topic" : "/mcafee/mar/agent/query/linux",
5919.                 "enabled" : true
5920.               },
5921.               "utf8Sensitive" : false
5922.             }, {
5923.               "platform" : {
5924.                 "catalogVersion" : 230233,
5925.                 "dbVersion" : 2,
5926.                 "id" : "5a1a45c9e4b0401274ab7141",
5927.                 "name" : "macos",
5928.                 "topic" : "/mcafee/mar/agent/query/macos",
5929.                 "enabled" : true
5930.               },
5931.               "utf8Sensitive" : false
5932.             } ],
5933.             "itemType" : "BUILTIN",
5934.             "catalogItems" : [ "COLLECTOR" ]
5935.           },
5936.           "content" : null,
5937.           "arguments" : [ ],
5938.           "utf8Sensitive" : false
5939.         } ],
5940.         "timeout" : 60,
5941.         "outputs" : [ {
5942.           "id" : "58efec8ee4b0c390d69a8e7a",
5943.           "name" : "name",
5944.           "type" : "STRING",
5945.           "byDefault" : true,
5946.           "sequence" : 1
5947.         }, {
5948.           "id" : "58efec8ee4b0c390d69a8e7b",
5949.           "name" : "dir",
5950.           "type" : "STRING",
5951.           "byDefault" : false,
5952.           "sequence" : 2
5953.         }, {
5954.           "id" : "58efec8ee4b0c390d69a8e7c",
5955.           "name" : "full_name",
5956.           "type" : "STRING",
5957.           "byDefault" : false,
5958.           "sequence" : 3
5959.         }, {
5960.           "id" : "58efec8ee4b0c390d69a8e7d",
5961.           "name" : "size",
5962.           "type" : "NUMBER",
5963.           "byDefault" : false,
5964.           "sequence" : 4
5965.         }, {
5966.           "id" : "58efec8ee4b0c390d69a8e7e",
5967.           "name" : "last_write",
5968.           "type" : "DATE",
5969.           "byDefault" : false,
5970.           "sequence" : 5
5971.         }, {
5972.           "id" : "58efec8ee4b0c390d69a8e7f",
5973.           "name" : "md5",
5974.           "type" : "STRING",
5975.           "byDefault" : true,
5976.           "sequence" : 6
5977.         }, {
5978.           "id" : "58efec8ee4b0c390d69a8e80",
5979.           "name" : "sha1",
5980.           "type" : "STRING",
5981.           "byDefault" : true,
5982.           "sequence" : 7
5983.         }, {
5984.           "id" : "58efec8ee4b0c390d69a8e81",
5985.           "name" : "sha256",
5986.           "type" : "STRING",
5987.           "byDefault" : true,
5988.           "sequence" : 8
5989.         }, {
5990.           "id" : "58efec8ee4b0c390d69a8e82",
5991.           "name" : "created_at",
5992.           "type" : "DATE",
5993.           "byDefault" : false,
5994.           "sequence" : 9
5995.         }, {
5996.           "id" : "58efec8ee4b0c390d69a8e83",
5997.           "name" : "deleted_at",
5998.           "type" : "DATE",
5999.           "byDefault" : true,
6000.           "sequence" : 10
6001.         }, {
6002.           "id" : "5b3f9b64e4b0dfaf321a6333",
6003.           "name" : "status",
6004.           "type" : "STRING",
6005.           "byDefault" : true,
6006.           "sequence" : 11
6007.         }, {
6008.           "id" : "5b3f9b64e4b0dfaf321a6334",
6009.           "name" : "create_process_pid",
6010.           "type" : "NUMBER",
6011.           "byDefault" : false,
6012.           "sequence" : 12
6013.         }, {
6014.           "id" : "5b3f9b64e4b0dfaf321a6335",
6015.           "name" : "create_process_sha256",
6016.           "type" : "STRING",
6017.           "byDefault" : false,
6018.           "sequence" : 13
6019.         }, {
6020.           "id" : "5b3f9b64e4b0dfaf321a6336",
6021.           "name" : "create_process_full_path",
6022.           "type" : "STRING",
6023.           "byDefault" : false,
6024.           "sequence" : 14
6025.         }, {
6026.           "id" : "5b3f9b64e4b0dfaf321a6337",
6027.           "name" : "modify_process_pid",
6028.           "type" : "NUMBER",
6029.           "byDefault" : false,
6030.           "sequence" : 15
6031.         }, {
6032.           "id" : "5b3f9b64e4b0dfaf321a6338",
6033.           "name" : "modify_process_sha256",
6034.           "type" : "STRING",
6035.           "byDefault" : false,
6036.           "sequence" : 16
6037.         }, {
6038.           "id" : "5b3f9b64e4b0dfaf321a6339",
6039.           "name" : "modify_process_full_path",
6040.           "type" : "STRING",
6041.           "byDefault" : false,
6042.           "sequence" : 17
6043.         }, {
6044.           "id" : "5b3f9b64e4b0dfaf321a633a",
6045.           "name" : "delete_process_pid",
6046.           "type" : "NUMBER",
6047.           "byDefault" : false,
6048.           "sequence" : 18
6049.         }, {
6050.           "id" : "5b3f9b64e4b0dfaf321a633b",
6051.           "name" : "delete_process_sha256",
6052.           "type" : "STRING",
6053.           "byDefault" : false,
6054.           "sequence" : 19
6055.         }, {
6056.           "id" : "5b3f9b64e4b0dfaf321a633c",
6057.           "name" : "delete_process_full_path",
6058.           "type" : "STRING",
6059.           "byDefault" : false,
6060.           "sequence" : 20
6061.         }, {
6062.           "id" : "5b3f9b64e4b0dfaf321a633d",
6063.           "name" : "create_user_domain",
6064.           "type" : "STRING",
6065.           "byDefault" : false,
6066.           "sequence" : 21
6067.         }, {
6068.           "id" : "5b3f9b64e4b0dfaf321a633e",
6069.           "name" : "create_user_name",
6070.           "type" : "STRING",
6071.           "byDefault" : false,
6072.           "sequence" : 22
6073.         }, {
6074.           "id" : "5b3f9b64e4b0dfaf321a633f",
6075.           "name" : "create_user_id",
6076.           "type" : "STRING",
6077.           "byDefault" : false,
6078.           "sequence" : 23
6079.         }, {
6080.           "id" : "5b3f9b64e4b0dfaf321a6340",
6081.           "name" : "modify_user_domain",
6082.           "type" : "STRING",
6083.           "byDefault" : false,
6084.           "sequence" : 24
6085.         }, {
6086.           "id" : "5b3f9b64e4b0dfaf321a6341",
6087.           "name" : "modify_user_name",
6088.           "type" : "STRING",
6089.           "byDefault" : false,
6090.           "sequence" : 25
6091.         }, {
6092.           "id" : "5b3f9b64e4b0dfaf321a6342",
6093.           "name" : "modify_user_id",
6094.           "type" : "STRING",
6095.           "byDefault" : false,
6096.           "sequence" : 26
6097.         }, {
6098.           "id" : "5b3f9b64e4b0dfaf321a6343",
6099.           "name" : "delete_user_domain",
6100.           "type" : "STRING",
6101.           "byDefault" : false,
6102.           "sequence" : 27
6103.         }, {
6104.           "id" : "5b3f9b64e4b0dfaf321a6344",
6105.           "name" : "delete_user_name",
6106.           "type" : "STRING",
6107.           "byDefault" : false,
6108.           "sequence" : 28
6109.         }, {
6110.           "id" : "5b3f9b64e4b0dfaf321a6345",
6111.           "name" : "delete_user_id",
6112.           "type" : "STRING",
6113.           "byDefault" : false,
6114.           "sequence" : 29
6115.         } ]
6116.       },
6117.       "sequence" : "3",
6118.       "output" : [ {
6119.         "id" : "58efec8ee4b0c390d69a8e7c",
6120.         "name" : "full_name",
6121.         "type" : "STRING",
6122.         "byDefault" : false,
6123.         "sequence" : 3
6124.       } ]
6125.     } ],
6126.     "disjunction" : {
6127.       "conjunctions" : [ {
6128.         "terms" : [ {
6129.           "output" : {
6130.             "id" : "58efec8ee4b0c390d69a8e86",
6131.             "name" : "direction",
6132.             "type" : "STRING",
6133.             "byDefault" : true,
6134.             "sequence" : 2
6135.           },
6136.           "operator" : "EQUALS",
6137.           "value" : "out",
6138.           "negated" : false,
6139.           "collector" : {
6140.             "catalogVersion" : 230233,
6141.             "dbVersion" : 2,
6142.             "id" : "58efec8ee4b0c390d69a8e97",
6143.             "name" : "NetworkFlow",
6144.             "description" : "Shows the network flow",
6145.             "type" : "BUILTIN",
6146.             "contents" : [ {
6147.               "platform" : {
6148.                 "catalogVersion" : 230233,
6149.                 "dbVersion" : 2,
6150.                 "id" : "58efec8ee4b0c390d69a8e0f",
6151.                 "name" : "linux",
6152.                 "topic" : "/mcafee/mar/agent/query/linux",
6153.                 "enabled" : true
6154.               },
6155.               "capability" : {
6156.                 "catalogVersion" : 230233,
6157.                 "dbVersion" : 2,
6158.                 "id" : "58efec8ee4b0c390d69a8e1f",
6159.                 "name" : "NetworkFlow",
6160.                 "description" : "Gets flow information",
6161.                 "module" : "NetworkFlow",
6162.                 "function" : "FindFlow",
6163.                 "contentEnabled" : false,
6164.                 "arguments" : [ ],
6165.                 "outputs" : [ ],
6166.                 "formatArgs" : { },
6167.                 "format" : "BIN",
6168.                 "platforms" : [ {
6169.                   "catalogVersion" : 230233,
6170.                   "dbVersion" : 2,
6171.                   "id" : "58efec8ee4b0c390d69a8e0e",
6172.                   "name" : "windows",
6173.                   "topic" : "/mcafee/mar/agent/query/windows",
6174.                   "enabled" : true
6175.                 }, {
6176.                   "catalogVersion" : 230233,
6177.                   "dbVersion" : 2,
6178.                   "id" : "58efec8ee4b0c390d69a8e0f",
6179.                   "name" : "linux",
6180.                   "topic" : "/mcafee/mar/agent/query/linux",
6181.                   "enabled" : true
6182.                 }, {
6183.                   "catalogVersion" : 230233,
6184.                   "dbVersion" : 2,
6185.                   "id" : "5a1a45c9e4b0401274ab7141",
6186.                   "name" : "macos",
6187.                   "topic" : "/mcafee/mar/agent/query/macos",
6188.                   "enabled" : true
6189.                 } ],
6190.                 "platformSettings" : [ {
6191.                   "platform" : {
6192.                     "catalogVersion" : 230233,
6193.                     "dbVersion" : 2,
6194.                     "id" : "58efec8ee4b0c390d69a8e0e",
6195.                     "name" : "windows",
6196.                     "topic" : "/mcafee/mar/agent/query/windows",
6197.                     "enabled" : true
6198.                   },
6199.                   "utf8Sensitive" : false
6200.                 }, {
6201.                   "platform" : {
6202.                     "catalogVersion" : 230233,
6203.                     "dbVersion" : 2,
6204.                     "id" : "58efec8ee4b0c390d69a8e0f",
6205.                     "name" : "linux",
6206.                     "topic" : "/mcafee/mar/agent/query/linux",
6207.                     "enabled" : true
6208.                   },
6209.                   "utf8Sensitive" : false
6210.                 }, {
6211.                   "platform" : {
6212.                     "catalogVersion" : 230233,
6213.                     "dbVersion" : 2,
6214.                     "id" : "5a1a45c9e4b0401274ab7141",
6215.                     "name" : "macos",
6216.                     "topic" : "/mcafee/mar/agent/query/macos",
6217.                     "enabled" : true
6218.                   },
6219.                   "utf8Sensitive" : false
6220.                 } ],
6221.                 "itemType" : "BUILTIN",
6222.                 "catalogItems" : [ "COLLECTOR" ]
6223.               },
6224.               "content" : null,
6225.               "arguments" : [ ],
6226.               "utf8Sensitive" : false
6227.             }, {
6228.               "platform" : {
6229.                 "catalogVersion" : 230233,
6230.                 "dbVersion" : 2,
6231.                 "id" : "58efec8ee4b0c390d69a8e0e",
6232.                 "name" : "windows",
6233.                 "topic" : "/mcafee/mar/agent/query/windows",
6234.                 "enabled" : true
6235.               },
6236.               "capability" : {
6237.                 "catalogVersion" : 230233,
6238.                 "dbVersion" : 2,
6239.                 "id" : "58efec8ee4b0c390d69a8e1f",
6240.                 "name" : "NetworkFlow",
6241.                 "description" : "Gets flow information",
6242.                 "module" : "NetworkFlow",
6243.                 "function" : "FindFlow",
6244.                 "contentEnabled" : false,
6245.                 "arguments" : [ ],
6246.                 "outputs" : [ ],
6247.                 "formatArgs" : { },
6248.                 "format" : "BIN",
6249.                 "platforms" : [ {
6250.                   "catalogVersion" : 230233,
6251.                   "dbVersion" : 2,
6252.                   "id" : "58efec8ee4b0c390d69a8e0e",
6253.                   "name" : "windows",
6254.                   "topic" : "/mcafee/mar/agent/query/windows",
6255.                   "enabled" : true
6256.                 }, {
6257.                   "catalogVersion" : 230233,
6258.                   "dbVersion" : 2,
6259.                   "id" : "58efec8ee4b0c390d69a8e0f",
6260.                   "name" : "linux",
6261.                   "topic" : "/mcafee/mar/agent/query/linux",
6262.                   "enabled" : true
6263.                 }, {
6264.                   "catalogVersion" : 230233,
6265.                   "dbVersion" : 2,
6266.                   "id" : "5a1a45c9e4b0401274ab7141",
6267.                   "name" : "macos",
6268.                   "topic" : "/mcafee/mar/agent/query/macos",
6269.                   "enabled" : true
6270.                 } ],
6271.                 "platformSettings" : [ {
6272.                   "platform" : {
6273.                     "catalogVersion" : 230233,
6274.                     "dbVersion" : 2,
6275.                     "id" : "58efec8ee4b0c390d69a8e0e",
6276.                     "name" : "windows",
6277.                     "topic" : "/mcafee/mar/agent/query/windows",
6278.                     "enabled" : true
6279.                   },
6280.                   "utf8Sensitive" : false
6281.                 }, {
6282.                   "platform" : {
6283.                     "catalogVersion" : 230233,
6284.                     "dbVersion" : 2,
6285.                     "id" : "58efec8ee4b0c390d69a8e0f",
6286.                     "name" : "linux",
6287.                     "topic" : "/mcafee/mar/agent/query/linux",
6288.                     "enabled" : true
6289.                   },
6290.                   "utf8Sensitive" : false
6291.                 }, {
6292.                   "platform" : {
6293.                     "catalogVersion" : 230233,
6294.                     "dbVersion" : 2,
6295.                     "id" : "5a1a45c9e4b0401274ab7141",
6296.                     "name" : "macos",
6297.                     "topic" : "/mcafee/mar/agent/query/macos",
6298.                     "enabled" : true
6299.                   },
6300.                   "utf8Sensitive" : false
6301.                 } ],
6302.                 "itemType" : "BUILTIN",
6303.                 "catalogItems" : [ "COLLECTOR" ]
6304.               },
6305.               "content" : null,
6306.               "arguments" : [ ],
6307.               "utf8Sensitive" : false
6308.             }, {
6309.               "platform" : {
6310.                 "catalogVersion" : 230233,
6311.                 "dbVersion" : 2,
6312.                 "id" : "5a1a45c9e4b0401274ab7141",
6313.                 "name" : "macos",
6314.                 "topic" : "/mcafee/mar/agent/query/macos",
6315.                 "enabled" : true
6316.               },
6317.               "capability" : {
6318.                 "catalogVersion" : 230233,
6319.                 "dbVersion" : 2,
6320.                 "id" : "58efec8ee4b0c390d69a8e1f",
6321.                 "name" : "NetworkFlow",
6322.                 "description" : "Gets flow information",
6323.                 "module" : "NetworkFlow",
6324.                 "function" : "FindFlow",
6325.                 "contentEnabled" : false,
6326.                 "arguments" : [ ],
6327.                 "outputs" : [ ],
6328.                 "formatArgs" : { },
6329.                 "format" : "BIN",
6330.                 "platforms" : [ {
6331.                   "catalogVersion" : 230233,
6332.                   "dbVersion" : 2,
6333.                   "id" : "58efec8ee4b0c390d69a8e0e",
6334.                   "name" : "windows",
6335.                   "topic" : "/mcafee/mar/agent/query/windows",
6336.                   "enabled" : true
6337.                 }, {
6338.                   "catalogVersion" : 230233,
6339.                   "dbVersion" : 2,
6340.                   "id" : "58efec8ee4b0c390d69a8e0f",
6341.                   "name" : "linux",
6342.                   "topic" : "/mcafee/mar/agent/query/linux",
6343.                   "enabled" : true
6344.                 }, {
6345.                   "catalogVersion" : 230233,
6346.                   "dbVersion" : 2,
6347.                   "id" : "5a1a45c9e4b0401274ab7141",
6348.                   "name" : "macos",
6349.                   "topic" : "/mcafee/mar/agent/query/macos",
6350.                   "enabled" : true
6351.                 } ],
6352.                 "platformSettings" : [ {
6353.                   "platform" : {
6354.                     "catalogVersion" : 230233,
6355.                     "dbVersion" : 2,
6356.                     "id" : "58efec8ee4b0c390d69a8e0e",
6357.                     "name" : "windows",
6358.                     "topic" : "/mcafee/mar/agent/query/windows",
6359.                     "enabled" : true
6360.                   },
6361.                   "utf8Sensitive" : false
6362.                 }, {
6363.                   "platform" : {
6364.                     "catalogVersion" : 230233,
6365.                     "dbVersion" : 2,
6366.                     "id" : "58efec8ee4b0c390d69a8e0f",
6367.                     "name" : "linux",
6368.                     "topic" : "/mcafee/mar/agent/query/linux",
6369.                     "enabled" : true
6370.                   },
6371.                   "utf8Sensitive" : false
6372.                 }, {
6373.                   "platform" : {
6374.                     "catalogVersion" : 230233,
6375.                     "dbVersion" : 2,
6376.                     "id" : "5a1a45c9e4b0401274ab7141",
6377.                     "name" : "macos",
6378.                     "topic" : "/mcafee/mar/agent/query/macos",
6379.                     "enabled" : true
6380.                   },
6381.                   "utf8Sensitive" : false
6382.                 } ],
6383.                 "itemType" : "BUILTIN",
6384.                 "catalogItems" : [ "COLLECTOR" ]
6385.               },
6386.               "content" : null,
6387.               "arguments" : [ ],
6388.               "utf8Sensitive" : false
6389.             } ],
6390.             "timeout" : 60,
6391.             "outputs" : [ {
6392.               "id" : "58efec8ee4b0c390d69a8e85",
6393.               "name" : "time",
6394.               "type" : "DATE",
6395.               "byDefault" : true,
6396.               "sequence" : 1
6397.             }, {
6398.               "id" : "58efec8ee4b0c390d69a8e86",
6399.               "name" : "direction",
6400.               "type" : "STRING",
6401.               "byDefault" : true,
6402.               "sequence" : 2
6403.             }, {
6404.               "id" : "58efec8ee4b0c390d69a8e87",
6405.               "name" : "src_ip",
6406.               "type" : "IPV4IPV6",
6407.               "byDefault" : true,
6408.               "sequence" : 3
6409.             }, {
6410.               "id" : "58efec8ee4b0c390d69a8e88",
6411.               "name" : "src_port",
6412.               "type" : "NUMBER",
6413.               "byDefault" : true,
6414.               "sequence" : 4
6415.             }, {
6416.               "id" : "58efec8ee4b0c390d69a8e89",
6417.               "name" : "dst_ip",
6418.               "type" : "IPV4IPV6",
6419.               "byDefault" : true,
6420.               "sequence" : 5
6421.             }, {
6422.               "id" : "58efec8ee4b0c390d69a8e8a",
6423.               "name" : "dst_port",
6424.               "type" : "NUMBER",
6425.               "byDefault" : true,
6426.               "sequence" : 6
6427.             }, {
6428.               "id" : "58efec8ee4b0c390d69a8e8b",
6429.               "name" : "status",
6430.               "type" : "STRING",
6431.               "byDefault" : true,
6432.               "sequence" : 7
6433.             }, {
6434.               "id" : "58efec8ee4b0c390d69a8e8c",
6435.               "name" : "proto",
6436.               "type" : "STRING",
6437.               "byDefault" : true,
6438.               "sequence" : 8
6439.             }, {
6440.               "id" : "58efec8ee4b0c390d69a8e8d",
6441.               "name" : "ip_class",
6442.               "type" : "NUMBER",
6443.               "byDefault" : false,
6444.               "sequence" : 9
6445.             }, {
6446.               "id" : "58efec8ee4b0c390d69a8e8e",
6447.               "name" : "seq_number",
6448.               "type" : "NUMBER",
6449.               "byDefault" : false,
6450.               "sequence" : 10
6451.             }, {
6452.               "id" : "58efec8ee4b0c390d69a8e8f",
6453.               "name" : "src_mac",
6454.               "type" : "STRING",
6455.               "byDefault" : false,
6456.               "sequence" : 11
6457.             }, {
6458.               "id" : "58efec8ee4b0c390d69a8e90",
6459.               "name" : "dst_mac",
6460.               "type" : "STRING",
6461.               "byDefault" : false,
6462.               "sequence" : 12
6463.             }, {
6464.               "id" : "58efec8ee4b0c390d69a8e91",
6465.               "name" : "process",
6466.               "type" : "STRING",
6467.               "byDefault" : true,
6468.               "sequence" : 13
6469.             }, {
6470.               "id" : "58efec8ee4b0c390d69a8e92",
6471.               "name" : "process_id",
6472.               "type" : "NUMBER",
6473.               "byDefault" : false,
6474.               "sequence" : 14
6475.             }, {
6476.               "id" : "58efec8ee4b0c390d69a8e93",
6477.               "name" : "md5",
6478.               "type" : "STRING",
6479.               "byDefault" : false,
6480.               "sequence" : 15
6481.             }, {
6482.               "id" : "58efec8ee4b0c390d69a8e94",
6483.               "name" : "sha1",
6484.               "type" : "STRING",
6485.               "byDefault" : false,
6486.               "sequence" : 16
6487.             }, {
6488.               "id" : "58efec8ee4b0c390d69a8e95",
6489.               "name" : "user",
6490.               "type" : "STRING",
6491.               "byDefault" : true,
6492.               "sequence" : 17
6493.             }, {
6494.               "id" : "58efec8ee4b0c390d69a8e96",
6495.               "name" : "user_id",
6496.               "type" : "STRING",
6497.               "byDefault" : false,
6498.               "sequence" : 18
6499.             }, {
6500.               "id" : "5a1a45cbe4b0401274ab7191",
6501.               "name" : "sha256",
6502.               "type" : "STRING",
6503.               "byDefault" : false,
6504.               "sequence" : 19
6505.             } ]
6506.           }
6507.         }, {
6508.           "output" : {
6509.             "id" : "58efec8ee4b0c390d69a8e8a",
6510.             "name" : "dst_port",
6511.             "type" : "NUMBER",
6512.             "byDefault" : true,
6513.             "sequence" : 6
6514.           },
6515.           "operator" : "EQUALS",
6516.           "value" : "22",
6517.           "negated" : false,
6518.           "collector" : {
6519.             "catalogVersion" : 230233,
6520.             "dbVersion" : 2,
6521.             "id" : "58efec8ee4b0c390d69a8e97",
6522.             "name" : "NetworkFlow",
6523.             "description" : "Shows the network flow",
6524.             "type" : "BUILTIN",
6525.             "contents" : [ {
6526.               "platform" : {
6527.                 "catalogVersion" : 230233,
6528.                 "dbVersion" : 2,
6529.                 "id" : "58efec8ee4b0c390d69a8e0f",
6530.                 "name" : "linux",
6531.                 "topic" : "/mcafee/mar/agent/query/linux",
6532.                 "enabled" : true
6533.               },
6534.               "capability" : {
6535.                 "catalogVersion" : 230233,
6536.                 "dbVersion" : 2,
6537.                 "id" : "58efec8ee4b0c390d69a8e1f",
6538.                 "name" : "NetworkFlow",
6539.                 "description" : "Gets flow information",
6540.                 "module" : "NetworkFlow",
6541.                 "function" : "FindFlow",
6542.                 "contentEnabled" : false,
6543.                 "arguments" : [ ],
6544.                 "outputs" : [ ],
6545.                 "formatArgs" : { },
6546.                 "format" : "BIN",
6547.                 "platforms" : [ {
6548.                   "catalogVersion" : 230233,
6549.                   "dbVersion" : 2,
6550.                   "id" : "58efec8ee4b0c390d69a8e0e",
6551.                   "name" : "windows",
6552.                   "topic" : "/mcafee/mar/agent/query/windows",
6553.                   "enabled" : true
6554.                 }, {
6555.                   "catalogVersion" : 230233,
6556.                   "dbVersion" : 2,
6557.                   "id" : "58efec8ee4b0c390d69a8e0f",
6558.                   "name" : "linux",
6559.                   "topic" : "/mcafee/mar/agent/query/linux",
6560.                   "enabled" : true
6561.                 }, {
6562.                   "catalogVersion" : 230233,
6563.                   "dbVersion" : 2,
6564.                   "id" : "5a1a45c9e4b0401274ab7141",
6565.                   "name" : "macos",
6566.                   "topic" : "/mcafee/mar/agent/query/macos",
6567.                   "enabled" : true
6568.                 } ],
6569.                 "platformSettings" : [ {
6570.                   "platform" : {
6571.                     "catalogVersion" : 230233,
6572.                     "dbVersion" : 2,
6573.                     "id" : "58efec8ee4b0c390d69a8e0e",
6574.                     "name" : "windows",
6575.                     "topic" : "/mcafee/mar/agent/query/windows",
6576.                     "enabled" : true
6577.                   },
6578.                   "utf8Sensitive" : false
6579.                 }, {
6580.                   "platform" : {
6581.                     "catalogVersion" : 230233,
6582.                     "dbVersion" : 2,
6583.                     "id" : "58efec8ee4b0c390d69a8e0f",
6584.                     "name" : "linux",
6585.                     "topic" : "/mcafee/mar/agent/query/linux",
6586.                     "enabled" : true
6587.                   },
6588.                   "utf8Sensitive" : false
6589.                 }, {
6590.                   "platform" : {
6591.                     "catalogVersion" : 230233,
6592.                     "dbVersion" : 2,
6593.                     "id" : "5a1a45c9e4b0401274ab7141",
6594.                     "name" : "macos",
6595.                     "topic" : "/mcafee/mar/agent/query/macos",
6596.                     "enabled" : true
6597.                   },
6598.                   "utf8Sensitive" : false
6599.                 } ],
6600.                 "itemType" : "BUILTIN",
6601.                 "catalogItems" : [ "COLLECTOR" ]
6602.               },
6603.               "content" : null,
6604.               "arguments" : [ ],
6605.               "utf8Sensitive" : false
6606.             }, {
6607.               "platform" : {
6608.                 "catalogVersion" : 230233,
6609.                 "dbVersion" : 2,
6610.                 "id" : "58efec8ee4b0c390d69a8e0e",
6611.                 "name" : "windows",
6612.                 "topic" : "/mcafee/mar/agent/query/windows",
6613.                 "enabled" : true
6614.               },
6615.               "capability" : {
6616.                 "catalogVersion" : 230233,
6617.                 "dbVersion" : 2,
6618.                 "id" : "58efec8ee4b0c390d69a8e1f",
6619.                 "name" : "NetworkFlow",
6620.                 "description" : "Gets flow information",
6621.                 "module" : "NetworkFlow",
6622.                 "function" : "FindFlow",
6623.                 "contentEnabled" : false,
6624.                 "arguments" : [ ],
6625.                 "outputs" : [ ],
6626.                 "formatArgs" : { },
6627.                 "format" : "BIN",
6628.                 "platforms" : [ {
6629.                   "catalogVersion" : 230233,
6630.                   "dbVersion" : 2,
6631.                   "id" : "58efec8ee4b0c390d69a8e0e",
6632.                   "name" : "windows",
6633.                   "topic" : "/mcafee/mar/agent/query/windows",
6634.                   "enabled" : true
6635.                 }, {
6636.                   "catalogVersion" : 230233,
6637.                   "dbVersion" : 2,
6638.                   "id" : "58efec8ee4b0c390d69a8e0f",
6639.                   "name" : "linux",
6640.                   "topic" : "/mcafee/mar/agent/query/linux",
6641.                   "enabled" : true
6642.                 }, {
6643.                   "catalogVersion" : 230233,
6644.                   "dbVersion" : 2,
6645.                   "id" : "5a1a45c9e4b0401274ab7141",
6646.                   "name" : "macos",
6647.                   "topic" : "/mcafee/mar/agent/query/macos",
6648.                   "enabled" : true
6649.                 } ],
6650.                 "platformSettings" : [ {
6651.                   "platform" : {
6652.                     "catalogVersion" : 230233,
6653.                     "dbVersion" : 2,
6654.                     "id" : "58efec8ee4b0c390d69a8e0e",
6655.                     "name" : "windows",
6656.                     "topic" : "/mcafee/mar/agent/query/windows",
6657.                     "enabled" : true
6658.                   },
6659.                   "utf8Sensitive" : false
6660.                 }, {
6661.                   "platform" : {
6662.                     "catalogVersion" : 230233,
6663.                     "dbVersion" : 2,
6664.                     "id" : "58efec8ee4b0c390d69a8e0f",
6665.                     "name" : "linux",
6666.                     "topic" : "/mcafee/mar/agent/query/linux",
6667.                     "enabled" : true
6668.                   },
6669.                   "utf8Sensitive" : false
6670.                 }, {
6671.                   "platform" : {
6672.                     "catalogVersion" : 230233,
6673.                     "dbVersion" : 2,
6674.                     "id" : "5a1a45c9e4b0401274ab7141",
6675.                     "name" : "macos",
6676.                     "topic" : "/mcafee/mar/agent/query/macos",
6677.                     "enabled" : true
6678.                   },
6679.                   "utf8Sensitive" : false
6680.                 } ],
6681.                 "itemType" : "BUILTIN",
6682.                 "catalogItems" : [ "COLLECTOR" ]
6683.               },
6684.               "content" : null,
6685.               "arguments" : [ ],
6686.               "utf8Sensitive" : false
6687.             }, {
6688.               "platform" : {
6689.                 "catalogVersion" : 230233,
6690.                 "dbVersion" : 2,
6691.                 "id" : "5a1a45c9e4b0401274ab7141",
6692.                 "name" : "macos",
6693.                 "topic" : "/mcafee/mar/agent/query/macos",
6694.                 "enabled" : true
6695.               },
6696.               "capability" : {
6697.                 "catalogVersion" : 230233,
6698.                 "dbVersion" : 2,
6699.                 "id" : "58efec8ee4b0c390d69a8e1f",
6700.                 "name" : "NetworkFlow",
6701.                 "description" : "Gets flow information",
6702.                 "module" : "NetworkFlow",
6703.                 "function" : "FindFlow",
6704.                 "contentEnabled" : false,
6705.                 "arguments" : [ ],
6706.                 "outputs" : [ ],
6707.                 "formatArgs" : { },
6708.                 "format" : "BIN",
6709.                 "platforms" : [ {
6710.                   "catalogVersion" : 230233,
6711.                   "dbVersion" : 2,
6712.                   "id" : "58efec8ee4b0c390d69a8e0e",
6713.                   "name" : "windows",
6714.                   "topic" : "/mcafee/mar/agent/query/windows",
6715.                   "enabled" : true
6716.                 }, {
6717.                   "catalogVersion" : 230233,
6718.                   "dbVersion" : 2,
6719.                   "id" : "58efec8ee4b0c390d69a8e0f",
6720.                   "name" : "linux",
6721.                   "topic" : "/mcafee/mar/agent/query/linux",
6722.                   "enabled" : true
6723.                 }, {
6724.                   "catalogVersion" : 230233,
6725.                   "dbVersion" : 2,
6726.                   "id" : "5a1a45c9e4b0401274ab7141",
6727.                   "name" : "macos",
6728.                   "topic" : "/mcafee/mar/agent/query/macos",
6729.                   "enabled" : true
6730.                 } ],
6731.                 "platformSettings" : [ {
6732.                   "platform" : {
6733.                     "catalogVersion" : 230233,
6734.                     "dbVersion" : 2,
6735.                     "id" : "58efec8ee4b0c390d69a8e0e",
6736.                     "name" : "windows",
6737.                     "topic" : "/mcafee/mar/agent/query/windows",
6738.                     "enabled" : true
6739.                   },
6740.                   "utf8Sensitive" : false
6741.                 }, {
6742.                   "platform" : {
6743.                     "catalogVersion" : 230233,
6744.                     "dbVersion" : 2,
6745.                     "id" : "58efec8ee4b0c390d69a8e0f",
6746.                     "name" : "linux",
6747.                     "topic" : "/mcafee/mar/agent/query/linux",
6748.                     "enabled" : true
6749.                   },
6750.                   "utf8Sensitive" : false
6751.                 }, {
6752.                   "platform" : {
6753.                     "catalogVersion" : 230233,
6754.                     "dbVersion" : 2,
6755.                     "id" : "5a1a45c9e4b0401274ab7141",
6756.                     "name" : "macos",
6757.                     "topic" : "/mcafee/mar/agent/query/macos",
6758.                     "enabled" : true
6759.                   },
6760.                   "utf8Sensitive" : false
6761.                 } ],
6762.                 "itemType" : "BUILTIN",
6763.                 "catalogItems" : [ "COLLECTOR" ]
6764.               },
6765.               "content" : null,
6766.               "arguments" : [ ],
6767.               "utf8Sensitive" : false
6768.             } ],
6769.             "timeout" : 60,
6770.             "outputs" : [ {
6771.               "id" : "58efec8ee4b0c390d69a8e85",
6772.               "name" : "time",
6773.               "type" : "DATE",
6774.               "byDefault" : true,
6775.               "sequence" : 1
6776.             }, {
6777.               "id" : "58efec8ee4b0c390d69a8e86",
6778.               "name" : "direction",
6779.               "type" : "STRING",
6780.               "byDefault" : true,
6781.               "sequence" : 2
6782.             }, {
6783.               "id" : "58efec8ee4b0c390d69a8e87",
6784.               "name" : "src_ip",
6785.               "type" : "IPV4IPV6",
6786.               "byDefault" : true,
6787.               "sequence" : 3
6788.             }, {
6789.               "id" : "58efec8ee4b0c390d69a8e88",
6790.               "name" : "src_port",
6791.               "type" : "NUMBER",
6792.               "byDefault" : true,
6793.               "sequence" : 4
6794.             }, {
6795.               "id" : "58efec8ee4b0c390d69a8e89",
6796.               "name" : "dst_ip",
6797.               "type" : "IPV4IPV6",
6798.               "byDefault" : true,
6799.               "sequence" : 5
6800.             }, {
6801.               "id" : "58efec8ee4b0c390d69a8e8a",
6802.               "name" : "dst_port",
6803.               "type" : "NUMBER",
6804.               "byDefault" : true,
6805.               "sequence" : 6
6806.             }, {
6807.               "id" : "58efec8ee4b0c390d69a8e8b",
6808.               "name" : "status",
6809.               "type" : "STRING",
6810.               "byDefault" : true,
6811.               "sequence" : 7
6812.             }, {
6813.               "id" : "58efec8ee4b0c390d69a8e8c",
6814.               "name" : "proto",
6815.               "type" : "STRING",
6816.               "byDefault" : true,
6817.               "sequence" : 8
6818.             }, {
6819.               "id" : "58efec8ee4b0c390d69a8e8d",
6820.               "name" : "ip_class",
6821.               "type" : "NUMBER",
6822.               "byDefault" : false,
6823.               "sequence" : 9
6824.             }, {
6825.               "id" : "58efec8ee4b0c390d69a8e8e",
6826.               "name" : "seq_number",
6827.               "type" : "NUMBER",
6828.               "byDefault" : false,
6829.               "sequence" : 10
6830.             }, {
6831.               "id" : "58efec8ee4b0c390d69a8e8f",
6832.               "name" : "src_mac",
6833.               "type" : "STRING",
6834.               "byDefault" : false,
6835.               "sequence" : 11
6836.             }, {
6837.               "id" : "58efec8ee4b0c390d69a8e90",
6838.               "name" : "dst_mac",
6839.               "type" : "STRING",
6840.               "byDefault" : false,
6841.               "sequence" : 12
6842.             }, {
6843.               "id" : "58efec8ee4b0c390d69a8e91",
6844.               "name" : "process",
6845.               "type" : "STRING",
6846.               "byDefault" : true,
6847.               "sequence" : 13
6848.             }, {
6849.               "id" : "58efec8ee4b0c390d69a8e92",
6850.               "name" : "process_id",
6851.               "type" : "NUMBER",
6852.               "byDefault" : false,
6853.               "sequence" : 14
6854.             }, {
6855.               "id" : "58efec8ee4b0c390d69a8e93",
6856.               "name" : "md5",
6857.               "type" : "STRING",
6858.               "byDefault" : false,
6859.               "sequence" : 15
6860.             }, {
6861.               "id" : "58efec8ee4b0c390d69a8e94",
6862.               "name" : "sha1",
6863.               "type" : "STRING",
6864.               "byDefault" : false,
6865.               "sequence" : 16
6866.             }, {
6867.               "id" : "58efec8ee4b0c390d69a8e95",
6868.               "name" : "user",
6869.               "type" : "STRING",
6870.               "byDefault" : true,
6871.               "sequence" : 17
6872.             }, {
6873.               "id" : "58efec8ee4b0c390d69a8e96",
6874.               "name" : "user_id",
6875.               "type" : "STRING",
6876.               "byDefault" : false,
6877.               "sequence" : 18
6878.             }, {
6879.               "id" : "5a1a45cbe4b0401274ab7191",
6880.               "name" : "sha256",
6881.               "type" : "STRING",
6882.               "byDefault" : false,
6883.               "sequence" : 19
6884.             } ]
6885.           }
6886.         }, {
6887.           "output" : {
6888.             "id" : "58efec8ee4b0c390d69a8e7c",
6889.             "name" : "full_name",
6890.             "type" : "STRING",
6891.             "byDefault" : false,
6892.             "sequence" : 3
6893.           },
6894.           "operator" : "ENDS_WITH",
6895.           "value" : ".pem",
6896.           "negated" : false,
6897.           "collector" : {
6898.             "catalogVersion" : 230233,
6899.             "dbVersion" : 2,
6900.             "id" : "58efec8ee4b0c390d69a8e84",
6901.             "name" : "Files",
6902.             "description" : "Shows the existing files",
6903.             "type" : "BUILTIN",
6904.             "contents" : [ {
6905.               "platform" : {
6906.                 "catalogVersion" : 230233,
6907.                 "dbVersion" : 2,
6908.                 "id" : "58efec8ee4b0c390d69a8e0f",
6909.                 "name" : "linux",
6910.                 "topic" : "/mcafee/mar/agent/query/linux",
6911.                 "enabled" : true
6912.               },
6913.               "capability" : {
6914.                 "catalogVersion" : 230233,
6915.                 "dbVersion" : 2,
6916.                 "id" : "58efec8ee4b0c390d69a8e15",
6917.                 "name" : "Files",
6918.                 "description" : "Gets the list of files",
6919.                 "module" : "FileHashing",
6920.                 "function" : "FindFiles",
6921.                 "contentEnabled" : false,
6922.                 "arguments" : [ ],
6923.                 "outputs" : [ ],
6924.                 "formatArgs" : { },
6925.                 "format" : "BIN",
6926.                 "platforms" : [ {
6927.                   "catalogVersion" : 230233,
6928.                   "dbVersion" : 2,
6929.                   "id" : "58efec8ee4b0c390d69a8e0e",
6930.                   "name" : "windows",
6931.                   "topic" : "/mcafee/mar/agent/query/windows",
6932.                   "enabled" : true
6933.                 }, {
6934.                   "catalogVersion" : 230233,
6935.                   "dbVersion" : 2,
6936.                   "id" : "58efec8ee4b0c390d69a8e0f",
6937.                   "name" : "linux",
6938.                   "topic" : "/mcafee/mar/agent/query/linux",
6939.                   "enabled" : true
6940.                 }, {
6941.                   "catalogVersion" : 230233,
6942.                   "dbVersion" : 2,
6943.                   "id" : "5a1a45c9e4b0401274ab7141",
6944.                   "name" : "macos",
6945.                   "topic" : "/mcafee/mar/agent/query/macos",
6946.                   "enabled" : true
6947.                 } ],
6948.                 "platformSettings" : [ {
6949.                   "platform" : {
6950.                     "catalogVersion" : 230233,
6951.                     "dbVersion" : 2,
6952.                     "id" : "58efec8ee4b0c390d69a8e0e",
6953.                     "name" : "windows",
6954.                     "topic" : "/mcafee/mar/agent/query/windows",
6955.                     "enabled" : true
6956.                   },
6957.                   "utf8Sensitive" : false
6958.                 }, {
6959.                   "platform" : {
6960.                     "catalogVersion" : 230233,
6961.                     "dbVersion" : 2,
6962.                     "id" : "58efec8ee4b0c390d69a8e0f",
6963.                     "name" : "linux",
6964.                     "topic" : "/mcafee/mar/agent/query/linux",
6965.                     "enabled" : true
6966.                   },
6967.                   "utf8Sensitive" : false
6968.                 }, {
6969.                   "platform" : {
6970.                     "catalogVersion" : 230233,
6971.                     "dbVersion" : 2,
6972.                     "id" : "5a1a45c9e4b0401274ab7141",
6973.                     "name" : "macos",
6974.                     "topic" : "/mcafee/mar/agent/query/macos",
6975.                     "enabled" : true
6976.                   },
6977.                   "utf8Sensitive" : false
6978.                 } ],
6979.                 "itemType" : "BUILTIN",
6980.                 "catalogItems" : [ "COLLECTOR" ]
6981.               },
6982.               "content" : null,
6983.               "arguments" : [ ],
6984.               "utf8Sensitive" : false
6985.             }, {
6986.               "platform" : {
6987.                 "catalogVersion" : 230233,
6988.                 "dbVersion" : 2,
6989.                 "id" : "58efec8ee4b0c390d69a8e0e",
6990.                 "name" : "windows",
6991.                 "topic" : "/mcafee/mar/agent/query/windows",
6992.                 "enabled" : true
6993.               },
6994.               "capability" : {
6995.                 "catalogVersion" : 230233,
6996.                 "dbVersion" : 2,
6997.                 "id" : "58efec8ee4b0c390d69a8e15",
6998.                 "name" : "Files",
6999.                 "description" : "Gets the list of files",
7000.                 "module" : "FileHashing",
7001.                 "function" : "FindFiles",
7002.                 "contentEnabled" : false,
7003.                 "arguments" : [ ],
7004.                 "outputs" : [ ],
7005.                 "formatArgs" : { },
7006.                 "format" : "BIN",
7007.                 "platforms" : [ {
7008.                   "catalogVersion" : 230233,
7009.                   "dbVersion" : 2,
7010.                   "id" : "58efec8ee4b0c390d69a8e0e",
7011.                   "name" : "windows",
7012.                   "topic" : "/mcafee/mar/agent/query/windows",
7013.                   "enabled" : true
7014.                 }, {
7015.                   "catalogVersion" : 230233,
7016.                   "dbVersion" : 2,
7017.                   "id" : "58efec8ee4b0c390d69a8e0f",
7018.                   "name" : "linux",
7019.                   "topic" : "/mcafee/mar/agent/query/linux",
7020.                   "enabled" : true
7021.                 }, {
7022.                   "catalogVersion" : 230233,
7023.                   "dbVersion" : 2,
7024.                   "id" : "5a1a45c9e4b0401274ab7141",
7025.                   "name" : "macos",
7026.                   "topic" : "/mcafee/mar/agent/query/macos",
7027.                   "enabled" : true
7028.                 } ],
7029.                 "platformSettings" : [ {
7030.                   "platform" : {
7031.                     "catalogVersion" : 230233,
7032.                     "dbVersion" : 2,
7033.                     "id" : "58efec8ee4b0c390d69a8e0e",
7034.                     "name" : "windows",
7035.                     "topic" : "/mcafee/mar/agent/query/windows",
7036.                     "enabled" : true
7037.                   },
7038.                   "utf8Sensitive" : false
7039.                 }, {
7040.                   "platform" : {
7041.                     "catalogVersion" : 230233,
7042.                     "dbVersion" : 2,
7043.                     "id" : "58efec8ee4b0c390d69a8e0f",
7044.                     "name" : "linux",
7045.                     "topic" : "/mcafee/mar/agent/query/linux",
7046.                     "enabled" : true
7047.                   },
7048.                   "utf8Sensitive" : false
7049.                 }, {
7050.                   "platform" : {
7051.                     "catalogVersion" : 230233,
7052.                     "dbVersion" : 2,
7053.                     "id" : "5a1a45c9e4b0401274ab7141",
7054.                     "name" : "macos",
7055.                     "topic" : "/mcafee/mar/agent/query/macos",
7056.                     "enabled" : true
7057.                   },
7058.                   "utf8Sensitive" : false
7059.                 } ],
7060.                 "itemType" : "BUILTIN",
7061.                 "catalogItems" : [ "COLLECTOR" ]
7062.               },
7063.               "content" : null,
7064.               "arguments" : [ ],
7065.               "utf8Sensitive" : false
7066.             }, {
7067.               "platform" : {
7068.                 "catalogVersion" : 230233,
7069.                 "dbVersion" : 2,
7070.                 "id" : "5a1a45c9e4b0401274ab7141",
7071.                 "name" : "macos",
7072.                 "topic" : "/mcafee/mar/agent/query/macos",
7073.                 "enabled" : true
7074.               },
7075.               "capability" : {
7076.                 "catalogVersion" : 230233,
7077.                 "dbVersion" : 2,
7078.                 "id" : "58efec8ee4b0c390d69a8e15",
7079.                 "name" : "Files",
7080.                 "description" : "Gets the list of files",
7081.                 "module" : "FileHashing",
7082.                 "function" : "FindFiles",
7083.                 "contentEnabled" : false,
7084.                 "arguments" : [ ],
7085.                 "outputs" : [ ],
7086.                 "formatArgs" : { },
7087.                 "format" : "BIN",
7088.                 "platforms" : [ {
7089.                   "catalogVersion" : 230233,
7090.                   "dbVersion" : 2,
7091.                   "id" : "58efec8ee4b0c390d69a8e0e",
7092.                   "name" : "windows",
7093.                   "topic" : "/mcafee/mar/agent/query/windows",
7094.                   "enabled" : true
7095.                 }, {
7096.                   "catalogVersion" : 230233,
7097.                   "dbVersion" : 2,
7098.                   "id" : "58efec8ee4b0c390d69a8e0f",
7099.                   "name" : "linux",
7100.                   "topic" : "/mcafee/mar/agent/query/linux",
7101.                   "enabled" : true
7102.                 }, {
7103.                   "catalogVersion" : 230233,
7104.                   "dbVersion" : 2,
7105.                   "id" : "5a1a45c9e4b0401274ab7141",
7106.                   "name" : "macos",
7107.                   "topic" : "/mcafee/mar/agent/query/macos",
7108.                   "enabled" : true
7109.                 } ],
7110.                 "platformSettings" : [ {
7111.                   "platform" : {
7112.                     "catalogVersion" : 230233,
7113.                     "dbVersion" : 2,
7114.                     "id" : "58efec8ee4b0c390d69a8e0e",
7115.                     "name" : "windows",
7116.                     "topic" : "/mcafee/mar/agent/query/windows",
7117.                     "enabled" : true
7118.                   },
7119.                   "utf8Sensitive" : false
7120.                 }, {
7121.                   "platform" : {
7122.                     "catalogVersion" : 230233,
7123.                     "dbVersion" : 2,
7124.                     "id" : "58efec8ee4b0c390d69a8e0f",
7125.                     "name" : "linux",
7126.                     "topic" : "/mcafee/mar/agent/query/linux",
7127.                     "enabled" : true
7128.                   },
7129.                   "utf8Sensitive" : false
7130.                 }, {
7131.                   "platform" : {
7132.                     "catalogVersion" : 230233,
7133.                     "dbVersion" : 2,
7134.                     "id" : "5a1a45c9e4b0401274ab7141",
7135.                     "name" : "macos",
7136.                     "topic" : "/mcafee/mar/agent/query/macos",
7137.                     "enabled" : true
7138.                   },
7139.                   "utf8Sensitive" : false
7140.                 } ],
7141.                 "itemType" : "BUILTIN",
7142.                 "catalogItems" : [ "COLLECTOR" ]
7143.               },
7144.               "content" : null,
7145.               "arguments" : [ ],
7146.               "utf8Sensitive" : false
7147.             } ],
7148.             "timeout" : 60,
7149.             "outputs" : [ {
7150.               "id" : "58efec8ee4b0c390d69a8e7a",
7151.               "name" : "name",
7152.               "type" : "STRING",
7153.               "byDefault" : true,
7154.               "sequence" : 1
7155.             }, {
7156.               "id" : "58efec8ee4b0c390d69a8e7b",
7157.               "name" : "dir",
7158.               "type" : "STRING",
7159.               "byDefault" : false,
7160.               "sequence" : 2
7161.             }, {
7162.               "id" : "58efec8ee4b0c390d69a8e7c",
7163.               "name" : "full_name",
7164.               "type" : "STRING",
7165.               "byDefault" : false,
7166.               "sequence" : 3
7167.             }, {
7168.               "id" : "58efec8ee4b0c390d69a8e7d",
7169.               "name" : "size",
7170.               "type" : "NUMBER",
7171.               "byDefault" : false,
7172.               "sequence" : 4
7173.             }, {
7174.               "id" : "58efec8ee4b0c390d69a8e7e",
7175.               "name" : "last_write",
7176.               "type" : "DATE",
7177.               "byDefault" : false,
7178.               "sequence" : 5
7179.             }, {
7180.               "id" : "58efec8ee4b0c390d69a8e7f",
7181.               "name" : "md5",
7182.               "type" : "STRING",
7183.               "byDefault" : true,
7184.               "sequence" : 6
7185.             }, {
7186.               "id" : "58efec8ee4b0c390d69a8e80",
7187.               "name" : "sha1",
7188.               "type" : "STRING",
7189.               "byDefault" : true,
7190.               "sequence" : 7
7191.             }, {
7192.               "id" : "58efec8ee4b0c390d69a8e81",
7193.               "name" : "sha256",
7194.               "type" : "STRING",
7195.               "byDefault" : true,
7196.               "sequence" : 8
7197.             }, {
7198.               "id" : "58efec8ee4b0c390d69a8e82",
7199.               "name" : "created_at",
7200.               "type" : "DATE",
7201.               "byDefault" : false,
7202.               "sequence" : 9
7203.             }, {
7204.               "id" : "58efec8ee4b0c390d69a8e83",
7205.               "name" : "deleted_at",
7206.               "type" : "DATE",
7207.               "byDefault" : true,
7208.               "sequence" : 10
7209.             }, {
7210.               "id" : "5b3f9b64e4b0dfaf321a6333",
7211.               "name" : "status",
7212.               "type" : "STRING",
7213.               "byDefault" : true,
7214.               "sequence" : 11
7215.             }, {
7216.               "id" : "5b3f9b64e4b0dfaf321a6334",
7217.               "name" : "create_process_pid",
7218.               "type" : "NUMBER",
7219.               "byDefault" : false,
7220.               "sequence" : 12
7221.             }, {
7222.               "id" : "5b3f9b64e4b0dfaf321a6335",
7223.               "name" : "create_process_sha256",
7224.               "type" : "STRING",
7225.               "byDefault" : false,
7226.               "sequence" : 13
7227.             }, {
7228.               "id" : "5b3f9b64e4b0dfaf321a6336",
7229.               "name" : "create_process_full_path",
7230.               "type" : "STRING",
7231.               "byDefault" : false,
7232.               "sequence" : 14
7233.             }, {
7234.               "id" : "5b3f9b64e4b0dfaf321a6337",
7235.               "name" : "modify_process_pid",
7236.               "type" : "NUMBER",
7237.               "byDefault" : false,
7238.               "sequence" : 15
7239.             }, {
7240.               "id" : "5b3f9b64e4b0dfaf321a6338",
7241.               "name" : "modify_process_sha256",
7242.               "type" : "STRING",
7243.               "byDefault" : false,
7244.               "sequence" : 16
7245.             }, {
7246.               "id" : "5b3f9b64e4b0dfaf321a6339",
7247.               "name" : "modify_process_full_path",
7248.               "type" : "STRING",
7249.               "byDefault" : false,
7250.               "sequence" : 17
7251.             }, {
7252.               "id" : "5b3f9b64e4b0dfaf321a633a",
7253.               "name" : "delete_process_pid",
7254.               "type" : "NUMBER",
7255.               "byDefault" : false,
7256.               "sequence" : 18
7257.             }, {
7258.               "id" : "5b3f9b64e4b0dfaf321a633b",
7259.               "name" : "delete_process_sha256",
7260.               "type" : "STRING",
7261.               "byDefault" : false,
7262.               "sequence" : 19
7263.             }, {
7264.               "id" : "5b3f9b64e4b0dfaf321a633c",
7265.               "name" : "delete_process_full_path",
7266.               "type" : "STRING",
7267.               "byDefault" : false,
7268.               "sequence" : 20
7269.             }, {
7270.               "id" : "5b3f9b64e4b0dfaf321a633d",
7271.               "name" : "create_user_domain",
7272.               "type" : "STRING",
7273.               "byDefault" : false,
7274.               "sequence" : 21
7275.             }, {
7276.               "id" : "5b3f9b64e4b0dfaf321a633e",
7277.               "name" : "create_user_name",
7278.               "type" : "STRING",
7279.               "byDefault" : false,
7280.               "sequence" : 22
7281.             }, {
7282.               "id" : "5b3f9b64e4b0dfaf321a633f",
7283.               "name" : "create_user_id",
7284.               "type" : "STRING",
7285.               "byDefault" : false,
7286.               "sequence" : 23
7287.             }, {
7288.               "id" : "5b3f9b64e4b0dfaf321a6340",
7289.               "name" : "modify_user_domain",
7290.               "type" : "STRING",
7291.               "byDefault" : false,
7292.               "sequence" : 24
7293.             }, {
7294.               "id" : "5b3f9b64e4b0dfaf321a6341",
7295.               "name" : "modify_user_name",
7296.               "type" : "STRING",
7297.               "byDefault" : false,
7298.               "sequence" : 25
7299.             }, {
7300.               "id" : "5b3f9b64e4b0dfaf321a6342",
7301.               "name" : "modify_user_id",
7302.               "type" : "STRING",
7303.               "byDefault" : false,
7304.               "sequence" : 26
7305.             }, {
7306.               "id" : "5b3f9b64e4b0dfaf321a6343",
7307.               "name" : "delete_user_domain",
7308.               "type" : "STRING",
7309.               "byDefault" : false,
7310.               "sequence" : 27
7311.             }, {
7312.               "id" : "5b3f9b64e4b0dfaf321a6344",
7313.               "name" : "delete_user_name",
7314.               "type" : "STRING",
7315.               "byDefault" : false,
7316.               "sequence" : 28
7317.             }, {
7318.               "id" : "5b3f9b64e4b0dfaf321a6345",
7319.               "name" : "delete_user_id",
7320.               "type" : "STRING",
7321.               "byDefault" : false,
7322.               "sequence" : 29
7323.             } ]
7324.           }
7325.         } ]
7326.       } ]
7327.     },
7328.     "running" : false,
7329.     "createdAt" : 1530900630266,
7330.     "executedAt" : null,
7331.     "status" : "CREATED",
7332.     "ttl" : 60000,
7333.     "startTime" : null,
7334.     "endpointPermission" : null,
7335.     "maGuidsTarget" : null,
7336.     "expectedHostResponses" : 0
7337.   },
7338.   "type" : "com.intel.mar.model.search.Search"
7339. }, {
7340.   "item" : {
7341.     "catalogVersion" : 1,
7342.     "dbVersion" : 2,
7343.     "id" : "5b3fb096e4b0cbe06dd6731b",
7344.     "name" : "INVESTIGATION-pscp usage",
7345.     "description" : "show host and process where pscp is being run\n",
7346.     "type" : null,
7347.     "expression" : "HostInfo hostname and Processes where Processes name contains \"pscp\"",
7348.     "temporal" : false,
7349.     "invalid" : false,
7350.     "aggregated" : true,
7351.     "projections" : [ {
7352.       "collector" : {
7353.         "catalogVersion" : 230233,
7354.         "dbVersion" : 2,
7355.         "id" : "58efec8ee4b0c390d69a8ec5",
7356.         "name" : "HostInfo",
7357.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
7358.         "type" : "BUILTIN",
7359.         "contents" : [ {
7360.           "platform" : {
7361.             "catalogVersion" : 230233,
7362.             "dbVersion" : 2,
7363.             "id" : "58efec8ee4b0c390d69a8e0f",
7364.             "name" : "linux",
7365.             "topic" : "/mcafee/mar/agent/query/linux",
7366.             "enabled" : true
7367.           },
7368.           "capability" : {
7369.             "catalogVersion" : 230233,
7370.             "dbVersion" : 2,
7371.             "id" : "58efec8ee4b0c390d69a8e14",
7372.             "name" : "Bash Script",
7373.             "description" : "Executes Bash script on target client",
7374.             "module" : "SystemRuntime",
7375.             "function" : "executeBash",
7376.             "contentEnabled" : true,
7377.             "arguments" : [ ],
7378.             "outputs" : [ ],
7379.             "formatArgs" : {
7380.               "hasHeaders" : false,
7381.               "delimiter" : ","
7382.             },
7383.             "format" : "CSV",
7384.             "platforms" : [ {
7385.               "catalogVersion" : 230233,
7386.               "dbVersion" : 2,
7387.               "id" : "58efec8ee4b0c390d69a8e0f",
7388.               "name" : "linux",
7389.               "topic" : "/mcafee/mar/agent/query/linux",
7390.               "enabled" : true
7391.             }, {
7392.               "catalogVersion" : 230233,
7393.               "dbVersion" : 2,
7394.               "id" : "5a1a45c9e4b0401274ab7141",
7395.               "name" : "macos",
7396.               "topic" : "/mcafee/mar/agent/query/macos",
7397.               "enabled" : true
7398.             } ],
7399.             "platformSettings" : [ {
7400.               "platform" : {
7401.                 "catalogVersion" : 230233,
7402.                 "dbVersion" : 2,
7403.                 "id" : "58efec8ee4b0c390d69a8e0f",
7404.                 "name" : "linux",
7405.                 "topic" : "/mcafee/mar/agent/query/linux",
7406.                 "enabled" : true
7407.               },
7408.               "utf8Sensitive" : false
7409.             }, {
7410.               "platform" : {
7411.                 "catalogVersion" : 230233,
7412.                 "dbVersion" : 2,
7413.                 "id" : "5a1a45c9e4b0401274ab7141",
7414.                 "name" : "macos",
7415.                 "topic" : "/mcafee/mar/agent/query/macos",
7416.                 "enabled" : true
7417.               },
7418.               "utf8Sensitive" : false
7419.             } ],
7420.             "itemType" : "CUSTOM",
7421.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
7422.           },
7423.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
7424.           "arguments" : [ ],
7425.           "utf8Sensitive" : false
7426.         }, {
7427.           "platform" : {
7428.             "catalogVersion" : 230233,
7429.             "dbVersion" : 2,
7430.             "id" : "58efec8ee4b0c390d69a8e0e",
7431.             "name" : "windows",
7432.             "topic" : "/mcafee/mar/agent/query/windows",
7433.             "enabled" : true
7434.           },
7435.           "capability" : {
7436.             "catalogVersion" : 230233,
7437.             "dbVersion" : 2,
7438.             "id" : "58efec8ee4b0c390d69a8e12",
7439.             "name" : "Visual Basic Script",
7440.             "description" : "Executes VBS script on target client",
7441.             "module" : "SystemRuntime",
7442.             "function" : "executeVBS",
7443.             "contentEnabled" : true,
7444.             "arguments" : [ ],
7445.             "outputs" : [ ],
7446.             "formatArgs" : {
7447.               "hasHeaders" : false,
7448.               "delimiter" : ","
7449.             },
7450.             "format" : "CSV",
7451.             "platforms" : [ {
7452.               "catalogVersion" : 230233,
7453.               "dbVersion" : 2,
7454.               "id" : "58efec8ee4b0c390d69a8e0e",
7455.               "name" : "windows",
7456.               "topic" : "/mcafee/mar/agent/query/windows",
7457.               "enabled" : true
7458.             } ],
7459.             "platformSettings" : [ {
7460.               "platform" : {
7461.                 "catalogVersion" : 230233,
7462.                 "dbVersion" : 2,
7463.                 "id" : "58efec8ee4b0c390d69a8e0e",
7464.                 "name" : "windows",
7465.                 "topic" : "/mcafee/mar/agent/query/windows",
7466.                 "enabled" : true
7467.               },
7468.               "utf8Sensitive" : false
7469.             } ],
7470.             "itemType" : "CUSTOM",
7471.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
7472.           },
7473.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
7474.           "arguments" : [ ],
7475.           "utf8Sensitive" : false
7476.         }, {
7477.           "platform" : {
7478.             "catalogVersion" : 230233,
7479.             "dbVersion" : 2,
7480.             "id" : "5a1a45c9e4b0401274ab7141",
7481.             "name" : "macos",
7482.             "topic" : "/mcafee/mar/agent/query/macos",
7483.             "enabled" : true
7484.           },
7485.           "capability" : {
7486.             "catalogVersion" : 230233,
7487.             "dbVersion" : 2,
7488.             "id" : "5a1a45cae4b0401274ab7183",
7489.             "name" : "HostInfo SysInfo",
7490.             "description" : "Shows Hostname, 1st IP Address and OS version",
7491.             "module" : "SysInfo",
7492.             "function" : "HostInfo",
7493.             "contentEnabled" : false,
7494.             "arguments" : [ ],
7495.             "outputs" : [ ],
7496.             "formatArgs" : { },
7497.             "format" : "BIN",
7498.             "platforms" : [ {
7499.               "catalogVersion" : 230233,
7500.               "dbVersion" : 2,
7501.               "id" : "5a1a45c9e4b0401274ab7141",
7502.               "name" : "macos",
7503.               "topic" : "/mcafee/mar/agent/query/macos",
7504.               "enabled" : true
7505.             } ],
7506.             "platformSettings" : [ {
7507.               "platform" : {
7508.                 "catalogVersion" : 230233,
7509.                 "dbVersion" : 2,
7510.                 "id" : "5a1a45c9e4b0401274ab7141",
7511.                 "name" : "macos",
7512.                 "topic" : "/mcafee/mar/agent/query/macos",
7513.                 "enabled" : true
7514.               },
7515.               "utf8Sensitive" : false
7516.             } ],
7517.             "itemType" : "BUILTIN",
7518.             "catalogItems" : [ "COLLECTOR" ]
7519.           },
7520.           "content" : null,
7521.           "arguments" : [ ],
7522.           "utf8Sensitive" : false
7523.         } ],
7524.         "timeout" : 60,
7525.         "outputs" : [ {
7526.           "id" : "58efec8ee4b0c390d69a8ec2",
7527.           "name" : "hostname",
7528.           "type" : "STRING",
7529.           "byDefault" : false,
7530.           "sequence" : 1
7531.         }, {
7532.           "id" : "58efec8ee4b0c390d69a8ec3",
7533.           "name" : "ip_address",
7534.           "type" : "IPV4IPV6",
7535.           "byDefault" : false,
7536.           "sequence" : 2
7537.         }, {
7538.           "id" : "58efec8ee4b0c390d69a8ec4",
7539.           "name" : "os",
7540.           "type" : "STRING",
7541.           "byDefault" : false,
7542.           "sequence" : 3
7543.         }, {
7544.           "id" : "5b3f9b64e4b0dfaf321a6346",
7545.           "name" : "connection_status",
7546.           "type" : "STRING",
7547.           "byDefault" : false,
7548.           "sequence" : 4
7549.         }, {
7550.           "id" : "5b3f9b64e4b0dfaf321a6347",
7551.           "name" : "platform",
7552.           "type" : "STRING",
7553.           "byDefault" : false,
7554.           "sequence" : 5
7555.         } ]
7556.       },
7557.       "sequence" : "1",
7558.       "output" : [ {
7559.         "id" : "58efec8ee4b0c390d69a8ec2",
7560.         "name" : "hostname",
7561.         "type" : "STRING",
7562.         "byDefault" : false,
7563.         "sequence" : 1
7564.       } ]
7565.     }, {
7566.       "collector" : {
7567.         "catalogVersion" : 230233,
7568.         "dbVersion" : 2,
7569.         "id" : "58efec8ee4b0c390d69a8e79",
7570.         "name" : "Processes",
7571.         "description" : "Shows the running processes",
7572.         "type" : "BUILTIN",
7573.         "contents" : [ {
7574.           "platform" : {
7575.             "catalogVersion" : 230233,
7576.             "dbVersion" : 2,
7577.             "id" : "58efec8ee4b0c390d69a8e0f",
7578.             "name" : "linux",
7579.             "topic" : "/mcafee/mar/agent/query/linux",
7580.             "enabled" : true
7581.           },
7582.           "capability" : {
7583.             "catalogVersion" : 230233,
7584.             "dbVersion" : 2,
7585.             "id" : "58efec8ee4b0c390d69a8e10",
7586.             "name" : "Running Processes",
7587.             "description" : "Obtains the list of the running processes",
7588.             "module" : "SystemInfo",
7589.             "function" : "CollectProcess",
7590.             "contentEnabled" : false,
7591.             "arguments" : [ ],
7592.             "outputs" : [ ],
7593.             "formatArgs" : { },
7594.             "format" : "BIN",
7595.             "platforms" : [ {
7596.               "catalogVersion" : 230233,
7597.               "dbVersion" : 2,
7598.               "id" : "58efec8ee4b0c390d69a8e0e",
7599.               "name" : "windows",
7600.               "topic" : "/mcafee/mar/agent/query/windows",
7601.               "enabled" : true
7602.             }, {
7603.               "catalogVersion" : 230233,
7604.               "dbVersion" : 2,
7605.               "id" : "58efec8ee4b0c390d69a8e0f",
7606.               "name" : "linux",
7607.               "topic" : "/mcafee/mar/agent/query/linux",
7608.               "enabled" : true
7609.             }, {
7610.               "catalogVersion" : 230233,
7611.               "dbVersion" : 2,
7612.               "id" : "5a1a45c9e4b0401274ab7141",
7613.               "name" : "macos",
7614.               "topic" : "/mcafee/mar/agent/query/macos",
7615.               "enabled" : true
7616.             } ],
7617.             "platformSettings" : [ {
7618.               "platform" : {
7619.                 "catalogVersion" : 230233,
7620.                 "dbVersion" : 2,
7621.                 "id" : "58efec8ee4b0c390d69a8e0e",
7622.                 "name" : "windows",
7623.                 "topic" : "/mcafee/mar/agent/query/windows",
7624.                 "enabled" : true
7625.               },
7626.               "utf8Sensitive" : false
7627.             }, {
7628.               "platform" : {
7629.                 "catalogVersion" : 230233,
7630.                 "dbVersion" : 2,
7631.                 "id" : "58efec8ee4b0c390d69a8e0f",
7632.                 "name" : "linux",
7633.                 "topic" : "/mcafee/mar/agent/query/linux",
7634.                 "enabled" : true
7635.               },
7636.               "utf8Sensitive" : false
7637.             }, {
7638.               "platform" : {
7639.                 "catalogVersion" : 230233,
7640.                 "dbVersion" : 2,
7641.                 "id" : "5a1a45c9e4b0401274ab7141",
7642.                 "name" : "macos",
7643.                 "topic" : "/mcafee/mar/agent/query/macos",
7644.                 "enabled" : true
7645.               },
7646.               "utf8Sensitive" : false
7647.             } ],
7648.             "itemType" : "BUILTIN",
7649.             "catalogItems" : [ "COLLECTOR" ]
7650.           },
7651.           "content" : null,
7652.           "arguments" : [ ],
7653.           "utf8Sensitive" : false
7654.         }, {
7655.           "platform" : {
7656.             "catalogVersion" : 230233,
7657.             "dbVersion" : 2,
7658.             "id" : "58efec8ee4b0c390d69a8e0e",
7659.             "name" : "windows",
7660.             "topic" : "/mcafee/mar/agent/query/windows",
7661.             "enabled" : true
7662.           },
7663.           "capability" : {
7664.             "catalogVersion" : 230233,
7665.             "dbVersion" : 2,
7666.             "id" : "58efec8ee4b0c390d69a8e10",
7667.             "name" : "Running Processes",
7668.             "description" : "Obtains the list of the running processes",
7669.             "module" : "SystemInfo",
7670.             "function" : "CollectProcess",
7671.             "contentEnabled" : false,
7672.             "arguments" : [ ],
7673.             "outputs" : [ ],
7674.             "formatArgs" : { },
7675.             "format" : "BIN",
7676.             "platforms" : [ {
7677.               "catalogVersion" : 230233,
7678.               "dbVersion" : 2,
7679.               "id" : "58efec8ee4b0c390d69a8e0e",
7680.               "name" : "windows",
7681.               "topic" : "/mcafee/mar/agent/query/windows",
7682.               "enabled" : true
7683.             }, {
7684.               "catalogVersion" : 230233,
7685.               "dbVersion" : 2,
7686.               "id" : "58efec8ee4b0c390d69a8e0f",
7687.               "name" : "linux",
7688.               "topic" : "/mcafee/mar/agent/query/linux",
7689.               "enabled" : true
7690.             }, {
7691.               "catalogVersion" : 230233,
7692.               "dbVersion" : 2,
7693.               "id" : "5a1a45c9e4b0401274ab7141",
7694.               "name" : "macos",
7695.               "topic" : "/mcafee/mar/agent/query/macos",
7696.               "enabled" : true
7697.             } ],
7698.             "platformSettings" : [ {
7699.               "platform" : {
7700.                 "catalogVersion" : 230233,
7701.                 "dbVersion" : 2,
7702.                 "id" : "58efec8ee4b0c390d69a8e0e",
7703.                 "name" : "windows",
7704.                 "topic" : "/mcafee/mar/agent/query/windows",
7705.                 "enabled" : true
7706.               },
7707.               "utf8Sensitive" : false
7708.             }, {
7709.               "platform" : {
7710.                 "catalogVersion" : 230233,
7711.                 "dbVersion" : 2,
7712.                 "id" : "58efec8ee4b0c390d69a8e0f",
7713.                 "name" : "linux",
7714.                 "topic" : "/mcafee/mar/agent/query/linux",
7715.                 "enabled" : true
7716.               },
7717.               "utf8Sensitive" : false
7718.             }, {
7719.               "platform" : {
7720.                 "catalogVersion" : 230233,
7721.                 "dbVersion" : 2,
7722.                 "id" : "5a1a45c9e4b0401274ab7141",
7723.                 "name" : "macos",
7724.                 "topic" : "/mcafee/mar/agent/query/macos",
7725.                 "enabled" : true
7726.               },
7727.               "utf8Sensitive" : false
7728.             } ],
7729.             "itemType" : "BUILTIN",
7730.             "catalogItems" : [ "COLLECTOR" ]
7731.           },
7732.           "content" : null,
7733.           "arguments" : [ ],
7734.           "utf8Sensitive" : false
7735.         }, {
7736.           "platform" : {
7737.             "catalogVersion" : 230233,
7738.             "dbVersion" : 2,
7739.             "id" : "5a1a45c9e4b0401274ab7141",
7740.             "name" : "macos",
7741.             "topic" : "/mcafee/mar/agent/query/macos",
7742.             "enabled" : true
7743.           },
7744.           "capability" : {
7745.             "catalogVersion" : 230233,
7746.             "dbVersion" : 2,
7747.             "id" : "58efec8ee4b0c390d69a8e10",
7748.             "name" : "Running Processes",
7749.             "description" : "Obtains the list of the running processes",
7750.             "module" : "SystemInfo",
7751.             "function" : "CollectProcess",
7752.             "contentEnabled" : false,
7753.             "arguments" : [ ],
7754.             "outputs" : [ ],
7755.             "formatArgs" : { },
7756.             "format" : "BIN",
7757.             "platforms" : [ {
7758.               "catalogVersion" : 230233,
7759.               "dbVersion" : 2,
7760.               "id" : "58efec8ee4b0c390d69a8e0e",
7761.               "name" : "windows",
7762.               "topic" : "/mcafee/mar/agent/query/windows",
7763.               "enabled" : true
7764.             }, {
7765.               "catalogVersion" : 230233,
7766.               "dbVersion" : 2,
7767.               "id" : "58efec8ee4b0c390d69a8e0f",
7768.               "name" : "linux",
7769.               "topic" : "/mcafee/mar/agent/query/linux",
7770.               "enabled" : true
7771.             }, {
7772.               "catalogVersion" : 230233,
7773.               "dbVersion" : 2,
7774.               "id" : "5a1a45c9e4b0401274ab7141",
7775.               "name" : "macos",
7776.               "topic" : "/mcafee/mar/agent/query/macos",
7777.               "enabled" : true
7778.             } ],
7779.             "platformSettings" : [ {
7780.               "platform" : {
7781.                 "catalogVersion" : 230233,
7782.                 "dbVersion" : 2,
7783.                 "id" : "58efec8ee4b0c390d69a8e0e",
7784.                 "name" : "windows",
7785.                 "topic" : "/mcafee/mar/agent/query/windows",
7786.                 "enabled" : true
7787.               },
7788.               "utf8Sensitive" : false
7789.             }, {
7790.               "platform" : {
7791.                 "catalogVersion" : 230233,
7792.                 "dbVersion" : 2,
7793.                 "id" : "58efec8ee4b0c390d69a8e0f",
7794.                 "name" : "linux",
7795.                 "topic" : "/mcafee/mar/agent/query/linux",
7796.                 "enabled" : true
7797.               },
7798.               "utf8Sensitive" : false
7799.             }, {
7800.               "platform" : {
7801.                 "catalogVersion" : 230233,
7802.                 "dbVersion" : 2,
7803.                 "id" : "5a1a45c9e4b0401274ab7141",
7804.                 "name" : "macos",
7805.                 "topic" : "/mcafee/mar/agent/query/macos",
7806.                 "enabled" : true
7807.               },
7808.               "utf8Sensitive" : false
7809.             } ],
7810.             "itemType" : "BUILTIN",
7811.             "catalogItems" : [ "COLLECTOR" ]
7812.           },
7813.           "content" : null,
7814.           "arguments" : [ ],
7815.           "utf8Sensitive" : false
7816.         } ],
7817.         "timeout" : 60,
7818.         "outputs" : [ {
7819.           "id" : "58efec8ee4b0c390d69a8e6a",
7820.           "name" : "name",
7821.           "type" : "STRING",
7822.           "byDefault" : true,
7823.           "sequence" : 1
7824.         }, {
7825.           "id" : "58efec8ee4b0c390d69a8e6b",
7826.           "name" : "id",
7827.           "type" : "NUMBER",
7828.           "byDefault" : false,
7829.           "sequence" : 2
7830.         }, {
7831.           "id" : "58efec8ee4b0c390d69a8e6c",
7832.           "name" : "threadcount",
7833.           "type" : "NUMBER",
7834.           "byDefault" : false,
7835.           "sequence" : 3
7836.         }, {
7837.           "id" : "58efec8ee4b0c390d69a8e6d",
7838.           "name" : "parentid",
7839.           "type" : "NUMBER",
7840.           "byDefault" : false,
7841.           "sequence" : 4
7842.         }, {
7843.           "id" : "58efec8ee4b0c390d69a8e6e",
7844.           "name" : "parentname",
7845.           "type" : "STRING",
7846.           "byDefault" : false,
7847.           "sequence" : 999
7848.         }, {
7849.           "id" : "5a1a45cae4b0401274ab718e",
7850.           "name" : "parentimagepath",
7851.           "type" : "STRING",
7852.           "byDefault" : false,
7853.           "sequence" : 1000
7854.         }, {
7855.           "id" : "5a1a45cae4b0401274ab718f",
7856.           "name" : "file_reputation",
7857.           "type" : "REPUTATION",
7858.           "byDefault" : false,
7859.           "sequence" : 1001
7860.         }, {
7861.           "id" : "5b3f9b64e4b0dfaf321a630e",
7862.           "name" : "process_reputation",
7863.           "type" : "REPUTATION",
7864.           "byDefault" : false,
7865.           "sequence" : 1002
7866.         }, {
7867.           "id" : "5b3f9b64e4b0dfaf321a630f",
7868.           "name" : "started_at",
7869.           "type" : "DATE",
7870.           "byDefault" : false,
7871.           "sequence" : 1003
7872.         }, {
7873.           "id" : "5b3f9b64e4b0dfaf321a6310",
7874.           "name" : "content_size",
7875.           "type" : "NUMBER",
7876.           "byDefault" : false,
7877.           "sequence" : 1004
7878.         }, {
7879.           "id" : "5b3f9b64e4b0dfaf321a6311",
7880.           "name" : "content",
7881.           "type" : "STRING",
7882.           "byDefault" : false,
7883.           "sequence" : 1005
7884.         }, {
7885.           "id" : "5b3f9b64e4b0dfaf321a6312",
7886.           "name" : "content_file",
7887.           "type" : "STRING",
7888.           "byDefault" : false,
7889.           "sequence" : 1006
7890.         }, {
7891.           "id" : "5b3f9b64e4b0dfaf321a6313",
7892.           "name" : "execution_mode",
7893.           "type" : "STRING",
7894.           "byDefault" : false,
7895.           "sequence" : 1007
7896.         }, {
7897.           "id" : "58efec8ee4b0c390d69a8e6f",
7898.           "name" : "size",
7899.           "type" : "NUMBER",
7900.           "byDefault" : false,
7901.           "sequence" : 5
7902.         }, {
7903.           "id" : "58efec8ee4b0c390d69a8e70",
7904.           "name" : "md5",
7905.           "type" : "STRING",
7906.           "byDefault" : true,
7907.           "sequence" : 6
7908.         }, {
7909.           "id" : "58efec8ee4b0c390d69a8e71",
7910.           "name" : "sha1",
7911.           "type" : "STRING",
7912.           "byDefault" : true,
7913.           "sequence" : 7
7914.         }, {
7915.           "id" : "58efec8ee4b0c390d69a8e72",
7916.           "name" : "cmdline",
7917.           "type" : "STRING",
7918.           "byDefault" : true,
7919.           "sequence" : 8
7920.         }, {
7921.           "id" : "58efec8ee4b0c390d69a8e73",
7922.           "name" : "imagepath",
7923.           "type" : "STRING",
7924.           "byDefault" : true,
7925.           "sequence" : 9
7926.         }, {
7927.           "id" : "58efec8ee4b0c390d69a8e74",
7928.           "name" : "kerneltime",
7929.           "type" : "NUMBER",
7930.           "byDefault" : false,
7931.           "sequence" : 10
7932.         }, {
7933.           "id" : "58efec8ee4b0c390d69a8e75",
7934.           "name" : "usertime",
7935.           "type" : "NUMBER",
7936.           "byDefault" : false,
7937.           "sequence" : 11
7938.         }, {
7939.           "id" : "58efec8ee4b0c390d69a8e76",
7940.           "name" : "uptime",
7941.           "type" : "NUMBER",
7942.           "byDefault" : false,
7943.           "sequence" : 12
7944.         }, {
7945.           "id" : "58efec8ee4b0c390d69a8e77",
7946.           "name" : "user",
7947.           "type" : "STRING",
7948.           "byDefault" : false,
7949.           "sequence" : 13
7950.         }, {
7951.           "id" : "58efec8ee4b0c390d69a8e78",
7952.           "name" : "user_id",
7953.           "type" : "STRING",
7954.           "byDefault" : false,
7955.           "sequence" : 14
7956.         }, {
7957.           "id" : "5a1a45cae4b0401274ab7190",
7958.           "name" : "sha256",
7959.           "type" : "STRING",
7960.           "byDefault" : true,
7961.           "sequence" : 15
7962.         }, {
7963.           "id" : "5b3f9b64e4b0dfaf321a6314",
7964.           "name" : "normalized_cmdline",
7965.           "type" : "STRING",
7966.           "byDefault" : false,
7967.           "sequence" : 1009
7968.         }, {
7969.           "id" : "5b3f9b64e4b0dfaf321a6315",
7970.           "name" : "parent_cmdline",
7971.           "type" : "STRING",
7972.           "byDefault" : false,
7973.           "sequence" : 1010
7974.         } ]
7975.       },
7976.       "sequence" : "2",
7977.       "output" : [ ]
7978.     } ],
7979.     "disjunction" : {
7980.       "conjunctions" : [ {
7981.         "terms" : [ {
7982.           "output" : {
7983.             "id" : "58efec8ee4b0c390d69a8e6a",
7984.             "name" : "name",
7985.             "type" : "STRING",
7986.             "byDefault" : true,
7987.             "sequence" : 1
7988.           },
7989.           "operator" : "CONTAINS",
7990.           "value" : "pscp",
7991.           "negated" : false,
7992.           "collector" : {
7993.             "catalogVersion" : 230233,
7994.             "dbVersion" : 2,
7995.             "id" : "58efec8ee4b0c390d69a8e79",
7996.             "name" : "Processes",
7997.             "description" : "Shows the running processes",
7998.             "type" : "BUILTIN",
7999.             "contents" : [ {
8000.               "platform" : {
8001.                 "catalogVersion" : 230233,
8002.                 "dbVersion" : 2,
8003.                 "id" : "58efec8ee4b0c390d69a8e0f",
8004.                 "name" : "linux",
8005.                 "topic" : "/mcafee/mar/agent/query/linux",
8006.                 "enabled" : true
8007.               },
8008.               "capability" : {
8009.                 "catalogVersion" : 230233,
8010.                 "dbVersion" : 2,
8011.                 "id" : "58efec8ee4b0c390d69a8e10",
8012.                 "name" : "Running Processes",
8013.                 "description" : "Obtains the list of the running processes",
8014.                 "module" : "SystemInfo",
8015.                 "function" : "CollectProcess",
8016.                 "contentEnabled" : false,
8017.                 "arguments" : [ ],
8018.                 "outputs" : [ ],
8019.                 "formatArgs" : { },
8020.                 "format" : "BIN",
8021.                 "platforms" : [ {
8022.                   "catalogVersion" : 230233,
8023.                   "dbVersion" : 2,
8024.                   "id" : "58efec8ee4b0c390d69a8e0e",
8025.                   "name" : "windows",
8026.                   "topic" : "/mcafee/mar/agent/query/windows",
8027.                   "enabled" : true
8028.                 }, {
8029.                   "catalogVersion" : 230233,
8030.                   "dbVersion" : 2,
8031.                   "id" : "58efec8ee4b0c390d69a8e0f",
8032.                   "name" : "linux",
8033.                   "topic" : "/mcafee/mar/agent/query/linux",
8034.                   "enabled" : true
8035.                 }, {
8036.                   "catalogVersion" : 230233,
8037.                   "dbVersion" : 2,
8038.                   "id" : "5a1a45c9e4b0401274ab7141",
8039.                   "name" : "macos",
8040.                   "topic" : "/mcafee/mar/agent/query/macos",
8041.                   "enabled" : true
8042.                 } ],
8043.                 "platformSettings" : [ {
8044.                   "platform" : {
8045.                     "catalogVersion" : 230233,
8046.                     "dbVersion" : 2,
8047.                     "id" : "58efec8ee4b0c390d69a8e0e",
8048.                     "name" : "windows",
8049.                     "topic" : "/mcafee/mar/agent/query/windows",
8050.                     "enabled" : true
8051.                   },
8052.                   "utf8Sensitive" : false
8053.                 }, {
8054.                   "platform" : {
8055.                     "catalogVersion" : 230233,
8056.                     "dbVersion" : 2,
8057.                     "id" : "58efec8ee4b0c390d69a8e0f",
8058.                     "name" : "linux",
8059.                     "topic" : "/mcafee/mar/agent/query/linux",
8060.                     "enabled" : true
8061.                   },
8062.                   "utf8Sensitive" : false
8063.                 }, {
8064.                   "platform" : {
8065.                     "catalogVersion" : 230233,
8066.                     "dbVersion" : 2,
8067.                     "id" : "5a1a45c9e4b0401274ab7141",
8068.                     "name" : "macos",
8069.                     "topic" : "/mcafee/mar/agent/query/macos",
8070.                     "enabled" : true
8071.                   },
8072.                   "utf8Sensitive" : false
8073.                 } ],
8074.                 "itemType" : "BUILTIN",
8075.                 "catalogItems" : [ "COLLECTOR" ]
8076.               },
8077.               "content" : null,
8078.               "arguments" : [ ],
8079.               "utf8Sensitive" : false
8080.             }, {
8081.               "platform" : {
8082.                 "catalogVersion" : 230233,
8083.                 "dbVersion" : 2,
8084.                 "id" : "58efec8ee4b0c390d69a8e0e",
8085.                 "name" : "windows",
8086.                 "topic" : "/mcafee/mar/agent/query/windows",
8087.                 "enabled" : true
8088.               },
8089.               "capability" : {
8090.                 "catalogVersion" : 230233,
8091.                 "dbVersion" : 2,
8092.                 "id" : "58efec8ee4b0c390d69a8e10",
8093.                 "name" : "Running Processes",
8094.                 "description" : "Obtains the list of the running processes",
8095.                 "module" : "SystemInfo",
8096.                 "function" : "CollectProcess",
8097.                 "contentEnabled" : false,
8098.                 "arguments" : [ ],
8099.                 "outputs" : [ ],
8100.                 "formatArgs" : { },
8101.                 "format" : "BIN",
8102.                 "platforms" : [ {
8103.                   "catalogVersion" : 230233,
8104.                   "dbVersion" : 2,
8105.                   "id" : "58efec8ee4b0c390d69a8e0e",
8106.                   "name" : "windows",
8107.                   "topic" : "/mcafee/mar/agent/query/windows",
8108.                   "enabled" : true
8109.                 }, {
8110.                   "catalogVersion" : 230233,
8111.                   "dbVersion" : 2,
8112.                   "id" : "58efec8ee4b0c390d69a8e0f",
8113.                   "name" : "linux",
8114.                   "topic" : "/mcafee/mar/agent/query/linux",
8115.                   "enabled" : true
8116.                 }, {
8117.                   "catalogVersion" : 230233,
8118.                   "dbVersion" : 2,
8119.                   "id" : "5a1a45c9e4b0401274ab7141",
8120.                   "name" : "macos",
8121.                   "topic" : "/mcafee/mar/agent/query/macos",
8122.                   "enabled" : true
8123.                 } ],
8124.                 "platformSettings" : [ {
8125.                   "platform" : {
8126.                     "catalogVersion" : 230233,
8127.                     "dbVersion" : 2,
8128.                     "id" : "58efec8ee4b0c390d69a8e0e",
8129.                     "name" : "windows",
8130.                     "topic" : "/mcafee/mar/agent/query/windows",
8131.                     "enabled" : true
8132.                   },
8133.                   "utf8Sensitive" : false
8134.                 }, {
8135.                   "platform" : {
8136.                     "catalogVersion" : 230233,
8137.                     "dbVersion" : 2,
8138.                     "id" : "58efec8ee4b0c390d69a8e0f",
8139.                     "name" : "linux",
8140.                     "topic" : "/mcafee/mar/agent/query/linux",
8141.                     "enabled" : true
8142.                   },
8143.                   "utf8Sensitive" : false
8144.                 }, {
8145.                   "platform" : {
8146.                     "catalogVersion" : 230233,
8147.                     "dbVersion" : 2,
8148.                     "id" : "5a1a45c9e4b0401274ab7141",
8149.                     "name" : "macos",
8150.                     "topic" : "/mcafee/mar/agent/query/macos",
8151.                     "enabled" : true
8152.                   },
8153.                   "utf8Sensitive" : false
8154.                 } ],
8155.                 "itemType" : "BUILTIN",
8156.                 "catalogItems" : [ "COLLECTOR" ]
8157.               },
8158.               "content" : null,
8159.               "arguments" : [ ],
8160.               "utf8Sensitive" : false
8161.             }, {
8162.               "platform" : {
8163.                 "catalogVersion" : 230233,
8164.                 "dbVersion" : 2,
8165.                 "id" : "5a1a45c9e4b0401274ab7141",
8166.                 "name" : "macos",
8167.                 "topic" : "/mcafee/mar/agent/query/macos",
8168.                 "enabled" : true
8169.               },
8170.               "capability" : {
8171.                 "catalogVersion" : 230233,
8172.                 "dbVersion" : 2,
8173.                 "id" : "58efec8ee4b0c390d69a8e10",
8174.                 "name" : "Running Processes",
8175.                 "description" : "Obtains the list of the running processes",
8176.                 "module" : "SystemInfo",
8177.                 "function" : "CollectProcess",
8178.                 "contentEnabled" : false,
8179.                 "arguments" : [ ],
8180.                 "outputs" : [ ],
8181.                 "formatArgs" : { },
8182.                 "format" : "BIN",
8183.                 "platforms" : [ {
8184.                   "catalogVersion" : 230233,
8185.                   "dbVersion" : 2,
8186.                   "id" : "58efec8ee4b0c390d69a8e0e",
8187.                   "name" : "windows",
8188.                   "topic" : "/mcafee/mar/agent/query/windows",
8189.                   "enabled" : true
8190.                 }, {
8191.                   "catalogVersion" : 230233,
8192.                   "dbVersion" : 2,
8193.                   "id" : "58efec8ee4b0c390d69a8e0f",
8194.                   "name" : "linux",
8195.                   "topic" : "/mcafee/mar/agent/query/linux",
8196.                   "enabled" : true
8197.                 }, {
8198.                   "catalogVersion" : 230233,
8199.                   "dbVersion" : 2,
8200.                   "id" : "5a1a45c9e4b0401274ab7141",
8201.                   "name" : "macos",
8202.                   "topic" : "/mcafee/mar/agent/query/macos",
8203.                   "enabled" : true
8204.                 } ],
8205.                 "platformSettings" : [ {
8206.                   "platform" : {
8207.                     "catalogVersion" : 230233,
8208.                     "dbVersion" : 2,
8209.                     "id" : "58efec8ee4b0c390d69a8e0e",
8210.                     "name" : "windows",
8211.                     "topic" : "/mcafee/mar/agent/query/windows",
8212.                     "enabled" : true
8213.                   },
8214.                   "utf8Sensitive" : false
8215.                 }, {
8216.                   "platform" : {
8217.                     "catalogVersion" : 230233,
8218.                     "dbVersion" : 2,
8219.                     "id" : "58efec8ee4b0c390d69a8e0f",
8220.                     "name" : "linux",
8221.                     "topic" : "/mcafee/mar/agent/query/linux",
8222.                     "enabled" : true
8223.                   },
8224.                   "utf8Sensitive" : false
8225.                 }, {
8226.                   "platform" : {
8227.                     "catalogVersion" : 230233,
8228.                     "dbVersion" : 2,
8229.                     "id" : "5a1a45c9e4b0401274ab7141",
8230.                     "name" : "macos",
8231.                     "topic" : "/mcafee/mar/agent/query/macos",
8232.                     "enabled" : true
8233.                   },
8234.                   "utf8Sensitive" : false
8235.                 } ],
8236.                 "itemType" : "BUILTIN",
8237.                 "catalogItems" : [ "COLLECTOR" ]
8238.               },
8239.               "content" : null,
8240.               "arguments" : [ ],
8241.               "utf8Sensitive" : false
8242.             } ],
8243.             "timeout" : 60,
8244.             "outputs" : [ {
8245.               "id" : "58efec8ee4b0c390d69a8e6a",
8246.               "name" : "name",
8247.               "type" : "STRING",
8248.               "byDefault" : true,
8249.               "sequence" : 1
8250.             }, {
8251.               "id" : "58efec8ee4b0c390d69a8e6b",
8252.               "name" : "id",
8253.               "type" : "NUMBER",
8254.               "byDefault" : false,
8255.               "sequence" : 2
8256.             }, {
8257.               "id" : "58efec8ee4b0c390d69a8e6c",
8258.               "name" : "threadcount",
8259.               "type" : "NUMBER",
8260.               "byDefault" : false,
8261.               "sequence" : 3
8262.             }, {
8263.               "id" : "58efec8ee4b0c390d69a8e6d",
8264.               "name" : "parentid",
8265.               "type" : "NUMBER",
8266.               "byDefault" : false,
8267.               "sequence" : 4
8268.             }, {
8269.               "id" : "58efec8ee4b0c390d69a8e6e",
8270.               "name" : "parentname",
8271.               "type" : "STRING",
8272.               "byDefault" : false,
8273.               "sequence" : 999
8274.             }, {
8275.               "id" : "5a1a45cae4b0401274ab718e",
8276.               "name" : "parentimagepath",
8277.               "type" : "STRING",
8278.               "byDefault" : false,
8279.               "sequence" : 1000
8280.             }, {
8281.               "id" : "5a1a45cae4b0401274ab718f",
8282.               "name" : "file_reputation",
8283.               "type" : "REPUTATION",
8284.               "byDefault" : false,
8285.               "sequence" : 1001
8286.             }, {
8287.               "id" : "5b3f9b64e4b0dfaf321a630e",
8288.               "name" : "process_reputation",
8289.               "type" : "REPUTATION",
8290.               "byDefault" : false,
8291.               "sequence" : 1002
8292.             }, {
8293.               "id" : "5b3f9b64e4b0dfaf321a630f",
8294.               "name" : "started_at",
8295.               "type" : "DATE",
8296.               "byDefault" : false,
8297.               "sequence" : 1003
8298.             }, {
8299.               "id" : "5b3f9b64e4b0dfaf321a6310",
8300.               "name" : "content_size",
8301.               "type" : "NUMBER",
8302.               "byDefault" : false,
8303.               "sequence" : 1004
8304.             }, {
8305.               "id" : "5b3f9b64e4b0dfaf321a6311",
8306.               "name" : "content",
8307.               "type" : "STRING",
8308.               "byDefault" : false,
8309.               "sequence" : 1005
8310.             }, {
8311.               "id" : "5b3f9b64e4b0dfaf321a6312",
8312.               "name" : "content_file",
8313.               "type" : "STRING",
8314.               "byDefault" : false,
8315.               "sequence" : 1006
8316.             }, {
8317.               "id" : "5b3f9b64e4b0dfaf321a6313",
8318.               "name" : "execution_mode",
8319.               "type" : "STRING",
8320.               "byDefault" : false,
8321.               "sequence" : 1007
8322.             }, {
8323.               "id" : "58efec8ee4b0c390d69a8e6f",
8324.               "name" : "size",
8325.               "type" : "NUMBER",
8326.               "byDefault" : false,
8327.               "sequence" : 5
8328.             }, {
8329.               "id" : "58efec8ee4b0c390d69a8e70",
8330.               "name" : "md5",
8331.               "type" : "STRING",
8332.               "byDefault" : true,
8333.               "sequence" : 6
8334.             }, {
8335.               "id" : "58efec8ee4b0c390d69a8e71",
8336.               "name" : "sha1",
8337.               "type" : "STRING",
8338.               "byDefault" : true,
8339.               "sequence" : 7
8340.             }, {
8341.               "id" : "58efec8ee4b0c390d69a8e72",
8342.               "name" : "cmdline",
8343.               "type" : "STRING",
8344.               "byDefault" : true,
8345.               "sequence" : 8
8346.             }, {
8347.               "id" : "58efec8ee4b0c390d69a8e73",
8348.               "name" : "imagepath",
8349.               "type" : "STRING",
8350.               "byDefault" : true,
8351.               "sequence" : 9
8352.             }, {
8353.               "id" : "58efec8ee4b0c390d69a8e74",
8354.               "name" : "kerneltime",
8355.               "type" : "NUMBER",
8356.               "byDefault" : false,
8357.               "sequence" : 10
8358.             }, {
8359.               "id" : "58efec8ee4b0c390d69a8e75",
8360.               "name" : "usertime",
8361.               "type" : "NUMBER",
8362.               "byDefault" : false,
8363.               "sequence" : 11
8364.             }, {
8365.               "id" : "58efec8ee4b0c390d69a8e76",
8366.               "name" : "uptime",
8367.               "type" : "NUMBER",
8368.               "byDefault" : false,
8369.               "sequence" : 12
8370.             }, {
8371.               "id" : "58efec8ee4b0c390d69a8e77",
8372.               "name" : "user",
8373.               "type" : "STRING",
8374.               "byDefault" : false,
8375.               "sequence" : 13
8376.             }, {
8377.               "id" : "58efec8ee4b0c390d69a8e78",
8378.               "name" : "user_id",
8379.               "type" : "STRING",
8380.               "byDefault" : false,
8381.               "sequence" : 14
8382.             }, {
8383.               "id" : "5a1a45cae4b0401274ab7190",
8384.               "name" : "sha256",
8385.               "type" : "STRING",
8386.               "byDefault" : true,
8387.               "sequence" : 15
8388.             }, {
8389.               "id" : "5b3f9b64e4b0dfaf321a6314",
8390.               "name" : "normalized_cmdline",
8391.               "type" : "STRING",
8392.               "byDefault" : false,
8393.               "sequence" : 1009
8394.             }, {
8395.               "id" : "5b3f9b64e4b0dfaf321a6315",
8396.               "name" : "parent_cmdline",
8397.               "type" : "STRING",
8398.               "byDefault" : false,
8399.               "sequence" : 1010
8400.             } ]
8401.           }
8402.         } ]
8403.       } ]
8404.     },
8405.     "running" : false,
8406.     "createdAt" : 1530900630283,
8407.     "executedAt" : null,
8408.     "status" : "CREATED",
8409.     "ttl" : 60000,
8410.     "startTime" : null,
8411.     "endpointPermission" : null,
8412.     "maGuidsTarget" : null,
8413.     "expectedHostResponses" : 0
8414.   },
8415.   "type" : "com.intel.mar.model.search.Search"
8416. }, {
8417.   "item" : {
8418.     "catalogVersion" : 1,
8419.     "dbVersion" : 2,
8420.     "id" : "5b3fb096e4b0cbe06dd6731c",
8421.     "name" : "Manual Proxy Settings Enabled",
8422.     "description" : "",
8423.     "type" : null,
8424.     "expression" : null,
8425.     "temporal" : false,
8426.     "invalid" : false,
8427.     "aggregated" : false,
8428.     "projections" : [ {
8429.       "collector" : {
8430.         "catalogVersion" : 230233,
8431.         "dbVersion" : 2,
8432.         "id" : "58efec8ee4b0c390d69a8ec5",
8433.         "name" : "HostInfo",
8434.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
8435.         "type" : "BUILTIN",
8436.         "contents" : [ {
8437.           "platform" : {
8438.             "catalogVersion" : 230233,
8439.             "dbVersion" : 2,
8440.             "id" : "58efec8ee4b0c390d69a8e0f",
8441.             "name" : "linux",
8442.             "topic" : "/mcafee/mar/agent/query/linux",
8443.             "enabled" : true
8444.           },
8445.           "capability" : {
8446.             "catalogVersion" : 230233,
8447.             "dbVersion" : 2,
8448.             "id" : "58efec8ee4b0c390d69a8e14",
8449.             "name" : "Bash Script",
8450.             "description" : "Executes Bash script on target client",
8451.             "module" : "SystemRuntime",
8452.             "function" : "executeBash",
8453.             "contentEnabled" : true,
8454.             "arguments" : [ ],
8455.             "outputs" : [ ],
8456.             "formatArgs" : {
8457.               "hasHeaders" : false,
8458.               "delimiter" : ","
8459.             },
8460.             "format" : "CSV",
8461.             "platforms" : [ {
8462.               "catalogVersion" : 230233,
8463.               "dbVersion" : 2,
8464.               "id" : "58efec8ee4b0c390d69a8e0f",
8465.               "name" : "linux",
8466.               "topic" : "/mcafee/mar/agent/query/linux",
8467.               "enabled" : true
8468.             }, {
8469.               "catalogVersion" : 230233,
8470.               "dbVersion" : 2,
8471.               "id" : "5a1a45c9e4b0401274ab7141",
8472.               "name" : "macos",
8473.               "topic" : "/mcafee/mar/agent/query/macos",
8474.               "enabled" : true
8475.             } ],
8476.             "platformSettings" : [ {
8477.               "platform" : {
8478.                 "catalogVersion" : 230233,
8479.                 "dbVersion" : 2,
8480.                 "id" : "58efec8ee4b0c390d69a8e0f",
8481.                 "name" : "linux",
8482.                 "topic" : "/mcafee/mar/agent/query/linux",
8483.                 "enabled" : true
8484.               },
8485.               "utf8Sensitive" : false
8486.             }, {
8487.               "platform" : {
8488.                 "catalogVersion" : 230233,
8489.                 "dbVersion" : 2,
8490.                 "id" : "5a1a45c9e4b0401274ab7141",
8491.                 "name" : "macos",
8492.                 "topic" : "/mcafee/mar/agent/query/macos",
8493.                 "enabled" : true
8494.               },
8495.               "utf8Sensitive" : false
8496.             } ],
8497.             "itemType" : "CUSTOM",
8498.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
8499.           },
8500.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
8501.           "arguments" : [ ],
8502.           "utf8Sensitive" : false
8503.         }, {
8504.           "platform" : {
8505.             "catalogVersion" : 230233,
8506.             "dbVersion" : 2,
8507.             "id" : "58efec8ee4b0c390d69a8e0e",
8508.             "name" : "windows",
8509.             "topic" : "/mcafee/mar/agent/query/windows",
8510.             "enabled" : true
8511.           },
8512.           "capability" : {
8513.             "catalogVersion" : 230233,
8514.             "dbVersion" : 2,
8515.             "id" : "58efec8ee4b0c390d69a8e12",
8516.             "name" : "Visual Basic Script",
8517.             "description" : "Executes VBS script on target client",
8518.             "module" : "SystemRuntime",
8519.             "function" : "executeVBS",
8520.             "contentEnabled" : true,
8521.             "arguments" : [ ],
8522.             "outputs" : [ ],
8523.             "formatArgs" : {
8524.               "hasHeaders" : false,
8525.               "delimiter" : ","
8526.             },
8527.             "format" : "CSV",
8528.             "platforms" : [ {
8529.               "catalogVersion" : 230233,
8530.               "dbVersion" : 2,
8531.               "id" : "58efec8ee4b0c390d69a8e0e",
8532.               "name" : "windows",
8533.               "topic" : "/mcafee/mar/agent/query/windows",
8534.               "enabled" : true
8535.             } ],
8536.             "platformSettings" : [ {
8537.               "platform" : {
8538.                 "catalogVersion" : 230233,
8539.                 "dbVersion" : 2,
8540.                 "id" : "58efec8ee4b0c390d69a8e0e",
8541.                 "name" : "windows",
8542.                 "topic" : "/mcafee/mar/agent/query/windows",
8543.                 "enabled" : true
8544.               },
8545.               "utf8Sensitive" : false
8546.             } ],
8547.             "itemType" : "CUSTOM",
8548.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
8549.           },
8550.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
8551.           "arguments" : [ ],
8552.           "utf8Sensitive" : false
8553.         }, {
8554.           "platform" : {
8555.             "catalogVersion" : 230233,
8556.             "dbVersion" : 2,
8557.             "id" : "5a1a45c9e4b0401274ab7141",
8558.             "name" : "macos",
8559.             "topic" : "/mcafee/mar/agent/query/macos",
8560.             "enabled" : true
8561.           },
8562.           "capability" : {
8563.             "catalogVersion" : 230233,
8564.             "dbVersion" : 2,
8565.             "id" : "5a1a45cae4b0401274ab7183",
8566.             "name" : "HostInfo SysInfo",
8567.             "description" : "Shows Hostname, 1st IP Address and OS version",
8568.             "module" : "SysInfo",
8569.             "function" : "HostInfo",
8570.             "contentEnabled" : false,
8571.             "arguments" : [ ],
8572.             "outputs" : [ ],
8573.             "formatArgs" : { },
8574.             "format" : "BIN",
8575.             "platforms" : [ {
8576.               "catalogVersion" : 230233,
8577.               "dbVersion" : 2,
8578.               "id" : "5a1a45c9e4b0401274ab7141",
8579.               "name" : "macos",
8580.               "topic" : "/mcafee/mar/agent/query/macos",
8581.               "enabled" : true
8582.             } ],
8583.             "platformSettings" : [ {
8584.               "platform" : {
8585.                 "catalogVersion" : 230233,
8586.                 "dbVersion" : 2,
8587.                 "id" : "5a1a45c9e4b0401274ab7141",
8588.                 "name" : "macos",
8589.                 "topic" : "/mcafee/mar/agent/query/macos",
8590.                 "enabled" : true
8591.               },
8592.               "utf8Sensitive" : false
8593.             } ],
8594.             "itemType" : "BUILTIN",
8595.             "catalogItems" : [ "COLLECTOR" ]
8596.           },
8597.           "content" : null,
8598.           "arguments" : [ ],
8599.           "utf8Sensitive" : false
8600.         } ],
8601.         "timeout" : 60,
8602.         "outputs" : [ {
8603.           "id" : "58efec8ee4b0c390d69a8ec2",
8604.           "name" : "hostname",
8605.           "type" : "STRING",
8606.           "byDefault" : false,
8607.           "sequence" : 1
8608.         }, {
8609.           "id" : "58efec8ee4b0c390d69a8ec3",
8610.           "name" : "ip_address",
8611.           "type" : "IPV4IPV6",
8612.           "byDefault" : false,
8613.           "sequence" : 2
8614.         }, {
8615.           "id" : "58efec8ee4b0c390d69a8ec4",
8616.           "name" : "os",
8617.           "type" : "STRING",
8618.           "byDefault" : false,
8619.           "sequence" : 3
8620.         }, {
8621.           "id" : "5b3f9b64e4b0dfaf321a6346",
8622.           "name" : "connection_status",
8623.           "type" : "STRING",
8624.           "byDefault" : false,
8625.           "sequence" : 4
8626.         }, {
8627.           "id" : "5b3f9b64e4b0dfaf321a6347",
8628.           "name" : "platform",
8629.           "type" : "STRING",
8630.           "byDefault" : false,
8631.           "sequence" : 5
8632.         } ]
8633.       },
8634.       "sequence" : "1",
8635.       "output" : [ {
8636.         "id" : "58efec8ee4b0c390d69a8ec2",
8637.         "name" : "hostname",
8638.         "type" : "STRING",
8639.         "byDefault" : false,
8640.         "sequence" : 1
8641.       }, {
8642.         "id" : "58efec8ee4b0c390d69a8ec3",
8643.         "name" : "ip_address",
8644.         "type" : "IPV4IPV6",
8645.         "byDefault" : false,
8646.         "sequence" : 2
8647.       } ]
8648.     }, {
8649.       "collector" : {
8650.         "catalogVersion" : 230233,
8651.         "dbVersion" : 2,
8652.         "id" : "58efec8ee4b0c390d69a8ea9",
8653.         "name" : "WinRegistry",
8654.         "description" : "Shows the registries keys",
8655.         "type" : "BUILTIN",
8656.         "contents" : [ {
8657.           "platform" : {
8658.             "catalogVersion" : 230233,
8659.             "dbVersion" : 2,
8660.             "id" : "58efec8ee4b0c390d69a8e0e",
8661.             "name" : "windows",
8662.             "topic" : "/mcafee/mar/agent/query/windows",
8663.             "enabled" : true
8664.           },
8665.           "capability" : {
8666.             "catalogVersion" : 230233,
8667.             "dbVersion" : 2,
8668.             "id" : "58efec8ee4b0c390d69a8e31",
8669.             "name" : "WinRegistry",
8670.             "description" : "Gets registry key info",
8671.             "module" : "WinRegistry",
8672.             "function" : "FindRegistry",
8673.             "contentEnabled" : false,
8674.             "arguments" : [ ],
8675.             "outputs" : [ ],
8676.             "formatArgs" : { },
8677.             "format" : "BIN",
8678.             "platforms" : [ {
8679.               "catalogVersion" : 230233,
8680.               "dbVersion" : 2,
8681.               "id" : "58efec8ee4b0c390d69a8e0e",
8682.               "name" : "windows",
8683.               "topic" : "/mcafee/mar/agent/query/windows",
8684.               "enabled" : true
8685.             } ],
8686.             "platformSettings" : [ {
8687.               "platform" : {
8688.                 "catalogVersion" : 230233,
8689.                 "dbVersion" : 2,
8690.                 "id" : "58efec8ee4b0c390d69a8e0e",
8691.                 "name" : "windows",
8692.                 "topic" : "/mcafee/mar/agent/query/windows",
8693.                 "enabled" : true
8694.               },
8695.               "utf8Sensitive" : false
8696.             } ],
8697.             "itemType" : "BUILTIN",
8698.             "catalogItems" : [ "COLLECTOR" ]
8699.           },
8700.           "content" : null,
8701.           "arguments" : [ ],
8702.           "utf8Sensitive" : false
8703.         }, {
8704.           "platform" : {
8705.             "catalogVersion" : 230233,
8706.             "dbVersion" : 2,
8707.             "id" : "58efec8ee4b0c390d69a8e0f",
8708.             "name" : "linux",
8709.             "topic" : "/mcafee/mar/agent/query/linux",
8710.             "enabled" : true
8711.           },
8712.           "capability" : {
8713.             "catalogVersion" : 230233,
8714.             "dbVersion" : 2,
8715.             "id" : "58efec8ee4b0c390d69a8e51",
8716.             "name" : "NotAvailable",
8717.             "description" : "Capability not available",
8718.             "module" : "Internal",
8719.             "function" : "GetFalseResult",
8720.             "contentEnabled" : false,
8721.             "arguments" : [ ],
8722.             "outputs" : [ ],
8723.             "formatArgs" : { },
8724.             "format" : "BIN",
8725.             "platforms" : [ {
8726.               "catalogVersion" : 230233,
8727.               "dbVersion" : 2,
8728.               "id" : "58efec8ee4b0c390d69a8e0e",
8729.               "name" : "windows",
8730.               "topic" : "/mcafee/mar/agent/query/windows",
8731.               "enabled" : true
8732.             }, {
8733.               "catalogVersion" : 230233,
8734.               "dbVersion" : 2,
8735.               "id" : "58efec8ee4b0c390d69a8e0f",
8736.               "name" : "linux",
8737.               "topic" : "/mcafee/mar/agent/query/linux",
8738.               "enabled" : true
8739.             } ],
8740.             "platformSettings" : [ ],
8741.             "itemType" : "BUILTIN",
8742.             "catalogItems" : [ ]
8743.           },
8744.           "content" : null,
8745.           "arguments" : [ ],
8746.           "utf8Sensitive" : false
8747.         }, {
8748.           "platform" : {
8749.             "catalogVersion" : 230233,
8750.             "dbVersion" : 2,
8751.             "id" : "5a1a45c9e4b0401274ab7141",
8752.             "name" : "macos",
8753.             "topic" : "/mcafee/mar/agent/query/macos",
8754.             "enabled" : true
8755.           },
8756.           "capability" : {
8757.             "catalogVersion" : 230233,
8758.             "dbVersion" : 2,
8759.             "id" : "58efec8ee4b0c390d69a8e51",
8760.             "name" : "NotAvailable",
8761.             "description" : "Capability not available",
8762.             "module" : "Internal",
8763.             "function" : "GetFalseResult",
8764.             "contentEnabled" : false,
8765.             "arguments" : [ ],
8766.             "outputs" : [ ],
8767.             "formatArgs" : { },
8768.             "format" : "BIN",
8769.             "platforms" : [ {
8770.               "catalogVersion" : 230233,
8771.               "dbVersion" : 2,
8772.               "id" : "58efec8ee4b0c390d69a8e0e",
8773.               "name" : "windows",
8774.               "topic" : "/mcafee/mar/agent/query/windows",
8775.               "enabled" : true
8776.             }, {
8777.               "catalogVersion" : 230233,
8778.               "dbVersion" : 2,
8779.               "id" : "58efec8ee4b0c390d69a8e0f",
8780.               "name" : "linux",
8781.               "topic" : "/mcafee/mar/agent/query/linux",
8782.               "enabled" : true
8783.             } ],
8784.             "platformSettings" : [ ],
8785.             "itemType" : "BUILTIN",
8786.             "catalogItems" : [ ]
8787.           },
8788.           "content" : null,
8789.           "arguments" : null,
8790.           "utf8Sensitive" : false
8791.         } ],
8792.         "timeout" : 60,
8793.         "outputs" : [ {
8794.           "id" : "58efec8ee4b0c390d69a8ea5",
8795.           "name" : "keypath",
8796.           "type" : "REG_PATH",
8797.           "byDefault" : false,
8798.           "sequence" : 1
8799.         }, {
8800.           "id" : "58efec8ee4b0c390d69a8ea6",
8801.           "name" : "keyvalue",
8802.           "type" : "REG_STR",
8803.           "byDefault" : false,
8804.           "sequence" : 2
8805.         }, {
8806.           "id" : "58efec8ee4b0c390d69a8ea7",
8807.           "name" : "valuedata",
8808.           "type" : "REG_STR",
8809.           "byDefault" : false,
8810.           "sequence" : 3
8811.         }, {
8812.           "id" : "58efec8ee4b0c390d69a8ea8",
8813.           "name" : "valuetype",
8814.           "type" : "REG_STR",
8815.           "byDefault" : false,
8816.           "sequence" : 4
8817.         } ]
8818.       },
8819.       "sequence" : "2",
8820.       "output" : [ ]
8821.     } ],
8822.     "disjunction" : {
8823.       "conjunctions" : [ {
8824.         "terms" : [ {
8825.           "output" : {
8826.             "id" : "58efec8ee4b0c390d69a8ea5",
8827.             "name" : "keypath",
8828.             "type" : "REG_PATH",
8829.             "byDefault" : false,
8830.             "sequence" : 1
8831.           },
8832.           "operator" : "EQUALS",
8833.           "value" : "HKCU\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\INTERNET SETTINGS",
8834.           "negated" : false,
8835.           "collector" : {
8836.             "catalogVersion" : 230233,
8837.             "dbVersion" : 2,
8838.             "id" : "58efec8ee4b0c390d69a8ea9",
8839.             "name" : "WinRegistry",
8840.             "description" : "Shows the registries keys",
8841.             "type" : "BUILTIN",
8842.             "contents" : [ {
8843.               "platform" : {
8844.                 "catalogVersion" : 230233,
8845.                 "dbVersion" : 2,
8846.                 "id" : "58efec8ee4b0c390d69a8e0e",
8847.                 "name" : "windows",
8848.                 "topic" : "/mcafee/mar/agent/query/windows",
8849.                 "enabled" : true
8850.               },
8851.               "capability" : {
8852.                 "catalogVersion" : 230233,
8853.                 "dbVersion" : 2,
8854.                 "id" : "58efec8ee4b0c390d69a8e31",
8855.                 "name" : "WinRegistry",
8856.                 "description" : "Gets registry key info",
8857.                 "module" : "WinRegistry",
8858.                 "function" : "FindRegistry",
8859.                 "contentEnabled" : false,
8860.                 "arguments" : [ ],
8861.                 "outputs" : [ ],
8862.                 "formatArgs" : { },
8863.                 "format" : "BIN",
8864.                 "platforms" : [ {
8865.                   "catalogVersion" : 230233,
8866.                   "dbVersion" : 2,
8867.                   "id" : "58efec8ee4b0c390d69a8e0e",
8868.                   "name" : "windows",
8869.                   "topic" : "/mcafee/mar/agent/query/windows",
8870.                   "enabled" : true
8871.                 } ],
8872.                 "platformSettings" : [ {
8873.                   "platform" : {
8874.                     "catalogVersion" : 230233,
8875.                     "dbVersion" : 2,
8876.                     "id" : "58efec8ee4b0c390d69a8e0e",
8877.                     "name" : "windows",
8878.                     "topic" : "/mcafee/mar/agent/query/windows",
8879.                     "enabled" : true
8880.                   },
8881.                   "utf8Sensitive" : false
8882.                 } ],
8883.                 "itemType" : "BUILTIN",
8884.                 "catalogItems" : [ "COLLECTOR" ]
8885.               },
8886.               "content" : null,
8887.               "arguments" : [ ],
8888.               "utf8Sensitive" : false
8889.             }, {
8890.               "platform" : {
8891.                 "catalogVersion" : 230233,
8892.                 "dbVersion" : 2,
8893.                 "id" : "58efec8ee4b0c390d69a8e0f",
8894.                 "name" : "linux",
8895.                 "topic" : "/mcafee/mar/agent/query/linux",
8896.                 "enabled" : true
8897.               },
8898.               "capability" : {
8899.                 "catalogVersion" : 230233,
8900.                 "dbVersion" : 2,
8901.                 "id" : "58efec8ee4b0c390d69a8e51",
8902.                 "name" : "NotAvailable",
8903.                 "description" : "Capability not available",
8904.                 "module" : "Internal",
8905.                 "function" : "GetFalseResult",
8906.                 "contentEnabled" : false,
8907.                 "arguments" : [ ],
8908.                 "outputs" : [ ],
8909.                 "formatArgs" : { },
8910.                 "format" : "BIN",
8911.                 "platforms" : [ {
8912.                   "catalogVersion" : 230233,
8913.                   "dbVersion" : 2,
8914.                   "id" : "58efec8ee4b0c390d69a8e0e",
8915.                   "name" : "windows",
8916.                   "topic" : "/mcafee/mar/agent/query/windows",
8917.                   "enabled" : true
8918.                 }, {
8919.                   "catalogVersion" : 230233,
8920.                   "dbVersion" : 2,
8921.                   "id" : "58efec8ee4b0c390d69a8e0f",
8922.                   "name" : "linux",
8923.                   "topic" : "/mcafee/mar/agent/query/linux",
8924.                   "enabled" : true
8925.                 } ],
8926.                 "platformSettings" : [ ],
8927.                 "itemType" : "BUILTIN",
8928.                 "catalogItems" : [ ]
8929.               },
8930.               "content" : null,
8931.               "arguments" : [ ],
8932.               "utf8Sensitive" : false
8933.             }, {
8934.               "platform" : {
8935.                 "catalogVersion" : 230233,
8936.                 "dbVersion" : 2,
8937.                 "id" : "5a1a45c9e4b0401274ab7141",
8938.                 "name" : "macos",
8939.                 "topic" : "/mcafee/mar/agent/query/macos",
8940.                 "enabled" : true
8941.               },
8942.               "capability" : {
8943.                 "catalogVersion" : 230233,
8944.                 "dbVersion" : 2,
8945.                 "id" : "58efec8ee4b0c390d69a8e51",
8946.                 "name" : "NotAvailable",
8947.                 "description" : "Capability not available",
8948.                 "module" : "Internal",
8949.                 "function" : "GetFalseResult",
8950.                 "contentEnabled" : false,
8951.                 "arguments" : [ ],
8952.                 "outputs" : [ ],
8953.                 "formatArgs" : { },
8954.                 "format" : "BIN",
8955.                 "platforms" : [ {
8956.                   "catalogVersion" : 230233,
8957.                   "dbVersion" : 2,
8958.                   "id" : "58efec8ee4b0c390d69a8e0e",
8959.                   "name" : "windows",
8960.                   "topic" : "/mcafee/mar/agent/query/windows",
8961.                   "enabled" : true
8962.                 }, {
8963.                   "catalogVersion" : 230233,
8964.                   "dbVersion" : 2,
8965.                   "id" : "58efec8ee4b0c390d69a8e0f",
8966.                   "name" : "linux",
8967.                   "topic" : "/mcafee/mar/agent/query/linux",
8968.                   "enabled" : true
8969.                 } ],
8970.                 "platformSettings" : [ ],
8971.                 "itemType" : "BUILTIN",
8972.                 "catalogItems" : [ ]
8973.               },
8974.               "content" : null,
8975.               "arguments" : null,
8976.               "utf8Sensitive" : false
8977.             } ],
8978.             "timeout" : 60,
8979.             "outputs" : [ {
8980.               "id" : "58efec8ee4b0c390d69a8ea5",
8981.               "name" : "keypath",
8982.               "type" : "REG_PATH",
8983.               "byDefault" : false,
8984.               "sequence" : 1
8985.             }, {
8986.               "id" : "58efec8ee4b0c390d69a8ea6",
8987.               "name" : "keyvalue",
8988.               "type" : "REG_STR",
8989.               "byDefault" : false,
8990.               "sequence" : 2
8991.             }, {
8992.               "id" : "58efec8ee4b0c390d69a8ea7",
8993.               "name" : "valuedata",
8994.               "type" : "REG_STR",
8995.               "byDefault" : false,
8996.               "sequence" : 3
8997.             }, {
8998.               "id" : "58efec8ee4b0c390d69a8ea8",
8999.               "name" : "valuetype",
9000.               "type" : "REG_STR",
9001.               "byDefault" : false,
9002.               "sequence" : 4
9003.             } ]
9004.           }
9005.         }, {
9006.           "output" : {
9007.             "id" : "58efec8ee4b0c390d69a8ea6",
9008.             "name" : "keyvalue",
9009.             "type" : "REG_STR",
9010.             "byDefault" : false,
9011.             "sequence" : 2
9012.           },
9013.           "operator" : "EQUALS",
9014.           "value" : "PROXYENABLE",
9015.           "negated" : false,
9016.           "collector" : {
9017.             "catalogVersion" : 230233,
9018.             "dbVersion" : 2,
9019.             "id" : "58efec8ee4b0c390d69a8ea9",
9020.             "name" : "WinRegistry",
9021.             "description" : "Shows the registries keys",
9022.             "type" : "BUILTIN",
9023.             "contents" : [ {
9024.               "platform" : {
9025.                 "catalogVersion" : 230233,
9026.                 "dbVersion" : 2,
9027.                 "id" : "58efec8ee4b0c390d69a8e0e",
9028.                 "name" : "windows",
9029.                 "topic" : "/mcafee/mar/agent/query/windows",
9030.                 "enabled" : true
9031.               },
9032.               "capability" : {
9033.                 "catalogVersion" : 230233,
9034.                 "dbVersion" : 2,
9035.                 "id" : "58efec8ee4b0c390d69a8e31",
9036.                 "name" : "WinRegistry",
9037.                 "description" : "Gets registry key info",
9038.                 "module" : "WinRegistry",
9039.                 "function" : "FindRegistry",
9040.                 "contentEnabled" : false,
9041.                 "arguments" : [ ],
9042.                 "outputs" : [ ],
9043.                 "formatArgs" : { },
9044.                 "format" : "BIN",
9045.                 "platforms" : [ {
9046.                   "catalogVersion" : 230233,
9047.                   "dbVersion" : 2,
9048.                   "id" : "58efec8ee4b0c390d69a8e0e",
9049.                   "name" : "windows",
9050.                   "topic" : "/mcafee/mar/agent/query/windows",
9051.                   "enabled" : true
9052.                 } ],
9053.                 "platformSettings" : [ {
9054.                   "platform" : {
9055.                     "catalogVersion" : 230233,
9056.                     "dbVersion" : 2,
9057.                     "id" : "58efec8ee4b0c390d69a8e0e",
9058.                     "name" : "windows",
9059.                     "topic" : "/mcafee/mar/agent/query/windows",
9060.                     "enabled" : true
9061.                   },
9062.                   "utf8Sensitive" : false
9063.                 } ],
9064.                 "itemType" : "BUILTIN",
9065.                 "catalogItems" : [ "COLLECTOR" ]
9066.               },
9067.               "content" : null,
9068.               "arguments" : [ ],
9069.               "utf8Sensitive" : false
9070.             }, {
9071.               "platform" : {
9072.                 "catalogVersion" : 230233,
9073.                 "dbVersion" : 2,
9074.                 "id" : "58efec8ee4b0c390d69a8e0f",
9075.                 "name" : "linux",
9076.                 "topic" : "/mcafee/mar/agent/query/linux",
9077.                 "enabled" : true
9078.               },
9079.               "capability" : {
9080.                 "catalogVersion" : 230233,
9081.                 "dbVersion" : 2,
9082.                 "id" : "58efec8ee4b0c390d69a8e51",
9083.                 "name" : "NotAvailable",
9084.                 "description" : "Capability not available",
9085.                 "module" : "Internal",
9086.                 "function" : "GetFalseResult",
9087.                 "contentEnabled" : false,
9088.                 "arguments" : [ ],
9089.                 "outputs" : [ ],
9090.                 "formatArgs" : { },
9091.                 "format" : "BIN",
9092.                 "platforms" : [ {
9093.                   "catalogVersion" : 230233,
9094.                   "dbVersion" : 2,
9095.                   "id" : "58efec8ee4b0c390d69a8e0e",
9096.                   "name" : "windows",
9097.                   "topic" : "/mcafee/mar/agent/query/windows",
9098.                   "enabled" : true
9099.                 }, {
9100.                   "catalogVersion" : 230233,
9101.                   "dbVersion" : 2,
9102.                   "id" : "58efec8ee4b0c390d69a8e0f",
9103.                   "name" : "linux",
9104.                   "topic" : "/mcafee/mar/agent/query/linux",
9105.                   "enabled" : true
9106.                 } ],
9107.                 "platformSettings" : [ ],
9108.                 "itemType" : "BUILTIN",
9109.                 "catalogItems" : [ ]
9110.               },
9111.               "content" : null,
9112.               "arguments" : [ ],
9113.               "utf8Sensitive" : false
9114.             }, {
9115.               "platform" : {
9116.                 "catalogVersion" : 230233,
9117.                 "dbVersion" : 2,
9118.                 "id" : "5a1a45c9e4b0401274ab7141",
9119.                 "name" : "macos",
9120.                 "topic" : "/mcafee/mar/agent/query/macos",
9121.                 "enabled" : true
9122.               },
9123.               "capability" : {
9124.                 "catalogVersion" : 230233,
9125.                 "dbVersion" : 2,
9126.                 "id" : "58efec8ee4b0c390d69a8e51",
9127.                 "name" : "NotAvailable",
9128.                 "description" : "Capability not available",
9129.                 "module" : "Internal",
9130.                 "function" : "GetFalseResult",
9131.                 "contentEnabled" : false,
9132.                 "arguments" : [ ],
9133.                 "outputs" : [ ],
9134.                 "formatArgs" : { },
9135.                 "format" : "BIN",
9136.                 "platforms" : [ {
9137.                   "catalogVersion" : 230233,
9138.                   "dbVersion" : 2,
9139.                   "id" : "58efec8ee4b0c390d69a8e0e",
9140.                   "name" : "windows",
9141.                   "topic" : "/mcafee/mar/agent/query/windows",
9142.                   "enabled" : true
9143.                 }, {
9144.                   "catalogVersion" : 230233,
9145.                   "dbVersion" : 2,
9146.                   "id" : "58efec8ee4b0c390d69a8e0f",
9147.                   "name" : "linux",
9148.                   "topic" : "/mcafee/mar/agent/query/linux",
9149.                   "enabled" : true
9150.                 } ],
9151.                 "platformSettings" : [ ],
9152.                 "itemType" : "BUILTIN",
9153.                 "catalogItems" : [ ]
9154.               },
9155.               "content" : null,
9156.               "arguments" : null,
9157.               "utf8Sensitive" : false
9158.             } ],
9159.             "timeout" : 60,
9160.             "outputs" : [ {
9161.               "id" : "58efec8ee4b0c390d69a8ea5",
9162.               "name" : "keypath",
9163.               "type" : "REG_PATH",
9164.               "byDefault" : false,
9165.               "sequence" : 1
9166.             }, {
9167.               "id" : "58efec8ee4b0c390d69a8ea6",
9168.               "name" : "keyvalue",
9169.               "type" : "REG_STR",
9170.               "byDefault" : false,
9171.               "sequence" : 2
9172.             }, {
9173.               "id" : "58efec8ee4b0c390d69a8ea7",
9174.               "name" : "valuedata",
9175.               "type" : "REG_STR",
9176.               "byDefault" : false,
9177.               "sequence" : 3
9178.             }, {
9179.               "id" : "58efec8ee4b0c390d69a8ea8",
9180.               "name" : "valuetype",
9181.               "type" : "REG_STR",
9182.               "byDefault" : false,
9183.               "sequence" : 4
9184.             } ]
9185.           }
9186.         }, {
9187.           "output" : {
9188.             "id" : "58efec8ee4b0c390d69a8ea7",
9189.             "name" : "valuedata",
9190.             "type" : "REG_STR",
9191.             "byDefault" : false,
9192.             "sequence" : 3
9193.           },
9194.           "operator" : "CONTAINS",
9195.           "value" : "1",
9196.           "negated" : false,
9197.           "collector" : {
9198.             "catalogVersion" : 230233,
9199.             "dbVersion" : 2,
9200.             "id" : "58efec8ee4b0c390d69a8ea9",
9201.             "name" : "WinRegistry",
9202.             "description" : "Shows the registries keys",
9203.             "type" : "BUILTIN",
9204.             "contents" : [ {
9205.               "platform" : {
9206.                 "catalogVersion" : 230233,
9207.                 "dbVersion" : 2,
9208.                 "id" : "58efec8ee4b0c390d69a8e0e",
9209.                 "name" : "windows",
9210.                 "topic" : "/mcafee/mar/agent/query/windows",
9211.                 "enabled" : true
9212.               },
9213.               "capability" : {
9214.                 "catalogVersion" : 230233,
9215.                 "dbVersion" : 2,
9216.                 "id" : "58efec8ee4b0c390d69a8e31",
9217.                 "name" : "WinRegistry",
9218.                 "description" : "Gets registry key info",
9219.                 "module" : "WinRegistry",
9220.                 "function" : "FindRegistry",
9221.                 "contentEnabled" : false,
9222.                 "arguments" : [ ],
9223.                 "outputs" : [ ],
9224.                 "formatArgs" : { },
9225.                 "format" : "BIN",
9226.                 "platforms" : [ {
9227.                   "catalogVersion" : 230233,
9228.                   "dbVersion" : 2,
9229.                   "id" : "58efec8ee4b0c390d69a8e0e",
9230.                   "name" : "windows",
9231.                   "topic" : "/mcafee/mar/agent/query/windows",
9232.                   "enabled" : true
9233.                 } ],
9234.                 "platformSettings" : [ {
9235.                   "platform" : {
9236.                     "catalogVersion" : 230233,
9237.                     "dbVersion" : 2,
9238.                     "id" : "58efec8ee4b0c390d69a8e0e",
9239.                     "name" : "windows",
9240.                     "topic" : "/mcafee/mar/agent/query/windows",
9241.                     "enabled" : true
9242.                   },
9243.                   "utf8Sensitive" : false
9244.                 } ],
9245.                 "itemType" : "BUILTIN",
9246.                 "catalogItems" : [ "COLLECTOR" ]
9247.               },
9248.               "content" : null,
9249.               "arguments" : [ ],
9250.               "utf8Sensitive" : false
9251.             }, {
9252.               "platform" : {
9253.                 "catalogVersion" : 230233,
9254.                 "dbVersion" : 2,
9255.                 "id" : "58efec8ee4b0c390d69a8e0f",
9256.                 "name" : "linux",
9257.                 "topic" : "/mcafee/mar/agent/query/linux",
9258.                 "enabled" : true
9259.               },
9260.               "capability" : {
9261.                 "catalogVersion" : 230233,
9262.                 "dbVersion" : 2,
9263.                 "id" : "58efec8ee4b0c390d69a8e51",
9264.                 "name" : "NotAvailable",
9265.                 "description" : "Capability not available",
9266.                 "module" : "Internal",
9267.                 "function" : "GetFalseResult",
9268.                 "contentEnabled" : false,
9269.                 "arguments" : [ ],
9270.                 "outputs" : [ ],
9271.                 "formatArgs" : { },
9272.                 "format" : "BIN",
9273.                 "platforms" : [ {
9274.                   "catalogVersion" : 230233,
9275.                   "dbVersion" : 2,
9276.                   "id" : "58efec8ee4b0c390d69a8e0e",
9277.                   "name" : "windows",
9278.                   "topic" : "/mcafee/mar/agent/query/windows",
9279.                   "enabled" : true
9280.                 }, {
9281.                   "catalogVersion" : 230233,
9282.                   "dbVersion" : 2,
9283.                   "id" : "58efec8ee4b0c390d69a8e0f",
9284.                   "name" : "linux",
9285.                   "topic" : "/mcafee/mar/agent/query/linux",
9286.                   "enabled" : true
9287.                 } ],
9288.                 "platformSettings" : [ ],
9289.                 "itemType" : "BUILTIN",
9290.                 "catalogItems" : [ ]
9291.               },
9292.               "content" : null,
9293.               "arguments" : [ ],
9294.               "utf8Sensitive" : false
9295.             }, {
9296.               "platform" : {
9297.                 "catalogVersion" : 230233,
9298.                 "dbVersion" : 2,
9299.                 "id" : "5a1a45c9e4b0401274ab7141",
9300.                 "name" : "macos",
9301.                 "topic" : "/mcafee/mar/agent/query/macos",
9302.                 "enabled" : true
9303.               },
9304.               "capability" : {
9305.                 "catalogVersion" : 230233,
9306.                 "dbVersion" : 2,
9307.                 "id" : "58efec8ee4b0c390d69a8e51",
9308.                 "name" : "NotAvailable",
9309.                 "description" : "Capability not available",
9310.                 "module" : "Internal",
9311.                 "function" : "GetFalseResult",
9312.                 "contentEnabled" : false,
9313.                 "arguments" : [ ],
9314.                 "outputs" : [ ],
9315.                 "formatArgs" : { },
9316.                 "format" : "BIN",
9317.                 "platforms" : [ {
9318.                   "catalogVersion" : 230233,
9319.                   "dbVersion" : 2,
9320.                   "id" : "58efec8ee4b0c390d69a8e0e",
9321.                   "name" : "windows",
9322.                   "topic" : "/mcafee/mar/agent/query/windows",
9323.                   "enabled" : true
9324.                 }, {
9325.                   "catalogVersion" : 230233,
9326.                   "dbVersion" : 2,
9327.                   "id" : "58efec8ee4b0c390d69a8e0f",
9328.                   "name" : "linux",
9329.                   "topic" : "/mcafee/mar/agent/query/linux",
9330.                   "enabled" : true
9331.                 } ],
9332.                 "platformSettings" : [ ],
9333.                 "itemType" : "BUILTIN",
9334.                 "catalogItems" : [ ]
9335.               },
9336.               "content" : null,
9337.               "arguments" : null,
9338.               "utf8Sensitive" : false
9339.             } ],
9340.             "timeout" : 60,
9341.             "outputs" : [ {
9342.               "id" : "58efec8ee4b0c390d69a8ea5",
9343.               "name" : "keypath",
9344.               "type" : "REG_PATH",
9345.               "byDefault" : false,
9346.               "sequence" : 1
9347.             }, {
9348.               "id" : "58efec8ee4b0c390d69a8ea6",
9349.               "name" : "keyvalue",
9350.               "type" : "REG_STR",
9351.               "byDefault" : false,
9352.               "sequence" : 2
9353.             }, {
9354.               "id" : "58efec8ee4b0c390d69a8ea7",
9355.               "name" : "valuedata",
9356.               "type" : "REG_STR",
9357.               "byDefault" : false,
9358.               "sequence" : 3
9359.             }, {
9360.               "id" : "58efec8ee4b0c390d69a8ea8",
9361.               "name" : "valuetype",
9362.               "type" : "REG_STR",
9363.               "byDefault" : false,
9364.               "sequence" : 4
9365.             } ]
9366.           }
9367.         }, {
9368.           "output" : {
9369.             "id" : "58efec8ee4b0c390d69a8ea6",
9370.             "name" : "keyvalue",
9371.             "type" : "REG_STR",
9372.             "byDefault" : false,
9373.             "sequence" : 2
9374.           },
9375.           "operator" : "EQUALS",
9376.           "value" : "PROXYENABLE",
9377.           "negated" : false,
9378.           "collector" : {
9379.             "catalogVersion" : 230233,
9380.             "dbVersion" : 2,
9381.             "id" : "58efec8ee4b0c390d69a8ea9",
9382.             "name" : "WinRegistry",
9383.             "description" : "Shows the registries keys",
9384.             "type" : "BUILTIN",
9385.             "contents" : [ {
9386.               "platform" : {
9387.                 "catalogVersion" : 230233,
9388.                 "dbVersion" : 2,
9389.                 "id" : "58efec8ee4b0c390d69a8e0e",
9390.                 "name" : "windows",
9391.                 "topic" : "/mcafee/mar/agent/query/windows",
9392.                 "enabled" : true
9393.               },
9394.               "capability" : {
9395.                 "catalogVersion" : 230233,
9396.                 "dbVersion" : 2,
9397.                 "id" : "58efec8ee4b0c390d69a8e31",
9398.                 "name" : "WinRegistry",
9399.                 "description" : "Gets registry key info",
9400.                 "module" : "WinRegistry",
9401.                 "function" : "FindRegistry",
9402.                 "contentEnabled" : false,
9403.                 "arguments" : [ ],
9404.                 "outputs" : [ ],
9405.                 "formatArgs" : { },
9406.                 "format" : "BIN",
9407.                 "platforms" : [ {
9408.                   "catalogVersion" : 230233,
9409.                   "dbVersion" : 2,
9410.                   "id" : "58efec8ee4b0c390d69a8e0e",
9411.                   "name" : "windows",
9412.                   "topic" : "/mcafee/mar/agent/query/windows",
9413.                   "enabled" : true
9414.                 } ],
9415.                 "platformSettings" : [ {
9416.                   "platform" : {
9417.                     "catalogVersion" : 230233,
9418.                     "dbVersion" : 2,
9419.                     "id" : "58efec8ee4b0c390d69a8e0e",
9420.                     "name" : "windows",
9421.                     "topic" : "/mcafee/mar/agent/query/windows",
9422.                     "enabled" : true
9423.                   },
9424.                   "utf8Sensitive" : false
9425.                 } ],
9426.                 "itemType" : "BUILTIN",
9427.                 "catalogItems" : [ "COLLECTOR" ]
9428.               },
9429.               "content" : null,
9430.               "arguments" : [ ],
9431.               "utf8Sensitive" : false
9432.             }, {
9433.               "platform" : {
9434.                 "catalogVersion" : 230233,
9435.                 "dbVersion" : 2,
9436.                 "id" : "58efec8ee4b0c390d69a8e0f",
9437.                 "name" : "linux",
9438.                 "topic" : "/mcafee/mar/agent/query/linux",
9439.                 "enabled" : true
9440.               },
9441.               "capability" : {
9442.                 "catalogVersion" : 230233,
9443.                 "dbVersion" : 2,
9444.                 "id" : "58efec8ee4b0c390d69a8e51",
9445.                 "name" : "NotAvailable",
9446.                 "description" : "Capability not available",
9447.                 "module" : "Internal",
9448.                 "function" : "GetFalseResult",
9449.                 "contentEnabled" : false,
9450.                 "arguments" : [ ],
9451.                 "outputs" : [ ],
9452.                 "formatArgs" : { },
9453.                 "format" : "BIN",
9454.                 "platforms" : [ {
9455.                   "catalogVersion" : 230233,
9456.                   "dbVersion" : 2,
9457.                   "id" : "58efec8ee4b0c390d69a8e0e",
9458.                   "name" : "windows",
9459.                   "topic" : "/mcafee/mar/agent/query/windows",
9460.                   "enabled" : true
9461.                 }, {
9462.                   "catalogVersion" : 230233,
9463.                   "dbVersion" : 2,
9464.                   "id" : "58efec8ee4b0c390d69a8e0f",
9465.                   "name" : "linux",
9466.                   "topic" : "/mcafee/mar/agent/query/linux",
9467.                   "enabled" : true
9468.                 } ],
9469.                 "platformSettings" : [ ],
9470.                 "itemType" : "BUILTIN",
9471.                 "catalogItems" : [ ]
9472.               },
9473.               "content" : null,
9474.               "arguments" : [ ],
9475.               "utf8Sensitive" : false
9476.             }, {
9477.               "platform" : {
9478.                 "catalogVersion" : 230233,
9479.                 "dbVersion" : 2,
9480.                 "id" : "5a1a45c9e4b0401274ab7141",
9481.                 "name" : "macos",
9482.                 "topic" : "/mcafee/mar/agent/query/macos",
9483.                 "enabled" : true
9484.               },
9485.               "capability" : {
9486.                 "catalogVersion" : 230233,
9487.                 "dbVersion" : 2,
9488.                 "id" : "58efec8ee4b0c390d69a8e51",
9489.                 "name" : "NotAvailable",
9490.                 "description" : "Capability not available",
9491.                 "module" : "Internal",
9492.                 "function" : "GetFalseResult",
9493.                 "contentEnabled" : false,
9494.                 "arguments" : [ ],
9495.                 "outputs" : [ ],
9496.                 "formatArgs" : { },
9497.                 "format" : "BIN",
9498.                 "platforms" : [ {
9499.                   "catalogVersion" : 230233,
9500.                   "dbVersion" : 2,
9501.                   "id" : "58efec8ee4b0c390d69a8e0e",
9502.                   "name" : "windows",
9503.                   "topic" : "/mcafee/mar/agent/query/windows",
9504.                   "enabled" : true
9505.                 }, {
9506.                   "catalogVersion" : 230233,
9507.                   "dbVersion" : 2,
9508.                   "id" : "58efec8ee4b0c390d69a8e0f",
9509.                   "name" : "linux",
9510.                   "topic" : "/mcafee/mar/agent/query/linux",
9511.                   "enabled" : true
9512.                 } ],
9513.                 "platformSettings" : [ ],
9514.                 "itemType" : "BUILTIN",
9515.                 "catalogItems" : [ ]
9516.               },
9517.               "content" : null,
9518.               "arguments" : null,
9519.               "utf8Sensitive" : false
9520.             } ],
9521.             "timeout" : 60,
9522.             "outputs" : [ {
9523.               "id" : "58efec8ee4b0c390d69a8ea5",
9524.               "name" : "keypath",
9525.               "type" : "REG_PATH",
9526.               "byDefault" : false,
9527.               "sequence" : 1
9528.             }, {
9529.               "id" : "58efec8ee4b0c390d69a8ea6",
9530.               "name" : "keyvalue",
9531.               "type" : "REG_STR",
9532.               "byDefault" : false,
9533.               "sequence" : 2
9534.             }, {
9535.               "id" : "58efec8ee4b0c390d69a8ea7",
9536.               "name" : "valuedata",
9537.               "type" : "REG_STR",
9538.               "byDefault" : false,
9539.               "sequence" : 3
9540.             }, {
9541.               "id" : "58efec8ee4b0c390d69a8ea8",
9542.               "name" : "valuetype",
9543.               "type" : "REG_STR",
9544.               "byDefault" : false,
9545.               "sequence" : 4
9546.             } ]
9547.           }
9548.         } ]
9549.       } ]
9550.     },
9551.     "running" : false,
9552.     "createdAt" : 1530900630290,
9553.     "executedAt" : null,
9554.     "status" : "CREATED",
9555.     "ttl" : 60000,
9556.     "startTime" : null,
9557.     "endpointPermission" : null,
9558.     "maGuidsTarget" : null,
9559.     "expectedHostResponses" : 0
9560.   },
9561.   "type" : "com.intel.mar.model.search.Search"
9562. }, {
9563.   "item" : {
9564.     "catalogVersion" : 1,
9565.     "dbVersion" : 2,
9566.     "id" : "5b3fb096e4b0cbe06dd6731d",
9567.     "name" : "Memory Utilization per Process",
9568.     "description" : "",
9569.     "type" : null,
9570.     "expression" : null,
9571.     "temporal" : false,
9572.     "invalid" : false,
9573.     "aggregated" : false,
9574.     "projections" : [ {
9575.       "collector" : {
9576.         "catalogVersion" : 1,
9577.         "dbVersion" : 2,
9578.         "id" : "5b3fb07ce4b0cbe06dd672fd",
9579.         "name" : "MemoryUsage",
9580.         "description" : "Executes VBS script on target client to return memory utilization per process",
9581.         "type" : "CUSTOM",
9582.         "contents" : [ {
9583.           "platform" : {
9584.             "catalogVersion" : 230233,
9585.             "dbVersion" : 2,
9586.             "id" : "58efec8ee4b0c390d69a8e0f",
9587.             "name" : "linux",
9588.             "topic" : "/mcafee/mar/agent/query/linux",
9589.             "enabled" : true
9590.           },
9591.           "capability" : {
9592.             "catalogVersion" : 230233,
9593.             "dbVersion" : 2,
9594.             "id" : "58efec8ee4b0c390d69a8e51",
9595.             "name" : "NotAvailable",
9596.             "description" : "Capability not available",
9597.             "module" : "Internal",
9598.             "function" : "GetFalseResult",
9599.             "contentEnabled" : false,
9600.             "arguments" : [ ],
9601.             "outputs" : [ ],
9602.             "formatArgs" : { },
9603.             "format" : "BIN",
9604.             "platforms" : [ {
9605.               "catalogVersion" : 230233,
9606.               "dbVersion" : 2,
9607.               "id" : "58efec8ee4b0c390d69a8e0e",
9608.               "name" : "windows",
9609.               "topic" : "/mcafee/mar/agent/query/windows",
9610.               "enabled" : true
9611.             }, {
9612.               "catalogVersion" : 230233,
9613.               "dbVersion" : 2,
9614.               "id" : "58efec8ee4b0c390d69a8e0f",
9615.               "name" : "linux",
9616.               "topic" : "/mcafee/mar/agent/query/linux",
9617.               "enabled" : true
9618.             } ],
9619.             "platformSettings" : [ ],
9620.             "itemType" : "BUILTIN",
9621.             "catalogItems" : [ ]
9622.           },
9623.           "content" : null,
9624.           "arguments" : null,
9625.           "utf8Sensitive" : false
9626.         }, {
9627.           "platform" : {
9628.             "catalogVersion" : 230233,
9629.             "dbVersion" : 2,
9630.             "id" : "58efec8ee4b0c390d69a8e0e",
9631.             "name" : "windows",
9632.             "topic" : "/mcafee/mar/agent/query/windows",
9633.             "enabled" : true
9634.           },
9635.           "capability" : {
9636.             "catalogVersion" : 230233,
9637.             "dbVersion" : 2,
9638.             "id" : "58efec8ee4b0c390d69a8e12",
9639.             "name" : "Visual Basic Script",
9640.             "description" : "Executes VBS script on target client",
9641.             "module" : "SystemRuntime",
9642.             "function" : "executeVBS",
9643.             "contentEnabled" : true,
9644.             "arguments" : [ ],
9645.             "outputs" : [ ],
9646.             "formatArgs" : {
9647.               "hasHeaders" : false,
9648.               "delimiter" : ","
9649.             },
9650.             "format" : "CSV",
9651.             "platforms" : [ {
9652.               "catalogVersion" : 230233,
9653.               "dbVersion" : 2,
9654.               "id" : "58efec8ee4b0c390d69a8e0e",
9655.               "name" : "windows",
9656.               "topic" : "/mcafee/mar/agent/query/windows",
9657.               "enabled" : true
9658.             } ],
9659.             "platformSettings" : [ {
9660.               "platform" : {
9661.                 "catalogVersion" : 230233,
9662.                 "dbVersion" : 2,
9663.                 "id" : "58efec8ee4b0c390d69a8e0e",
9664.                 "name" : "windows",
9665.                 "topic" : "/mcafee/mar/agent/query/windows",
9666.                 "enabled" : true
9667.               },
9668.               "utf8Sensitive" : false
9669.             } ],
9670.             "itemType" : "CUSTOM",
9671.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
9672.           },
9673.           "content" : "' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n'\n' This script will output the memory utilization\n'\nOption Explicit\nOn Error Resume Next\n' ***********************************************\n' Declare all variables\n' ***********************************************\nDim objShell, objPing, line, strFull\nSet objShell = CreateObject(\"WScript.Shell\")\n' ***********************************************\nSet objPing = objShell.Exec(\"cmd /c tasklist /NH /FO CSV\")\nDo Until objPing.Stdout.atEndOfStream = True\n\tline = objPing.StdOut.ReadLine()\n\tstrFull = Replace(Replace(Replace(Replace(line,\"\"\",\"\"\",\"zzz\"),\",\",\"\"),\"zzz\",\",\"),\"\"\"\",\"\")\n\tWscript.echo LEFT(strFull, (LEN(strFull)-2))\nLoop",
9674.           "arguments" : null,
9675.           "utf8Sensitive" : false
9676.         }, {
9677.           "platform" : {
9678.             "catalogVersion" : 230233,
9679.             "dbVersion" : 2,
9680.             "id" : "5a1a45c9e4b0401274ab7141",
9681.             "name" : "macos",
9682.             "topic" : "/mcafee/mar/agent/query/macos",
9683.             "enabled" : true
9684.           },
9685.           "capability" : {
9686.             "catalogVersion" : 230233,
9687.             "dbVersion" : 2,
9688.             "id" : "58efec8ee4b0c390d69a8e51",
9689.             "name" : "NotAvailable",
9690.             "description" : "Capability not available",
9691.             "module" : "Internal",
9692.             "function" : "GetFalseResult",
9693.             "contentEnabled" : false,
9694.             "arguments" : [ ],
9695.             "outputs" : [ ],
9696.             "formatArgs" : { },
9697.             "format" : "BIN",
9698.             "platforms" : [ {
9699.               "catalogVersion" : 230233,
9700.               "dbVersion" : 2,
9701.               "id" : "58efec8ee4b0c390d69a8e0e",
9702.               "name" : "windows",
9703.               "topic" : "/mcafee/mar/agent/query/windows",
9704.               "enabled" : true
9705.             }, {
9706.               "catalogVersion" : 230233,
9707.               "dbVersion" : 2,
9708.               "id" : "58efec8ee4b0c390d69a8e0f",
9709.               "name" : "linux",
9710.               "topic" : "/mcafee/mar/agent/query/linux",
9711.               "enabled" : true
9712.             } ],
9713.             "platformSettings" : [ ],
9714.             "itemType" : "BUILTIN",
9715.             "catalogItems" : [ ]
9716.           },
9717.           "content" : null,
9718.           "arguments" : null,
9719.           "utf8Sensitive" : false
9720.         } ],
9721.         "timeout" : 60,
9722.         "outputs" : [ {
9723.           "id" : "5b3fb07ce4b0cbe06dd672d8",
9724.           "name" : "image_name",
9725.           "type" : "STRING",
9726.           "byDefault" : true,
9727.           "sequence" : 1
9728.         }, {
9729.           "id" : "5b3fb07ce4b0cbe06dd672d9",
9730.           "name" : "pid",
9731.           "type" : "NUMBER",
9732.           "byDefault" : false,
9733.           "sequence" : 2
9734.         }, {
9735.           "id" : "5b3fb07ce4b0cbe06dd672da",
9736.           "name" : "session_name",
9737.           "type" : "STRING",
9738.           "byDefault" : true,
9739.           "sequence" : 3
9740.         }, {
9741.           "id" : "5b3fb07ce4b0cbe06dd672db",
9742.           "name" : "session_number",
9743.           "type" : "NUMBER",
9744.           "byDefault" : false,
9745.           "sequence" : 4
9746.         }, {
9747.           "id" : "5b3fb07ce4b0cbe06dd672dc",
9748.           "name" : "mem_usage_kb",
9749.           "type" : "NUMBER",
9750.           "byDefault" : true,
9751.           "sequence" : 5
9752.         } ]
9753.       },
9754.       "sequence" : "1",
9755.       "output" : [ {
9756.         "id" : "5b3fb07ce4b0cbe06dd672d8",
9757.         "name" : "image_name",
9758.         "type" : "STRING",
9759.         "byDefault" : true,
9760.         "sequence" : 1
9761.       }, {
9762.         "id" : "5b3fb07ce4b0cbe06dd672d9",
9763.         "name" : "pid",
9764.         "type" : "NUMBER",
9765.         "byDefault" : false,
9766.         "sequence" : 2
9767.       }, {
9768.         "id" : "5b3fb07ce4b0cbe06dd672da",
9769.         "name" : "session_name",
9770.         "type" : "STRING",
9771.         "byDefault" : true,
9772.         "sequence" : 3
9773.       }, {
9774.         "id" : "5b3fb07ce4b0cbe06dd672db",
9775.         "name" : "session_number",
9776.         "type" : "NUMBER",
9777.         "byDefault" : false,
9778.         "sequence" : 4
9779.       }, {
9780.         "id" : "5b3fb07ce4b0cbe06dd672dc",
9781.         "name" : "mem_usage_kb",
9782.         "type" : "NUMBER",
9783.         "byDefault" : true,
9784.         "sequence" : 5
9785.       } ]
9786.     } ],
9787.     "disjunction" : {
9788.       "conjunctions" : [ {
9789.         "terms" : [ {
9790.           "output" : {
9791.             "id" : "58efec8ee4b0c390d69a8ec2",
9792.             "name" : "hostname",
9793.             "type" : "STRING",
9794.             "byDefault" : false,
9795.             "sequence" : 1
9796.           },
9797.           "operator" : "EQUALS",
9798.           "value" : "WIN71",
9799.           "negated" : false,
9800.           "collector" : {
9801.             "catalogVersion" : 230233,
9802.             "dbVersion" : 2,
9803.             "id" : "58efec8ee4b0c390d69a8ec5",
9804.             "name" : "HostInfo",
9805.             "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
9806.             "type" : "BUILTIN",
9807.             "contents" : [ {
9808.               "platform" : {
9809.                 "catalogVersion" : 230233,
9810.                 "dbVersion" : 2,
9811.                 "id" : "58efec8ee4b0c390d69a8e0f",
9812.                 "name" : "linux",
9813.                 "topic" : "/mcafee/mar/agent/query/linux",
9814.                 "enabled" : true
9815.               },
9816.               "capability" : {
9817.                 "catalogVersion" : 230233,
9818.                 "dbVersion" : 2,
9819.                 "id" : "58efec8ee4b0c390d69a8e14",
9820.                 "name" : "Bash Script",
9821.                 "description" : "Executes Bash script on target client",
9822.                 "module" : "SystemRuntime",
9823.                 "function" : "executeBash",
9824.                 "contentEnabled" : true,
9825.                 "arguments" : [ ],
9826.                 "outputs" : [ ],
9827.                 "formatArgs" : {
9828.                   "hasHeaders" : false,
9829.                   "delimiter" : ","
9830.                 },
9831.                 "format" : "CSV",
9832.                 "platforms" : [ {
9833.                   "catalogVersion" : 230233,
9834.                   "dbVersion" : 2,
9835.                   "id" : "58efec8ee4b0c390d69a8e0f",
9836.                   "name" : "linux",
9837.                   "topic" : "/mcafee/mar/agent/query/linux",
9838.                   "enabled" : true
9839.                 }, {
9840.                   "catalogVersion" : 230233,
9841.                   "dbVersion" : 2,
9842.                   "id" : "5a1a45c9e4b0401274ab7141",
9843.                   "name" : "macos",
9844.                   "topic" : "/mcafee/mar/agent/query/macos",
9845.                   "enabled" : true
9846.                 } ],
9847.                 "platformSettings" : [ {
9848.                   "platform" : {
9849.                     "catalogVersion" : 230233,
9850.                     "dbVersion" : 2,
9851.                     "id" : "58efec8ee4b0c390d69a8e0f",
9852.                     "name" : "linux",
9853.                     "topic" : "/mcafee/mar/agent/query/linux",
9854.                     "enabled" : true
9855.                   },
9856.                   "utf8Sensitive" : false
9857.                 }, {
9858.                   "platform" : {
9859.                     "catalogVersion" : 230233,
9860.                     "dbVersion" : 2,
9861.                     "id" : "5a1a45c9e4b0401274ab7141",
9862.                     "name" : "macos",
9863.                     "topic" : "/mcafee/mar/agent/query/macos",
9864.                     "enabled" : true
9865.                   },
9866.                   "utf8Sensitive" : false
9867.                 } ],
9868.                 "itemType" : "CUSTOM",
9869.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
9870.               },
9871.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
9872.               "arguments" : [ ],
9873.               "utf8Sensitive" : false
9874.             }, {
9875.               "platform" : {
9876.                 "catalogVersion" : 230233,
9877.                 "dbVersion" : 2,
9878.                 "id" : "58efec8ee4b0c390d69a8e0e",
9879.                 "name" : "windows",
9880.                 "topic" : "/mcafee/mar/agent/query/windows",
9881.                 "enabled" : true
9882.               },
9883.               "capability" : {
9884.                 "catalogVersion" : 230233,
9885.                 "dbVersion" : 2,
9886.                 "id" : "58efec8ee4b0c390d69a8e12",
9887.                 "name" : "Visual Basic Script",
9888.                 "description" : "Executes VBS script on target client",
9889.                 "module" : "SystemRuntime",
9890.                 "function" : "executeVBS",
9891.                 "contentEnabled" : true,
9892.                 "arguments" : [ ],
9893.                 "outputs" : [ ],
9894.                 "formatArgs" : {
9895.                   "hasHeaders" : false,
9896.                   "delimiter" : ","
9897.                 },
9898.                 "format" : "CSV",
9899.                 "platforms" : [ {
9900.                   "catalogVersion" : 230233,
9901.                   "dbVersion" : 2,
9902.                   "id" : "58efec8ee4b0c390d69a8e0e",
9903.                   "name" : "windows",
9904.                   "topic" : "/mcafee/mar/agent/query/windows",
9905.                   "enabled" : true
9906.                 } ],
9907.                 "platformSettings" : [ {
9908.                   "platform" : {
9909.                     "catalogVersion" : 230233,
9910.                     "dbVersion" : 2,
9911.                     "id" : "58efec8ee4b0c390d69a8e0e",
9912.                     "name" : "windows",
9913.                     "topic" : "/mcafee/mar/agent/query/windows",
9914.                     "enabled" : true
9915.                   },
9916.                   "utf8Sensitive" : false
9917.                 } ],
9918.                 "itemType" : "CUSTOM",
9919.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
9920.               },
9921.               "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
9922.               "arguments" : [ ],
9923.               "utf8Sensitive" : false
9924.             }, {
9925.               "platform" : {
9926.                 "catalogVersion" : 230233,
9927.                 "dbVersion" : 2,
9928.                 "id" : "5a1a45c9e4b0401274ab7141",
9929.                 "name" : "macos",
9930.                 "topic" : "/mcafee/mar/agent/query/macos",
9931.                 "enabled" : true
9932.               },
9933.               "capability" : {
9934.                 "catalogVersion" : 230233,
9935.                 "dbVersion" : 2,
9936.                 "id" : "5a1a45cae4b0401274ab7183",
9937.                 "name" : "HostInfo SysInfo",
9938.                 "description" : "Shows Hostname, 1st IP Address and OS version",
9939.                 "module" : "SysInfo",
9940.                 "function" : "HostInfo",
9941.                 "contentEnabled" : false,
9942.                 "arguments" : [ ],
9943.                 "outputs" : [ ],
9944.                 "formatArgs" : { },
9945.                 "format" : "BIN",
9946.                 "platforms" : [ {
9947.                   "catalogVersion" : 230233,
9948.                   "dbVersion" : 2,
9949.                   "id" : "5a1a45c9e4b0401274ab7141",
9950.                   "name" : "macos",
9951.                   "topic" : "/mcafee/mar/agent/query/macos",
9952.                   "enabled" : true
9953.                 } ],
9954.                 "platformSettings" : [ {
9955.                   "platform" : {
9956.                     "catalogVersion" : 230233,
9957.                     "dbVersion" : 2,
9958.                     "id" : "5a1a45c9e4b0401274ab7141",
9959.                     "name" : "macos",
9960.                     "topic" : "/mcafee/mar/agent/query/macos",
9961.                     "enabled" : true
9962.                   },
9963.                   "utf8Sensitive" : false
9964.                 } ],
9965.                 "itemType" : "BUILTIN",
9966.                 "catalogItems" : [ "COLLECTOR" ]
9967.               },
9968.               "content" : null,
9969.               "arguments" : [ ],
9970.               "utf8Sensitive" : false
9971.             } ],
9972.             "timeout" : 60,
9973.             "outputs" : [ {
9974.               "id" : "58efec8ee4b0c390d69a8ec2",
9975.               "name" : "hostname",
9976.               "type" : "STRING",
9977.               "byDefault" : false,
9978.               "sequence" : 1
9979.             }, {
9980.               "id" : "58efec8ee4b0c390d69a8ec3",
9981.               "name" : "ip_address",
9982.               "type" : "IPV4IPV6",
9983.               "byDefault" : false,
9984.               "sequence" : 2
9985.             }, {
9986.               "id" : "58efec8ee4b0c390d69a8ec4",
9987.               "name" : "os",
9988.               "type" : "STRING",
9989.               "byDefault" : false,
9990.               "sequence" : 3
9991.             }, {
9992.               "id" : "5b3f9b64e4b0dfaf321a6346",
9993.               "name" : "connection_status",
9994.               "type" : "STRING",
9995.               "byDefault" : false,
9996.               "sequence" : 4
9997.             }, {
9998.               "id" : "5b3f9b64e4b0dfaf321a6347",
9999.               "name" : "platform",
10000.               "type" : "STRING",
10001.               "byDefault" : false,
10002.               "sequence" : 5
10003.             } ]
10004.           }
10005.         } ]
10006.       } ]
10007.     },
10008.     "running" : false,
10009.     "createdAt" : 1530900630298,
10010.     "executedAt" : null,
10011.     "status" : "CREATED",
10012.     "ttl" : 60000,
10013.     "startTime" : null,
10014.     "endpointPermission" : null,
10015.     "maGuidsTarget" : null,
10016.     "expectedHostResponses" : 0
10017.   },
10018.   "type" : "com.intel.mar.model.search.Search"
10019. }, {
10020.   "item" : {
10021.     "catalogVersion" : 1,
10022.     "dbVersion" : 2,
10023.     "id" : "5b3fb096e4b0cbe06dd6731e",
10024.     "name" : "Netflow Details",
10025.     "description" : "Provides netflow information based on the host and a defined time window",
10026.     "type" : null,
10027.     "expression" : null,
10028.     "temporal" : false,
10029.     "invalid" : false,
10030.     "aggregated" : false,
10031.     "projections" : [ {
10032.       "collector" : {
10033.         "catalogVersion" : 230233,
10034.         "dbVersion" : 2,
10035.         "id" : "58efec8ee4b0c390d69a8ec5",
10036.         "name" : "HostInfo",
10037.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
10038.         "type" : "BUILTIN",
10039.         "contents" : [ {
10040.           "platform" : {
10041.             "catalogVersion" : 230233,
10042.             "dbVersion" : 2,
10043.             "id" : "58efec8ee4b0c390d69a8e0f",
10044.             "name" : "linux",
10045.             "topic" : "/mcafee/mar/agent/query/linux",
10046.             "enabled" : true
10047.           },
10048.           "capability" : {
10049.             "catalogVersion" : 230233,
10050.             "dbVersion" : 2,
10051.             "id" : "58efec8ee4b0c390d69a8e14",
10052.             "name" : "Bash Script",
10053.             "description" : "Executes Bash script on target client",
10054.             "module" : "SystemRuntime",
10055.             "function" : "executeBash",
10056.             "contentEnabled" : true,
10057.             "arguments" : [ ],
10058.             "outputs" : [ ],
10059.             "formatArgs" : {
10060.               "hasHeaders" : false,
10061.               "delimiter" : ","
10062.             },
10063.             "format" : "CSV",
10064.             "platforms" : [ {
10065.               "catalogVersion" : 230233,
10066.               "dbVersion" : 2,
10067.               "id" : "58efec8ee4b0c390d69a8e0f",
10068.               "name" : "linux",
10069.               "topic" : "/mcafee/mar/agent/query/linux",
10070.               "enabled" : true
10071.             }, {
10072.               "catalogVersion" : 230233,
10073.               "dbVersion" : 2,
10074.               "id" : "5a1a45c9e4b0401274ab7141",
10075.               "name" : "macos",
10076.               "topic" : "/mcafee/mar/agent/query/macos",
10077.               "enabled" : true
10078.             } ],
10079.             "platformSettings" : [ {
10080.               "platform" : {
10081.                 "catalogVersion" : 230233,
10082.                 "dbVersion" : 2,
10083.                 "id" : "58efec8ee4b0c390d69a8e0f",
10084.                 "name" : "linux",
10085.                 "topic" : "/mcafee/mar/agent/query/linux",
10086.                 "enabled" : true
10087.               },
10088.               "utf8Sensitive" : false
10089.             }, {
10090.               "platform" : {
10091.                 "catalogVersion" : 230233,
10092.                 "dbVersion" : 2,
10093.                 "id" : "5a1a45c9e4b0401274ab7141",
10094.                 "name" : "macos",
10095.                 "topic" : "/mcafee/mar/agent/query/macos",
10096.                 "enabled" : true
10097.               },
10098.               "utf8Sensitive" : false
10099.             } ],
10100.             "itemType" : "CUSTOM",
10101.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
10102.           },
10103.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
10104.           "arguments" : [ ],
10105.           "utf8Sensitive" : false
10106.         }, {
10107.           "platform" : {
10108.             "catalogVersion" : 230233,
10109.             "dbVersion" : 2,
10110.             "id" : "58efec8ee4b0c390d69a8e0e",
10111.             "name" : "windows",
10112.             "topic" : "/mcafee/mar/agent/query/windows",
10113.             "enabled" : true
10114.           },
10115.           "capability" : {
10116.             "catalogVersion" : 230233,
10117.             "dbVersion" : 2,
10118.             "id" : "58efec8ee4b0c390d69a8e12",
10119.             "name" : "Visual Basic Script",
10120.             "description" : "Executes VBS script on target client",
10121.             "module" : "SystemRuntime",
10122.             "function" : "executeVBS",
10123.             "contentEnabled" : true,
10124.             "arguments" : [ ],
10125.             "outputs" : [ ],
10126.             "formatArgs" : {
10127.               "hasHeaders" : false,
10128.               "delimiter" : ","
10129.             },
10130.             "format" : "CSV",
10131.             "platforms" : [ {
10132.               "catalogVersion" : 230233,
10133.               "dbVersion" : 2,
10134.               "id" : "58efec8ee4b0c390d69a8e0e",
10135.               "name" : "windows",
10136.               "topic" : "/mcafee/mar/agent/query/windows",
10137.               "enabled" : true
10138.             } ],
10139.             "platformSettings" : [ {
10140.               "platform" : {
10141.                 "catalogVersion" : 230233,
10142.                 "dbVersion" : 2,
10143.                 "id" : "58efec8ee4b0c390d69a8e0e",
10144.                 "name" : "windows",
10145.                 "topic" : "/mcafee/mar/agent/query/windows",
10146.                 "enabled" : true
10147.               },
10148.               "utf8Sensitive" : false
10149.             } ],
10150.             "itemType" : "CUSTOM",
10151.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
10152.           },
10153.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
10154.           "arguments" : [ ],
10155.           "utf8Sensitive" : false
10156.         }, {
10157.           "platform" : {
10158.             "catalogVersion" : 230233,
10159.             "dbVersion" : 2,
10160.             "id" : "5a1a45c9e4b0401274ab7141",
10161.             "name" : "macos",
10162.             "topic" : "/mcafee/mar/agent/query/macos",
10163.             "enabled" : true
10164.           },
10165.           "capability" : {
10166.             "catalogVersion" : 230233,
10167.             "dbVersion" : 2,
10168.             "id" : "5a1a45cae4b0401274ab7183",
10169.             "name" : "HostInfo SysInfo",
10170.             "description" : "Shows Hostname, 1st IP Address and OS version",
10171.             "module" : "SysInfo",
10172.             "function" : "HostInfo",
10173.             "contentEnabled" : false,
10174.             "arguments" : [ ],
10175.             "outputs" : [ ],
10176.             "formatArgs" : { },
10177.             "format" : "BIN",
10178.             "platforms" : [ {
10179.               "catalogVersion" : 230233,
10180.               "dbVersion" : 2,
10181.               "id" : "5a1a45c9e4b0401274ab7141",
10182.               "name" : "macos",
10183.               "topic" : "/mcafee/mar/agent/query/macos",
10184.               "enabled" : true
10185.             } ],
10186.             "platformSettings" : [ {
10187.               "platform" : {
10188.                 "catalogVersion" : 230233,
10189.                 "dbVersion" : 2,
10190.                 "id" : "5a1a45c9e4b0401274ab7141",
10191.                 "name" : "macos",
10192.                 "topic" : "/mcafee/mar/agent/query/macos",
10193.                 "enabled" : true
10194.               },
10195.               "utf8Sensitive" : false
10196.             } ],
10197.             "itemType" : "BUILTIN",
10198.             "catalogItems" : [ "COLLECTOR" ]
10199.           },
10200.           "content" : null,
10201.           "arguments" : [ ],
10202.           "utf8Sensitive" : false
10203.         } ],
10204.         "timeout" : 60,
10205.         "outputs" : [ {
10206.           "id" : "58efec8ee4b0c390d69a8ec2",
10207.           "name" : "hostname",
10208.           "type" : "STRING",
10209.           "byDefault" : false,
10210.           "sequence" : 1
10211.         }, {
10212.           "id" : "58efec8ee4b0c390d69a8ec3",
10213.           "name" : "ip_address",
10214.           "type" : "IPV4IPV6",
10215.           "byDefault" : false,
10216.           "sequence" : 2
10217.         }, {
10218.           "id" : "58efec8ee4b0c390d69a8ec4",
10219.           "name" : "os",
10220.           "type" : "STRING",
10221.           "byDefault" : false,
10222.           "sequence" : 3
10223.         }, {
10224.           "id" : "5b3f9b64e4b0dfaf321a6346",
10225.           "name" : "connection_status",
10226.           "type" : "STRING",
10227.           "byDefault" : false,
10228.           "sequence" : 4
10229.         }, {
10230.           "id" : "5b3f9b64e4b0dfaf321a6347",
10231.           "name" : "platform",
10232.           "type" : "STRING",
10233.           "byDefault" : false,
10234.           "sequence" : 5
10235.         } ]
10236.       },
10237.       "sequence" : "1",
10238.       "output" : [ ]
10239.     }, {
10240.       "collector" : {
10241.         "catalogVersion" : 230233,
10242.         "dbVersion" : 2,
10243.         "id" : "58efec8ee4b0c390d69a8e97",
10244.         "name" : "NetworkFlow",
10245.         "description" : "Shows the network flow",
10246.         "type" : "BUILTIN",
10247.         "contents" : [ {
10248.           "platform" : {
10249.             "catalogVersion" : 230233,
10250.             "dbVersion" : 2,
10251.             "id" : "58efec8ee4b0c390d69a8e0f",
10252.             "name" : "linux",
10253.             "topic" : "/mcafee/mar/agent/query/linux",
10254.             "enabled" : true
10255.           },
10256.           "capability" : {
10257.             "catalogVersion" : 230233,
10258.             "dbVersion" : 2,
10259.             "id" : "58efec8ee4b0c390d69a8e1f",
10260.             "name" : "NetworkFlow",
10261.             "description" : "Gets flow information",
10262.             "module" : "NetworkFlow",
10263.             "function" : "FindFlow",
10264.             "contentEnabled" : false,
10265.             "arguments" : [ ],
10266.             "outputs" : [ ],
10267.             "formatArgs" : { },
10268.             "format" : "BIN",
10269.             "platforms" : [ {
10270.               "catalogVersion" : 230233,
10271.               "dbVersion" : 2,
10272.               "id" : "58efec8ee4b0c390d69a8e0e",
10273.               "name" : "windows",
10274.               "topic" : "/mcafee/mar/agent/query/windows",
10275.               "enabled" : true
10276.             }, {
10277.               "catalogVersion" : 230233,
10278.               "dbVersion" : 2,
10279.               "id" : "58efec8ee4b0c390d69a8e0f",
10280.               "name" : "linux",
10281.               "topic" : "/mcafee/mar/agent/query/linux",
10282.               "enabled" : true
10283.             }, {
10284.               "catalogVersion" : 230233,
10285.               "dbVersion" : 2,
10286.               "id" : "5a1a45c9e4b0401274ab7141",
10287.               "name" : "macos",
10288.               "topic" : "/mcafee/mar/agent/query/macos",
10289.               "enabled" : true
10290.             } ],
10291.             "platformSettings" : [ {
10292.               "platform" : {
10293.                 "catalogVersion" : 230233,
10294.                 "dbVersion" : 2,
10295.                 "id" : "58efec8ee4b0c390d69a8e0e",
10296.                 "name" : "windows",
10297.                 "topic" : "/mcafee/mar/agent/query/windows",
10298.                 "enabled" : true
10299.               },
10300.               "utf8Sensitive" : false
10301.             }, {
10302.               "platform" : {
10303.                 "catalogVersion" : 230233,
10304.                 "dbVersion" : 2,
10305.                 "id" : "58efec8ee4b0c390d69a8e0f",
10306.                 "name" : "linux",
10307.                 "topic" : "/mcafee/mar/agent/query/linux",
10308.                 "enabled" : true
10309.               },
10310.               "utf8Sensitive" : false
10311.             }, {
10312.               "platform" : {
10313.                 "catalogVersion" : 230233,
10314.                 "dbVersion" : 2,
10315.                 "id" : "5a1a45c9e4b0401274ab7141",
10316.                 "name" : "macos",
10317.                 "topic" : "/mcafee/mar/agent/query/macos",
10318.                 "enabled" : true
10319.               },
10320.               "utf8Sensitive" : false
10321.             } ],
10322.             "itemType" : "BUILTIN",
10323.             "catalogItems" : [ "COLLECTOR" ]
10324.           },
10325.           "content" : null,
10326.           "arguments" : [ ],
10327.           "utf8Sensitive" : false
10328.         }, {
10329.           "platform" : {
10330.             "catalogVersion" : 230233,
10331.             "dbVersion" : 2,
10332.             "id" : "58efec8ee4b0c390d69a8e0e",
10333.             "name" : "windows",
10334.             "topic" : "/mcafee/mar/agent/query/windows",
10335.             "enabled" : true
10336.           },
10337.           "capability" : {
10338.             "catalogVersion" : 230233,
10339.             "dbVersion" : 2,
10340.             "id" : "58efec8ee4b0c390d69a8e1f",
10341.             "name" : "NetworkFlow",
10342.             "description" : "Gets flow information",
10343.             "module" : "NetworkFlow",
10344.             "function" : "FindFlow",
10345.             "contentEnabled" : false,
10346.             "arguments" : [ ],
10347.             "outputs" : [ ],
10348.             "formatArgs" : { },
10349.             "format" : "BIN",
10350.             "platforms" : [ {
10351.               "catalogVersion" : 230233,
10352.               "dbVersion" : 2,
10353.               "id" : "58efec8ee4b0c390d69a8e0e",
10354.               "name" : "windows",
10355.               "topic" : "/mcafee/mar/agent/query/windows",
10356.               "enabled" : true
10357.             }, {
10358.               "catalogVersion" : 230233,
10359.               "dbVersion" : 2,
10360.               "id" : "58efec8ee4b0c390d69a8e0f",
10361.               "name" : "linux",
10362.               "topic" : "/mcafee/mar/agent/query/linux",
10363.               "enabled" : true
10364.             }, {
10365.               "catalogVersion" : 230233,
10366.               "dbVersion" : 2,
10367.               "id" : "5a1a45c9e4b0401274ab7141",
10368.               "name" : "macos",
10369.               "topic" : "/mcafee/mar/agent/query/macos",
10370.               "enabled" : true
10371.             } ],
10372.             "platformSettings" : [ {
10373.               "platform" : {
10374.                 "catalogVersion" : 230233,
10375.                 "dbVersion" : 2,
10376.                 "id" : "58efec8ee4b0c390d69a8e0e",
10377.                 "name" : "windows",
10378.                 "topic" : "/mcafee/mar/agent/query/windows",
10379.                 "enabled" : true
10380.               },
10381.               "utf8Sensitive" : false
10382.             }, {
10383.               "platform" : {
10384.                 "catalogVersion" : 230233,
10385.                 "dbVersion" : 2,
10386.                 "id" : "58efec8ee4b0c390d69a8e0f",
10387.                 "name" : "linux",
10388.                 "topic" : "/mcafee/mar/agent/query/linux",
10389.                 "enabled" : true
10390.               },
10391.               "utf8Sensitive" : false
10392.             }, {
10393.               "platform" : {
10394.                 "catalogVersion" : 230233,
10395.                 "dbVersion" : 2,
10396.                 "id" : "5a1a45c9e4b0401274ab7141",
10397.                 "name" : "macos",
10398.                 "topic" : "/mcafee/mar/agent/query/macos",
10399.                 "enabled" : true
10400.               },
10401.               "utf8Sensitive" : false
10402.             } ],
10403.             "itemType" : "BUILTIN",
10404.             "catalogItems" : [ "COLLECTOR" ]
10405.           },
10406.           "content" : null,
10407.           "arguments" : [ ],
10408.           "utf8Sensitive" : false
10409.         }, {
10410.           "platform" : {
10411.             "catalogVersion" : 230233,
10412.             "dbVersion" : 2,
10413.             "id" : "5a1a45c9e4b0401274ab7141",
10414.             "name" : "macos",
10415.             "topic" : "/mcafee/mar/agent/query/macos",
10416.             "enabled" : true
10417.           },
10418.           "capability" : {
10419.             "catalogVersion" : 230233,
10420.             "dbVersion" : 2,
10421.             "id" : "58efec8ee4b0c390d69a8e1f",
10422.             "name" : "NetworkFlow",
10423.             "description" : "Gets flow information",
10424.             "module" : "NetworkFlow",
10425.             "function" : "FindFlow",
10426.             "contentEnabled" : false,
10427.             "arguments" : [ ],
10428.             "outputs" : [ ],
10429.             "formatArgs" : { },
10430.             "format" : "BIN",
10431.             "platforms" : [ {
10432.               "catalogVersion" : 230233,
10433.               "dbVersion" : 2,
10434.               "id" : "58efec8ee4b0c390d69a8e0e",
10435.               "name" : "windows",
10436.               "topic" : "/mcafee/mar/agent/query/windows",
10437.               "enabled" : true
10438.             }, {
10439.               "catalogVersion" : 230233,
10440.               "dbVersion" : 2,
10441.               "id" : "58efec8ee4b0c390d69a8e0f",
10442.               "name" : "linux",
10443.               "topic" : "/mcafee/mar/agent/query/linux",
10444.               "enabled" : true
10445.             }, {
10446.               "catalogVersion" : 230233,
10447.               "dbVersion" : 2,
10448.               "id" : "5a1a45c9e4b0401274ab7141",
10449.               "name" : "macos",
10450.               "topic" : "/mcafee/mar/agent/query/macos",
10451.               "enabled" : true
10452.             } ],
10453.             "platformSettings" : [ {
10454.               "platform" : {
10455.                 "catalogVersion" : 230233,
10456.                 "dbVersion" : 2,
10457.                 "id" : "58efec8ee4b0c390d69a8e0e",
10458.                 "name" : "windows",
10459.                 "topic" : "/mcafee/mar/agent/query/windows",
10460.                 "enabled" : true
10461.               },
10462.               "utf8Sensitive" : false
10463.             }, {
10464.               "platform" : {
10465.                 "catalogVersion" : 230233,
10466.                 "dbVersion" : 2,
10467.                 "id" : "58efec8ee4b0c390d69a8e0f",
10468.                 "name" : "linux",
10469.                 "topic" : "/mcafee/mar/agent/query/linux",
10470.                 "enabled" : true
10471.               },
10472.               "utf8Sensitive" : false
10473.             }, {
10474.               "platform" : {
10475.                 "catalogVersion" : 230233,
10476.                 "dbVersion" : 2,
10477.                 "id" : "5a1a45c9e4b0401274ab7141",
10478.                 "name" : "macos",
10479.                 "topic" : "/mcafee/mar/agent/query/macos",
10480.                 "enabled" : true
10481.               },
10482.               "utf8Sensitive" : false
10483.             } ],
10484.             "itemType" : "BUILTIN",
10485.             "catalogItems" : [ "COLLECTOR" ]
10486.           },
10487.           "content" : null,
10488.           "arguments" : [ ],
10489.           "utf8Sensitive" : false
10490.         } ],
10491.         "timeout" : 60,
10492.         "outputs" : [ {
10493.           "id" : "58efec8ee4b0c390d69a8e85",
10494.           "name" : "time",
10495.           "type" : "DATE",
10496.           "byDefault" : true,
10497.           "sequence" : 1
10498.         }, {
10499.           "id" : "58efec8ee4b0c390d69a8e86",
10500.           "name" : "direction",
10501.           "type" : "STRING",
10502.           "byDefault" : true,
10503.           "sequence" : 2
10504.         }, {
10505.           "id" : "58efec8ee4b0c390d69a8e87",
10506.           "name" : "src_ip",
10507.           "type" : "IPV4IPV6",
10508.           "byDefault" : true,
10509.           "sequence" : 3
10510.         }, {
10511.           "id" : "58efec8ee4b0c390d69a8e88",
10512.           "name" : "src_port",
10513.           "type" : "NUMBER",
10514.           "byDefault" : true,
10515.           "sequence" : 4
10516.         }, {
10517.           "id" : "58efec8ee4b0c390d69a8e89",
10518.           "name" : "dst_ip",
10519.           "type" : "IPV4IPV6",
10520.           "byDefault" : true,
10521.           "sequence" : 5
10522.         }, {
10523.           "id" : "58efec8ee4b0c390d69a8e8a",
10524.           "name" : "dst_port",
10525.           "type" : "NUMBER",
10526.           "byDefault" : true,
10527.           "sequence" : 6
10528.         }, {
10529.           "id" : "58efec8ee4b0c390d69a8e8b",
10530.           "name" : "status",
10531.           "type" : "STRING",
10532.           "byDefault" : true,
10533.           "sequence" : 7
10534.         }, {
10535.           "id" : "58efec8ee4b0c390d69a8e8c",
10536.           "name" : "proto",
10537.           "type" : "STRING",
10538.           "byDefault" : true,
10539.           "sequence" : 8
10540.         }, {
10541.           "id" : "58efec8ee4b0c390d69a8e8d",
10542.           "name" : "ip_class",
10543.           "type" : "NUMBER",
10544.           "byDefault" : false,
10545.           "sequence" : 9
10546.         }, {
10547.           "id" : "58efec8ee4b0c390d69a8e8e",
10548.           "name" : "seq_number",
10549.           "type" : "NUMBER",
10550.           "byDefault" : false,
10551.           "sequence" : 10
10552.         }, {
10553.           "id" : "58efec8ee4b0c390d69a8e8f",
10554.           "name" : "src_mac",
10555.           "type" : "STRING",
10556.           "byDefault" : false,
10557.           "sequence" : 11
10558.         }, {
10559.           "id" : "58efec8ee4b0c390d69a8e90",
10560.           "name" : "dst_mac",
10561.           "type" : "STRING",
10562.           "byDefault" : false,
10563.           "sequence" : 12
10564.         }, {
10565.           "id" : "58efec8ee4b0c390d69a8e91",
10566.           "name" : "process",
10567.           "type" : "STRING",
10568.           "byDefault" : true,
10569.           "sequence" : 13
10570.         }, {
10571.           "id" : "58efec8ee4b0c390d69a8e92",
10572.           "name" : "process_id",
10573.           "type" : "NUMBER",
10574.           "byDefault" : false,
10575.           "sequence" : 14
10576.         }, {
10577.           "id" : "58efec8ee4b0c390d69a8e93",
10578.           "name" : "md5",
10579.           "type" : "STRING",
10580.           "byDefault" : false,
10581.           "sequence" : 15
10582.         }, {
10583.           "id" : "58efec8ee4b0c390d69a8e94",
10584.           "name" : "sha1",
10585.           "type" : "STRING",
10586.           "byDefault" : false,
10587.           "sequence" : 16
10588.         }, {
10589.           "id" : "58efec8ee4b0c390d69a8e95",
10590.           "name" : "user",
10591.           "type" : "STRING",
10592.           "byDefault" : true,
10593.           "sequence" : 17
10594.         }, {
10595.           "id" : "58efec8ee4b0c390d69a8e96",
10596.           "name" : "user_id",
10597.           "type" : "STRING",
10598.           "byDefault" : false,
10599.           "sequence" : 18
10600.         }, {
10601.           "id" : "5a1a45cbe4b0401274ab7191",
10602.           "name" : "sha256",
10603.           "type" : "STRING",
10604.           "byDefault" : false,
10605.           "sequence" : 19
10606.         } ]
10607.       },
10608.       "sequence" : "2",
10609.       "output" : [ {
10610.         "id" : "58efec8ee4b0c390d69a8e87",
10611.         "name" : "src_ip",
10612.         "type" : "IPV4IPV6",
10613.         "byDefault" : true,
10614.         "sequence" : 3
10615.       }, {
10616.         "id" : "58efec8ee4b0c390d69a8e89",
10617.         "name" : "dst_ip",
10618.         "type" : "IPV4IPV6",
10619.         "byDefault" : true,
10620.         "sequence" : 5
10621.       }, {
10622.         "id" : "58efec8ee4b0c390d69a8e88",
10623.         "name" : "src_port",
10624.         "type" : "NUMBER",
10625.         "byDefault" : true,
10626.         "sequence" : 4
10627.       }, {
10628.         "id" : "58efec8ee4b0c390d69a8e8a",
10629.         "name" : "dst_port",
10630.         "type" : "NUMBER",
10631.         "byDefault" : true,
10632.         "sequence" : 6
10633.       }, {
10634.         "id" : "58efec8ee4b0c390d69a8e8d",
10635.         "name" : "ip_class",
10636.         "type" : "NUMBER",
10637.         "byDefault" : false,
10638.         "sequence" : 9
10639.       }, {
10640.         "id" : "58efec8ee4b0c390d69a8e86",
10641.         "name" : "direction",
10642.         "type" : "STRING",
10643.         "byDefault" : true,
10644.         "sequence" : 2
10645.       }, {
10646.         "id" : "58efec8ee4b0c390d69a8e8b",
10647.         "name" : "status",
10648.         "type" : "STRING",
10649.         "byDefault" : true,
10650.         "sequence" : 7
10651.       }, {
10652.         "id" : "58efec8ee4b0c390d69a8e8c",
10653.         "name" : "proto",
10654.         "type" : "STRING",
10655.         "byDefault" : true,
10656.         "sequence" : 8
10657.       }, {
10658.         "id" : "58efec8ee4b0c390d69a8e95",
10659.         "name" : "user",
10660.         "type" : "STRING",
10661.         "byDefault" : true,
10662.         "sequence" : 17
10663.       } ]
10664.     } ],
10665.     "disjunction" : {
10666.       "conjunctions" : [ {
10667.         "terms" : [ {
10668.           "output" : {
10669.             "id" : "58efec8ee4b0c390d69a8ec2",
10670.             "name" : "hostname",
10671.             "type" : "STRING",
10672.             "byDefault" : false,
10673.             "sequence" : 1
10674.           },
10675.           "operator" : "EQUALS",
10676.           "value" : "WIN72",
10677.           "negated" : false,
10678.           "collector" : {
10679.             "catalogVersion" : 230233,
10680.             "dbVersion" : 2,
10681.             "id" : "58efec8ee4b0c390d69a8ec5",
10682.             "name" : "HostInfo",
10683.             "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
10684.             "type" : "BUILTIN",
10685.             "contents" : [ {
10686.               "platform" : {
10687.                 "catalogVersion" : 230233,
10688.                 "dbVersion" : 2,
10689.                 "id" : "58efec8ee4b0c390d69a8e0f",
10690.                 "name" : "linux",
10691.                 "topic" : "/mcafee/mar/agent/query/linux",
10692.                 "enabled" : true
10693.               },
10694.               "capability" : {
10695.                 "catalogVersion" : 230233,
10696.                 "dbVersion" : 2,
10697.                 "id" : "58efec8ee4b0c390d69a8e14",
10698.                 "name" : "Bash Script",
10699.                 "description" : "Executes Bash script on target client",
10700.                 "module" : "SystemRuntime",
10701.                 "function" : "executeBash",
10702.                 "contentEnabled" : true,
10703.                 "arguments" : [ ],
10704.                 "outputs" : [ ],
10705.                 "formatArgs" : {
10706.                   "hasHeaders" : false,
10707.                   "delimiter" : ","
10708.                 },
10709.                 "format" : "CSV",
10710.                 "platforms" : [ {
10711.                   "catalogVersion" : 230233,
10712.                   "dbVersion" : 2,
10713.                   "id" : "58efec8ee4b0c390d69a8e0f",
10714.                   "name" : "linux",
10715.                   "topic" : "/mcafee/mar/agent/query/linux",
10716.                   "enabled" : true
10717.                 }, {
10718.                   "catalogVersion" : 230233,
10719.                   "dbVersion" : 2,
10720.                   "id" : "5a1a45c9e4b0401274ab7141",
10721.                   "name" : "macos",
10722.                   "topic" : "/mcafee/mar/agent/query/macos",
10723.                   "enabled" : true
10724.                 } ],
10725.                 "platformSettings" : [ {
10726.                   "platform" : {
10727.                     "catalogVersion" : 230233,
10728.                     "dbVersion" : 2,
10729.                     "id" : "58efec8ee4b0c390d69a8e0f",
10730.                     "name" : "linux",
10731.                     "topic" : "/mcafee/mar/agent/query/linux",
10732.                     "enabled" : true
10733.                   },
10734.                   "utf8Sensitive" : false
10735.                 }, {
10736.                   "platform" : {
10737.                     "catalogVersion" : 230233,
10738.                     "dbVersion" : 2,
10739.                     "id" : "5a1a45c9e4b0401274ab7141",
10740.                     "name" : "macos",
10741.                     "topic" : "/mcafee/mar/agent/query/macos",
10742.                     "enabled" : true
10743.                   },
10744.                   "utf8Sensitive" : false
10745.                 } ],
10746.                 "itemType" : "CUSTOM",
10747.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
10748.               },
10749.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
10750.               "arguments" : [ ],
10751.               "utf8Sensitive" : false
10752.             }, {
10753.               "platform" : {
10754.                 "catalogVersion" : 230233,
10755.                 "dbVersion" : 2,
10756.                 "id" : "58efec8ee4b0c390d69a8e0e",
10757.                 "name" : "windows",
10758.                 "topic" : "/mcafee/mar/agent/query/windows",
10759.                 "enabled" : true
10760.               },
10761.               "capability" : {
10762.                 "catalogVersion" : 230233,
10763.                 "dbVersion" : 2,
10764.                 "id" : "58efec8ee4b0c390d69a8e12",
10765.                 "name" : "Visual Basic Script",
10766.                 "description" : "Executes VBS script on target client",
10767.                 "module" : "SystemRuntime",
10768.                 "function" : "executeVBS",
10769.                 "contentEnabled" : true,
10770.                 "arguments" : [ ],
10771.                 "outputs" : [ ],
10772.                 "formatArgs" : {
10773.                   "hasHeaders" : false,
10774.                   "delimiter" : ","
10775.                 },
10776.                 "format" : "CSV",
10777.                 "platforms" : [ {
10778.                   "catalogVersion" : 230233,
10779.                   "dbVersion" : 2,
10780.                   "id" : "58efec8ee4b0c390d69a8e0e",
10781.                   "name" : "windows",
10782.                   "topic" : "/mcafee/mar/agent/query/windows",
10783.                   "enabled" : true
10784.                 } ],
10785.                 "platformSettings" : [ {
10786.                   "platform" : {
10787.                     "catalogVersion" : 230233,
10788.                     "dbVersion" : 2,
10789.                     "id" : "58efec8ee4b0c390d69a8e0e",
10790.                     "name" : "windows",
10791.                     "topic" : "/mcafee/mar/agent/query/windows",
10792.                     "enabled" : true
10793.                   },
10794.                   "utf8Sensitive" : false
10795.                 } ],
10796.                 "itemType" : "CUSTOM",
10797.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
10798.               },
10799.               "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
10800.               "arguments" : [ ],
10801.               "utf8Sensitive" : false
10802.             }, {
10803.               "platform" : {
10804.                 "catalogVersion" : 230233,
10805.                 "dbVersion" : 2,
10806.                 "id" : "5a1a45c9e4b0401274ab7141",
10807.                 "name" : "macos",
10808.                 "topic" : "/mcafee/mar/agent/query/macos",
10809.                 "enabled" : true
10810.               },
10811.               "capability" : {
10812.                 "catalogVersion" : 230233,
10813.                 "dbVersion" : 2,
10814.                 "id" : "5a1a45cae4b0401274ab7183",
10815.                 "name" : "HostInfo SysInfo",
10816.                 "description" : "Shows Hostname, 1st IP Address and OS version",
10817.                 "module" : "SysInfo",
10818.                 "function" : "HostInfo",
10819.                 "contentEnabled" : false,
10820.                 "arguments" : [ ],
10821.                 "outputs" : [ ],
10822.                 "formatArgs" : { },
10823.                 "format" : "BIN",
10824.                 "platforms" : [ {
10825.                   "catalogVersion" : 230233,
10826.                   "dbVersion" : 2,
10827.                   "id" : "5a1a45c9e4b0401274ab7141",
10828.                   "name" : "macos",
10829.                   "topic" : "/mcafee/mar/agent/query/macos",
10830.                   "enabled" : true
10831.                 } ],
10832.                 "platformSettings" : [ {
10833.                   "platform" : {
10834.                     "catalogVersion" : 230233,
10835.                     "dbVersion" : 2,
10836.                     "id" : "5a1a45c9e4b0401274ab7141",
10837.                     "name" : "macos",
10838.                     "topic" : "/mcafee/mar/agent/query/macos",
10839.                     "enabled" : true
10840.                   },
10841.                   "utf8Sensitive" : false
10842.                 } ],
10843.                 "itemType" : "BUILTIN",
10844.                 "catalogItems" : [ "COLLECTOR" ]
10845.               },
10846.               "content" : null,
10847.               "arguments" : [ ],
10848.               "utf8Sensitive" : false
10849.             } ],
10850.             "timeout" : 60,
10851.             "outputs" : [ {
10852.               "id" : "58efec8ee4b0c390d69a8ec2",
10853.               "name" : "hostname",
10854.               "type" : "STRING",
10855.               "byDefault" : false,
10856.               "sequence" : 1
10857.             }, {
10858.               "id" : "58efec8ee4b0c390d69a8ec3",
10859.               "name" : "ip_address",
10860.               "type" : "IPV4IPV6",
10861.               "byDefault" : false,
10862.               "sequence" : 2
10863.             }, {
10864.               "id" : "58efec8ee4b0c390d69a8ec4",
10865.               "name" : "os",
10866.               "type" : "STRING",
10867.               "byDefault" : false,
10868.               "sequence" : 3
10869.             }, {
10870.               "id" : "5b3f9b64e4b0dfaf321a6346",
10871.               "name" : "connection_status",
10872.               "type" : "STRING",
10873.               "byDefault" : false,
10874.               "sequence" : 4
10875.             }, {
10876.               "id" : "5b3f9b64e4b0dfaf321a6347",
10877.               "name" : "platform",
10878.               "type" : "STRING",
10879.               "byDefault" : false,
10880.               "sequence" : 5
10881.             } ]
10882.           }
10883.         }, {
10884.           "output" : {
10885.             "id" : "58efec8ee4b0c390d69a8e85",
10886.             "name" : "time",
10887.             "type" : "DATE",
10888.             "byDefault" : true,
10889.             "sequence" : 1
10890.           },
10891.           "operator" : "AFTER",
10892.           "value" : "2017-10-30 20:00:00",
10893.           "negated" : false,
10894.           "collector" : {
10895.             "catalogVersion" : 230233,
10896.             "dbVersion" : 2,
10897.             "id" : "58efec8ee4b0c390d69a8e97",
10898.             "name" : "NetworkFlow",
10899.             "description" : "Shows the network flow",
10900.             "type" : "BUILTIN",
10901.             "contents" : [ {
10902.               "platform" : {
10903.                 "catalogVersion" : 230233,
10904.                 "dbVersion" : 2,
10905.                 "id" : "58efec8ee4b0c390d69a8e0f",
10906.                 "name" : "linux",
10907.                 "topic" : "/mcafee/mar/agent/query/linux",
10908.                 "enabled" : true
10909.               },
10910.               "capability" : {
10911.                 "catalogVersion" : 230233,
10912.                 "dbVersion" : 2,
10913.                 "id" : "58efec8ee4b0c390d69a8e1f",
10914.                 "name" : "NetworkFlow",
10915.                 "description" : "Gets flow information",
10916.                 "module" : "NetworkFlow",
10917.                 "function" : "FindFlow",
10918.                 "contentEnabled" : false,
10919.                 "arguments" : [ ],
10920.                 "outputs" : [ ],
10921.                 "formatArgs" : { },
10922.                 "format" : "BIN",
10923.                 "platforms" : [ {
10924.                   "catalogVersion" : 230233,
10925.                   "dbVersion" : 2,
10926.                   "id" : "58efec8ee4b0c390d69a8e0e",
10927.                   "name" : "windows",
10928.                   "topic" : "/mcafee/mar/agent/query/windows",
10929.                   "enabled" : true
10930.                 }, {
10931.                   "catalogVersion" : 230233,
10932.                   "dbVersion" : 2,
10933.                   "id" : "58efec8ee4b0c390d69a8e0f",
10934.                   "name" : "linux",
10935.                   "topic" : "/mcafee/mar/agent/query/linux",
10936.                   "enabled" : true
10937.                 }, {
10938.                   "catalogVersion" : 230233,
10939.                   "dbVersion" : 2,
10940.                   "id" : "5a1a45c9e4b0401274ab7141",
10941.                   "name" : "macos",
10942.                   "topic" : "/mcafee/mar/agent/query/macos",
10943.                   "enabled" : true
10944.                 } ],
10945.                 "platformSettings" : [ {
10946.                   "platform" : {
10947.                     "catalogVersion" : 230233,
10948.                     "dbVersion" : 2,
10949.                     "id" : "58efec8ee4b0c390d69a8e0e",
10950.                     "name" : "windows",
10951.                     "topic" : "/mcafee/mar/agent/query/windows",
10952.                     "enabled" : true
10953.                   },
10954.                   "utf8Sensitive" : false
10955.                 }, {
10956.                   "platform" : {
10957.                     "catalogVersion" : 230233,
10958.                     "dbVersion" : 2,
10959.                     "id" : "58efec8ee4b0c390d69a8e0f",
10960.                     "name" : "linux",
10961.                     "topic" : "/mcafee/mar/agent/query/linux",
10962.                     "enabled" : true
10963.                   },
10964.                   "utf8Sensitive" : false
10965.                 }, {
10966.                   "platform" : {
10967.                     "catalogVersion" : 230233,
10968.                     "dbVersion" : 2,
10969.                     "id" : "5a1a45c9e4b0401274ab7141",
10970.                     "name" : "macos",
10971.                     "topic" : "/mcafee/mar/agent/query/macos",
10972.                     "enabled" : true
10973.                   },
10974.                   "utf8Sensitive" : false
10975.                 } ],
10976.                 "itemType" : "BUILTIN",
10977.                 "catalogItems" : [ "COLLECTOR" ]
10978.               },
10979.               "content" : null,
10980.               "arguments" : [ ],
10981.               "utf8Sensitive" : false
10982.             }, {
10983.               "platform" : {
10984.                 "catalogVersion" : 230233,
10985.                 "dbVersion" : 2,
10986.                 "id" : "58efec8ee4b0c390d69a8e0e",
10987.                 "name" : "windows",
10988.                 "topic" : "/mcafee/mar/agent/query/windows",
10989.                 "enabled" : true
10990.               },
10991.               "capability" : {
10992.                 "catalogVersion" : 230233,
10993.                 "dbVersion" : 2,
10994.                 "id" : "58efec8ee4b0c390d69a8e1f",
10995.                 "name" : "NetworkFlow",
10996.                 "description" : "Gets flow information",
10997.                 "module" : "NetworkFlow",
10998.                 "function" : "FindFlow",
10999.                 "contentEnabled" : false,
11000.                 "arguments" : [ ],
11001.                 "outputs" : [ ],
11002.                 "formatArgs" : { },
11003.                 "format" : "BIN",
11004.                 "platforms" : [ {
11005.                   "catalogVersion" : 230233,
11006.                   "dbVersion" : 2,
11007.                   "id" : "58efec8ee4b0c390d69a8e0e",
11008.                   "name" : "windows",
11009.                   "topic" : "/mcafee/mar/agent/query/windows",
11010.                   "enabled" : true
11011.                 }, {
11012.                   "catalogVersion" : 230233,
11013.                   "dbVersion" : 2,
11014.                   "id" : "58efec8ee4b0c390d69a8e0f",
11015.                   "name" : "linux",
11016.                   "topic" : "/mcafee/mar/agent/query/linux",
11017.                   "enabled" : true
11018.                 }, {
11019.                   "catalogVersion" : 230233,
11020.                   "dbVersion" : 2,
11021.                   "id" : "5a1a45c9e4b0401274ab7141",
11022.                   "name" : "macos",
11023.                   "topic" : "/mcafee/mar/agent/query/macos",
11024.                   "enabled" : true
11025.                 } ],
11026.                 "platformSettings" : [ {
11027.                   "platform" : {
11028.                     "catalogVersion" : 230233,
11029.                     "dbVersion" : 2,
11030.                     "id" : "58efec8ee4b0c390d69a8e0e",
11031.                     "name" : "windows",
11032.                     "topic" : "/mcafee/mar/agent/query/windows",
11033.                     "enabled" : true
11034.                   },
11035.                   "utf8Sensitive" : false
11036.                 }, {
11037.                   "platform" : {
11038.                     "catalogVersion" : 230233,
11039.                     "dbVersion" : 2,
11040.                     "id" : "58efec8ee4b0c390d69a8e0f",
11041.                     "name" : "linux",
11042.                     "topic" : "/mcafee/mar/agent/query/linux",
11043.                     "enabled" : true
11044.                   },
11045.                   "utf8Sensitive" : false
11046.                 }, {
11047.                   "platform" : {
11048.                     "catalogVersion" : 230233,
11049.                     "dbVersion" : 2,
11050.                     "id" : "5a1a45c9e4b0401274ab7141",
11051.                     "name" : "macos",
11052.                     "topic" : "/mcafee/mar/agent/query/macos",
11053.                     "enabled" : true
11054.                   },
11055.                   "utf8Sensitive" : false
11056.                 } ],
11057.                 "itemType" : "BUILTIN",
11058.                 "catalogItems" : [ "COLLECTOR" ]
11059.               },
11060.               "content" : null,
11061.               "arguments" : [ ],
11062.               "utf8Sensitive" : false
11063.             }, {
11064.               "platform" : {
11065.                 "catalogVersion" : 230233,
11066.                 "dbVersion" : 2,
11067.                 "id" : "5a1a45c9e4b0401274ab7141",
11068.                 "name" : "macos",
11069.                 "topic" : "/mcafee/mar/agent/query/macos",
11070.                 "enabled" : true
11071.               },
11072.               "capability" : {
11073.                 "catalogVersion" : 230233,
11074.                 "dbVersion" : 2,
11075.                 "id" : "58efec8ee4b0c390d69a8e1f",
11076.                 "name" : "NetworkFlow",
11077.                 "description" : "Gets flow information",
11078.                 "module" : "NetworkFlow",
11079.                 "function" : "FindFlow",
11080.                 "contentEnabled" : false,
11081.                 "arguments" : [ ],
11082.                 "outputs" : [ ],
11083.                 "formatArgs" : { },
11084.                 "format" : "BIN",
11085.                 "platforms" : [ {
11086.                   "catalogVersion" : 230233,
11087.                   "dbVersion" : 2,
11088.                   "id" : "58efec8ee4b0c390d69a8e0e",
11089.                   "name" : "windows",
11090.                   "topic" : "/mcafee/mar/agent/query/windows",
11091.                   "enabled" : true
11092.                 }, {
11093.                   "catalogVersion" : 230233,
11094.                   "dbVersion" : 2,
11095.                   "id" : "58efec8ee4b0c390d69a8e0f",
11096.                   "name" : "linux",
11097.                   "topic" : "/mcafee/mar/agent/query/linux",
11098.                   "enabled" : true
11099.                 }, {
11100.                   "catalogVersion" : 230233,
11101.                   "dbVersion" : 2,
11102.                   "id" : "5a1a45c9e4b0401274ab7141",
11103.                   "name" : "macos",
11104.                   "topic" : "/mcafee/mar/agent/query/macos",
11105.                   "enabled" : true
11106.                 } ],
11107.                 "platformSettings" : [ {
11108.                   "platform" : {
11109.                     "catalogVersion" : 230233,
11110.                     "dbVersion" : 2,
11111.                     "id" : "58efec8ee4b0c390d69a8e0e",
11112.                     "name" : "windows",
11113.                     "topic" : "/mcafee/mar/agent/query/windows",
11114.                     "enabled" : true
11115.                   },
11116.                   "utf8Sensitive" : false
11117.                 }, {
11118.                   "platform" : {
11119.                     "catalogVersion" : 230233,
11120.                     "dbVersion" : 2,
11121.                     "id" : "58efec8ee4b0c390d69a8e0f",
11122.                     "name" : "linux",
11123.                     "topic" : "/mcafee/mar/agent/query/linux",
11124.                     "enabled" : true
11125.                   },
11126.                   "utf8Sensitive" : false
11127.                 }, {
11128.                   "platform" : {
11129.                     "catalogVersion" : 230233,
11130.                     "dbVersion" : 2,
11131.                     "id" : "5a1a45c9e4b0401274ab7141",
11132.                     "name" : "macos",
11133.                     "topic" : "/mcafee/mar/agent/query/macos",
11134.                     "enabled" : true
11135.                   },
11136.                   "utf8Sensitive" : false
11137.                 } ],
11138.                 "itemType" : "BUILTIN",
11139.                 "catalogItems" : [ "COLLECTOR" ]
11140.               },
11141.               "content" : null,
11142.               "arguments" : [ ],
11143.               "utf8Sensitive" : false
11144.             } ],
11145.             "timeout" : 60,
11146.             "outputs" : [ {
11147.               "id" : "58efec8ee4b0c390d69a8e85",
11148.               "name" : "time",
11149.               "type" : "DATE",
11150.               "byDefault" : true,
11151.               "sequence" : 1
11152.             }, {
11153.               "id" : "58efec8ee4b0c390d69a8e86",
11154.               "name" : "direction",
11155.               "type" : "STRING",
11156.               "byDefault" : true,
11157.               "sequence" : 2
11158.             }, {
11159.               "id" : "58efec8ee4b0c390d69a8e87",
11160.               "name" : "src_ip",
11161.               "type" : "IPV4IPV6",
11162.               "byDefault" : true,
11163.               "sequence" : 3
11164.             }, {
11165.               "id" : "58efec8ee4b0c390d69a8e88",
11166.               "name" : "src_port",
11167.               "type" : "NUMBER",
11168.               "byDefault" : true,
11169.               "sequence" : 4
11170.             }, {
11171.               "id" : "58efec8ee4b0c390d69a8e89",
11172.               "name" : "dst_ip",
11173.               "type" : "IPV4IPV6",
11174.               "byDefault" : true,
11175.               "sequence" : 5
11176.             }, {
11177.               "id" : "58efec8ee4b0c390d69a8e8a",
11178.               "name" : "dst_port",
11179.               "type" : "NUMBER",
11180.               "byDefault" : true,
11181.               "sequence" : 6
11182.             }, {
11183.               "id" : "58efec8ee4b0c390d69a8e8b",
11184.               "name" : "status",
11185.               "type" : "STRING",
11186.               "byDefault" : true,
11187.               "sequence" : 7
11188.             }, {
11189.               "id" : "58efec8ee4b0c390d69a8e8c",
11190.               "name" : "proto",
11191.               "type" : "STRING",
11192.               "byDefault" : true,
11193.               "sequence" : 8
11194.             }, {
11195.               "id" : "58efec8ee4b0c390d69a8e8d",
11196.               "name" : "ip_class",
11197.               "type" : "NUMBER",
11198.               "byDefault" : false,
11199.               "sequence" : 9
11200.             }, {
11201.               "id" : "58efec8ee4b0c390d69a8e8e",
11202.               "name" : "seq_number",
11203.               "type" : "NUMBER",
11204.               "byDefault" : false,
11205.               "sequence" : 10
11206.             }, {
11207.               "id" : "58efec8ee4b0c390d69a8e8f",
11208.               "name" : "src_mac",
11209.               "type" : "STRING",
11210.               "byDefault" : false,
11211.               "sequence" : 11
11212.             }, {
11213.               "id" : "58efec8ee4b0c390d69a8e90",
11214.               "name" : "dst_mac",
11215.               "type" : "STRING",
11216.               "byDefault" : false,
11217.               "sequence" : 12
11218.             }, {
11219.               "id" : "58efec8ee4b0c390d69a8e91",
11220.               "name" : "process",
11221.               "type" : "STRING",
11222.               "byDefault" : true,
11223.               "sequence" : 13
11224.             }, {
11225.               "id" : "58efec8ee4b0c390d69a8e92",
11226.               "name" : "process_id",
11227.               "type" : "NUMBER",
11228.               "byDefault" : false,
11229.               "sequence" : 14
11230.             }, {
11231.               "id" : "58efec8ee4b0c390d69a8e93",
11232.               "name" : "md5",
11233.               "type" : "STRING",
11234.               "byDefault" : false,
11235.               "sequence" : 15
11236.             }, {
11237.               "id" : "58efec8ee4b0c390d69a8e94",
11238.               "name" : "sha1",
11239.               "type" : "STRING",
11240.               "byDefault" : false,
11241.               "sequence" : 16
11242.             }, {
11243.               "id" : "58efec8ee4b0c390d69a8e95",
11244.               "name" : "user",
11245.               "type" : "STRING",
11246.               "byDefault" : true,
11247.               "sequence" : 17
11248.             }, {
11249.               "id" : "58efec8ee4b0c390d69a8e96",
11250.               "name" : "user_id",
11251.               "type" : "STRING",
11252.               "byDefault" : false,
11253.               "sequence" : 18
11254.             }, {
11255.               "id" : "5a1a45cbe4b0401274ab7191",
11256.               "name" : "sha256",
11257.               "type" : "STRING",
11258.               "byDefault" : false,
11259.               "sequence" : 19
11260.             } ]
11261.           }
11262.         }, {
11263.           "output" : {
11264.             "id" : "58efec8ee4b0c390d69a8e85",
11265.             "name" : "time",
11266.             "type" : "DATE",
11267.             "byDefault" : true,
11268.             "sequence" : 1
11269.           },
11270.           "operator" : "BEFORE",
11271.           "value" : "2017-10-30 20:10:00",
11272.           "negated" : false,
11273.           "collector" : {
11274.             "catalogVersion" : 230233,
11275.             "dbVersion" : 2,
11276.             "id" : "58efec8ee4b0c390d69a8e97",
11277.             "name" : "NetworkFlow",
11278.             "description" : "Shows the network flow",
11279.             "type" : "BUILTIN",
11280.             "contents" : [ {
11281.               "platform" : {
11282.                 "catalogVersion" : 230233,
11283.                 "dbVersion" : 2,
11284.                 "id" : "58efec8ee4b0c390d69a8e0f",
11285.                 "name" : "linux",
11286.                 "topic" : "/mcafee/mar/agent/query/linux",
11287.                 "enabled" : true
11288.               },
11289.               "capability" : {
11290.                 "catalogVersion" : 230233,
11291.                 "dbVersion" : 2,
11292.                 "id" : "58efec8ee4b0c390d69a8e1f",
11293.                 "name" : "NetworkFlow",
11294.                 "description" : "Gets flow information",
11295.                 "module" : "NetworkFlow",
11296.                 "function" : "FindFlow",
11297.                 "contentEnabled" : false,
11298.                 "arguments" : [ ],
11299.                 "outputs" : [ ],
11300.                 "formatArgs" : { },
11301.                 "format" : "BIN",
11302.                 "platforms" : [ {
11303.                   "catalogVersion" : 230233,
11304.                   "dbVersion" : 2,
11305.                   "id" : "58efec8ee4b0c390d69a8e0e",
11306.                   "name" : "windows",
11307.                   "topic" : "/mcafee/mar/agent/query/windows",
11308.                   "enabled" : true
11309.                 }, {
11310.                   "catalogVersion" : 230233,
11311.                   "dbVersion" : 2,
11312.                   "id" : "58efec8ee4b0c390d69a8e0f",
11313.                   "name" : "linux",
11314.                   "topic" : "/mcafee/mar/agent/query/linux",
11315.                   "enabled" : true
11316.                 }, {
11317.                   "catalogVersion" : 230233,
11318.                   "dbVersion" : 2,
11319.                   "id" : "5a1a45c9e4b0401274ab7141",
11320.                   "name" : "macos",
11321.                   "topic" : "/mcafee/mar/agent/query/macos",
11322.                   "enabled" : true
11323.                 } ],
11324.                 "platformSettings" : [ {
11325.                   "platform" : {
11326.                     "catalogVersion" : 230233,
11327.                     "dbVersion" : 2,
11328.                     "id" : "58efec8ee4b0c390d69a8e0e",
11329.                     "name" : "windows",
11330.                     "topic" : "/mcafee/mar/agent/query/windows",
11331.                     "enabled" : true
11332.                   },
11333.                   "utf8Sensitive" : false
11334.                 }, {
11335.                   "platform" : {
11336.                     "catalogVersion" : 230233,
11337.                     "dbVersion" : 2,
11338.                     "id" : "58efec8ee4b0c390d69a8e0f",
11339.                     "name" : "linux",
11340.                     "topic" : "/mcafee/mar/agent/query/linux",
11341.                     "enabled" : true
11342.                   },
11343.                   "utf8Sensitive" : false
11344.                 }, {
11345.                   "platform" : {
11346.                     "catalogVersion" : 230233,
11347.                     "dbVersion" : 2,
11348.                     "id" : "5a1a45c9e4b0401274ab7141",
11349.                     "name" : "macos",
11350.                     "topic" : "/mcafee/mar/agent/query/macos",
11351.                     "enabled" : true
11352.                   },
11353.                   "utf8Sensitive" : false
11354.                 } ],
11355.                 "itemType" : "BUILTIN",
11356.                 "catalogItems" : [ "COLLECTOR" ]
11357.               },
11358.               "content" : null,
11359.               "arguments" : [ ],
11360.               "utf8Sensitive" : false
11361.             }, {
11362.               "platform" : {
11363.                 "catalogVersion" : 230233,
11364.                 "dbVersion" : 2,
11365.                 "id" : "58efec8ee4b0c390d69a8e0e",
11366.                 "name" : "windows",
11367.                 "topic" : "/mcafee/mar/agent/query/windows",
11368.                 "enabled" : true
11369.               },
11370.               "capability" : {
11371.                 "catalogVersion" : 230233,
11372.                 "dbVersion" : 2,
11373.                 "id" : "58efec8ee4b0c390d69a8e1f",
11374.                 "name" : "NetworkFlow",
11375.                 "description" : "Gets flow information",
11376.                 "module" : "NetworkFlow",
11377.                 "function" : "FindFlow",
11378.                 "contentEnabled" : false,
11379.                 "arguments" : [ ],
11380.                 "outputs" : [ ],
11381.                 "formatArgs" : { },
11382.                 "format" : "BIN",
11383.                 "platforms" : [ {
11384.                   "catalogVersion" : 230233,
11385.                   "dbVersion" : 2,
11386.                   "id" : "58efec8ee4b0c390d69a8e0e",
11387.                   "name" : "windows",
11388.                   "topic" : "/mcafee/mar/agent/query/windows",
11389.                   "enabled" : true
11390.                 }, {
11391.                   "catalogVersion" : 230233,
11392.                   "dbVersion" : 2,
11393.                   "id" : "58efec8ee4b0c390d69a8e0f",
11394.                   "name" : "linux",
11395.                   "topic" : "/mcafee/mar/agent/query/linux",
11396.                   "enabled" : true
11397.                 }, {
11398.                   "catalogVersion" : 230233,
11399.                   "dbVersion" : 2,
11400.                   "id" : "5a1a45c9e4b0401274ab7141",
11401.                   "name" : "macos",
11402.                   "topic" : "/mcafee/mar/agent/query/macos",
11403.                   "enabled" : true
11404.                 } ],
11405.                 "platformSettings" : [ {
11406.                   "platform" : {
11407.                     "catalogVersion" : 230233,
11408.                     "dbVersion" : 2,
11409.                     "id" : "58efec8ee4b0c390d69a8e0e",
11410.                     "name" : "windows",
11411.                     "topic" : "/mcafee/mar/agent/query/windows",
11412.                     "enabled" : true
11413.                   },
11414.                   "utf8Sensitive" : false
11415.                 }, {
11416.                   "platform" : {
11417.                     "catalogVersion" : 230233,
11418.                     "dbVersion" : 2,
11419.                     "id" : "58efec8ee4b0c390d69a8e0f",
11420.                     "name" : "linux",
11421.                     "topic" : "/mcafee/mar/agent/query/linux",
11422.                     "enabled" : true
11423.                   },
11424.                   "utf8Sensitive" : false
11425.                 }, {
11426.                   "platform" : {
11427.                     "catalogVersion" : 230233,
11428.                     "dbVersion" : 2,
11429.                     "id" : "5a1a45c9e4b0401274ab7141",
11430.                     "name" : "macos",
11431.                     "topic" : "/mcafee/mar/agent/query/macos",
11432.                     "enabled" : true
11433.                   },
11434.                   "utf8Sensitive" : false
11435.                 } ],
11436.                 "itemType" : "BUILTIN",
11437.                 "catalogItems" : [ "COLLECTOR" ]
11438.               },
11439.               "content" : null,
11440.               "arguments" : [ ],
11441.               "utf8Sensitive" : false
11442.             }, {
11443.               "platform" : {
11444.                 "catalogVersion" : 230233,
11445.                 "dbVersion" : 2,
11446.                 "id" : "5a1a45c9e4b0401274ab7141",
11447.                 "name" : "macos",
11448.                 "topic" : "/mcafee/mar/agent/query/macos",
11449.                 "enabled" : true
11450.               },
11451.               "capability" : {
11452.                 "catalogVersion" : 230233,
11453.                 "dbVersion" : 2,
11454.                 "id" : "58efec8ee4b0c390d69a8e1f",
11455.                 "name" : "NetworkFlow",
11456.                 "description" : "Gets flow information",
11457.                 "module" : "NetworkFlow",
11458.                 "function" : "FindFlow",
11459.                 "contentEnabled" : false,
11460.                 "arguments" : [ ],
11461.                 "outputs" : [ ],
11462.                 "formatArgs" : { },
11463.                 "format" : "BIN",
11464.                 "platforms" : [ {
11465.                   "catalogVersion" : 230233,
11466.                   "dbVersion" : 2,
11467.                   "id" : "58efec8ee4b0c390d69a8e0e",
11468.                   "name" : "windows",
11469.                   "topic" : "/mcafee/mar/agent/query/windows",
11470.                   "enabled" : true
11471.                 }, {
11472.                   "catalogVersion" : 230233,
11473.                   "dbVersion" : 2,
11474.                   "id" : "58efec8ee4b0c390d69a8e0f",
11475.                   "name" : "linux",
11476.                   "topic" : "/mcafee/mar/agent/query/linux",
11477.                   "enabled" : true
11478.                 }, {
11479.                   "catalogVersion" : 230233,
11480.                   "dbVersion" : 2,
11481.                   "id" : "5a1a45c9e4b0401274ab7141",
11482.                   "name" : "macos",
11483.                   "topic" : "/mcafee/mar/agent/query/macos",
11484.                   "enabled" : true
11485.                 } ],
11486.                 "platformSettings" : [ {
11487.                   "platform" : {
11488.                     "catalogVersion" : 230233,
11489.                     "dbVersion" : 2,
11490.                     "id" : "58efec8ee4b0c390d69a8e0e",
11491.                     "name" : "windows",
11492.                     "topic" : "/mcafee/mar/agent/query/windows",
11493.                     "enabled" : true
11494.                   },
11495.                   "utf8Sensitive" : false
11496.                 }, {
11497.                   "platform" : {
11498.                     "catalogVersion" : 230233,
11499.                     "dbVersion" : 2,
11500.                     "id" : "58efec8ee4b0c390d69a8e0f",
11501.                     "name" : "linux",
11502.                     "topic" : "/mcafee/mar/agent/query/linux",
11503.                     "enabled" : true
11504.                   },
11505.                   "utf8Sensitive" : false
11506.                 }, {
11507.                   "platform" : {
11508.                     "catalogVersion" : 230233,
11509.                     "dbVersion" : 2,
11510.                     "id" : "5a1a45c9e4b0401274ab7141",
11511.                     "name" : "macos",
11512.                     "topic" : "/mcafee/mar/agent/query/macos",
11513.                     "enabled" : true
11514.                   },
11515.                   "utf8Sensitive" : false
11516.                 } ],
11517.                 "itemType" : "BUILTIN",
11518.                 "catalogItems" : [ "COLLECTOR" ]
11519.               },
11520.               "content" : null,
11521.               "arguments" : [ ],
11522.               "utf8Sensitive" : false
11523.             } ],
11524.             "timeout" : 60,
11525.             "outputs" : [ {
11526.               "id" : "58efec8ee4b0c390d69a8e85",
11527.               "name" : "time",
11528.               "type" : "DATE",
11529.               "byDefault" : true,
11530.               "sequence" : 1
11531.             }, {
11532.               "id" : "58efec8ee4b0c390d69a8e86",
11533.               "name" : "direction",
11534.               "type" : "STRING",
11535.               "byDefault" : true,
11536.               "sequence" : 2
11537.             }, {
11538.               "id" : "58efec8ee4b0c390d69a8e87",
11539.               "name" : "src_ip",
11540.               "type" : "IPV4IPV6",
11541.               "byDefault" : true,
11542.               "sequence" : 3
11543.             }, {
11544.               "id" : "58efec8ee4b0c390d69a8e88",
11545.               "name" : "src_port",
11546.               "type" : "NUMBER",
11547.               "byDefault" : true,
11548.               "sequence" : 4
11549.             }, {
11550.               "id" : "58efec8ee4b0c390d69a8e89",
11551.               "name" : "dst_ip",
11552.               "type" : "IPV4IPV6",
11553.               "byDefault" : true,
11554.               "sequence" : 5
11555.             }, {
11556.               "id" : "58efec8ee4b0c390d69a8e8a",
11557.               "name" : "dst_port",
11558.               "type" : "NUMBER",
11559.               "byDefault" : true,
11560.               "sequence" : 6
11561.             }, {
11562.               "id" : "58efec8ee4b0c390d69a8e8b",
11563.               "name" : "status",
11564.               "type" : "STRING",
11565.               "byDefault" : true,
11566.               "sequence" : 7
11567.             }, {
11568.               "id" : "58efec8ee4b0c390d69a8e8c",
11569.               "name" : "proto",
11570.               "type" : "STRING",
11571.               "byDefault" : true,
11572.               "sequence" : 8
11573.             }, {
11574.               "id" : "58efec8ee4b0c390d69a8e8d",
11575.               "name" : "ip_class",
11576.               "type" : "NUMBER",
11577.               "byDefault" : false,
11578.               "sequence" : 9
11579.             }, {
11580.               "id" : "58efec8ee4b0c390d69a8e8e",
11581.               "name" : "seq_number",
11582.               "type" : "NUMBER",
11583.               "byDefault" : false,
11584.               "sequence" : 10
11585.             }, {
11586.               "id" : "58efec8ee4b0c390d69a8e8f",
11587.               "name" : "src_mac",
11588.               "type" : "STRING",
11589.               "byDefault" : false,
11590.               "sequence" : 11
11591.             }, {
11592.               "id" : "58efec8ee4b0c390d69a8e90",
11593.               "name" : "dst_mac",
11594.               "type" : "STRING",
11595.               "byDefault" : false,
11596.               "sequence" : 12
11597.             }, {
11598.               "id" : "58efec8ee4b0c390d69a8e91",
11599.               "name" : "process",
11600.               "type" : "STRING",
11601.               "byDefault" : true,
11602.               "sequence" : 13
11603.             }, {
11604.               "id" : "58efec8ee4b0c390d69a8e92",
11605.               "name" : "process_id",
11606.               "type" : "NUMBER",
11607.               "byDefault" : false,
11608.               "sequence" : 14
11609.             }, {
11610.               "id" : "58efec8ee4b0c390d69a8e93",
11611.               "name" : "md5",
11612.               "type" : "STRING",
11613.               "byDefault" : false,
11614.               "sequence" : 15
11615.             }, {
11616.               "id" : "58efec8ee4b0c390d69a8e94",
11617.               "name" : "sha1",
11618.               "type" : "STRING",
11619.               "byDefault" : false,
11620.               "sequence" : 16
11621.             }, {
11622.               "id" : "58efec8ee4b0c390d69a8e95",
11623.               "name" : "user",
11624.               "type" : "STRING",
11625.               "byDefault" : true,
11626.               "sequence" : 17
11627.             }, {
11628.               "id" : "58efec8ee4b0c390d69a8e96",
11629.               "name" : "user_id",
11630.               "type" : "STRING",
11631.               "byDefault" : false,
11632.               "sequence" : 18
11633.             }, {
11634.               "id" : "5a1a45cbe4b0401274ab7191",
11635.               "name" : "sha256",
11636.               "type" : "STRING",
11637.               "byDefault" : false,
11638.               "sequence" : 19
11639.             } ]
11640.           }
11641.         }, {
11642.           "output" : {
11643.             "id" : "58efec8ee4b0c390d69a8e8d",
11644.             "name" : "ip_class",
11645.             "type" : "NUMBER",
11646.             "byDefault" : false,
11647.             "sequence" : 9
11648.           },
11649.           "operator" : "EQUALS",
11650.           "value" : "0",
11651.           "negated" : false,
11652.           "collector" : {
11653.             "catalogVersion" : 230233,
11654.             "dbVersion" : 2,
11655.             "id" : "58efec8ee4b0c390d69a8e97",
11656.             "name" : "NetworkFlow",
11657.             "description" : "Shows the network flow",
11658.             "type" : "BUILTIN",
11659.             "contents" : [ {
11660.               "platform" : {
11661.                 "catalogVersion" : 230233,
11662.                 "dbVersion" : 2,
11663.                 "id" : "58efec8ee4b0c390d69a8e0f",
11664.                 "name" : "linux",
11665.                 "topic" : "/mcafee/mar/agent/query/linux",
11666.                 "enabled" : true
11667.               },
11668.               "capability" : {
11669.                 "catalogVersion" : 230233,
11670.                 "dbVersion" : 2,
11671.                 "id" : "58efec8ee4b0c390d69a8e1f",
11672.                 "name" : "NetworkFlow",
11673.                 "description" : "Gets flow information",
11674.                 "module" : "NetworkFlow",
11675.                 "function" : "FindFlow",
11676.                 "contentEnabled" : false,
11677.                 "arguments" : [ ],
11678.                 "outputs" : [ ],
11679.                 "formatArgs" : { },
11680.                 "format" : "BIN",
11681.                 "platforms" : [ {
11682.                   "catalogVersion" : 230233,
11683.                   "dbVersion" : 2,
11684.                   "id" : "58efec8ee4b0c390d69a8e0e",
11685.                   "name" : "windows",
11686.                   "topic" : "/mcafee/mar/agent/query/windows",
11687.                   "enabled" : true
11688.                 }, {
11689.                   "catalogVersion" : 230233,
11690.                   "dbVersion" : 2,
11691.                   "id" : "58efec8ee4b0c390d69a8e0f",
11692.                   "name" : "linux",
11693.                   "topic" : "/mcafee/mar/agent/query/linux",
11694.                   "enabled" : true
11695.                 }, {
11696.                   "catalogVersion" : 230233,
11697.                   "dbVersion" : 2,
11698.                   "id" : "5a1a45c9e4b0401274ab7141",
11699.                   "name" : "macos",
11700.                   "topic" : "/mcafee/mar/agent/query/macos",
11701.                   "enabled" : true
11702.                 } ],
11703.                 "platformSettings" : [ {
11704.                   "platform" : {
11705.                     "catalogVersion" : 230233,
11706.                     "dbVersion" : 2,
11707.                     "id" : "58efec8ee4b0c390d69a8e0e",
11708.                     "name" : "windows",
11709.                     "topic" : "/mcafee/mar/agent/query/windows",
11710.                     "enabled" : true
11711.                   },
11712.                   "utf8Sensitive" : false
11713.                 }, {
11714.                   "platform" : {
11715.                     "catalogVersion" : 230233,
11716.                     "dbVersion" : 2,
11717.                     "id" : "58efec8ee4b0c390d69a8e0f",
11718.                     "name" : "linux",
11719.                     "topic" : "/mcafee/mar/agent/query/linux",
11720.                     "enabled" : true
11721.                   },
11722.                   "utf8Sensitive" : false
11723.                 }, {
11724.                   "platform" : {
11725.                     "catalogVersion" : 230233,
11726.                     "dbVersion" : 2,
11727.                     "id" : "5a1a45c9e4b0401274ab7141",
11728.                     "name" : "macos",
11729.                     "topic" : "/mcafee/mar/agent/query/macos",
11730.                     "enabled" : true
11731.                   },
11732.                   "utf8Sensitive" : false
11733.                 } ],
11734.                 "itemType" : "BUILTIN",
11735.                 "catalogItems" : [ "COLLECTOR" ]
11736.               },
11737.               "content" : null,
11738.               "arguments" : [ ],
11739.               "utf8Sensitive" : false
11740.             }, {
11741.               "platform" : {
11742.                 "catalogVersion" : 230233,
11743.                 "dbVersion" : 2,
11744.                 "id" : "58efec8ee4b0c390d69a8e0e",
11745.                 "name" : "windows",
11746.                 "topic" : "/mcafee/mar/agent/query/windows",
11747.                 "enabled" : true
11748.               },
11749.               "capability" : {
11750.                 "catalogVersion" : 230233,
11751.                 "dbVersion" : 2,
11752.                 "id" : "58efec8ee4b0c390d69a8e1f",
11753.                 "name" : "NetworkFlow",
11754.                 "description" : "Gets flow information",
11755.                 "module" : "NetworkFlow",
11756.                 "function" : "FindFlow",
11757.                 "contentEnabled" : false,
11758.                 "arguments" : [ ],
11759.                 "outputs" : [ ],
11760.                 "formatArgs" : { },
11761.                 "format" : "BIN",
11762.                 "platforms" : [ {
11763.                   "catalogVersion" : 230233,
11764.                   "dbVersion" : 2,
11765.                   "id" : "58efec8ee4b0c390d69a8e0e",
11766.                   "name" : "windows",
11767.                   "topic" : "/mcafee/mar/agent/query/windows",
11768.                   "enabled" : true
11769.                 }, {
11770.                   "catalogVersion" : 230233,
11771.                   "dbVersion" : 2,
11772.                   "id" : "58efec8ee4b0c390d69a8e0f",
11773.                   "name" : "linux",
11774.                   "topic" : "/mcafee/mar/agent/query/linux",
11775.                   "enabled" : true
11776.                 }, {
11777.                   "catalogVersion" : 230233,
11778.                   "dbVersion" : 2,
11779.                   "id" : "5a1a45c9e4b0401274ab7141",
11780.                   "name" : "macos",
11781.                   "topic" : "/mcafee/mar/agent/query/macos",
11782.                   "enabled" : true
11783.                 } ],
11784.                 "platformSettings" : [ {
11785.                   "platform" : {
11786.                     "catalogVersion" : 230233,
11787.                     "dbVersion" : 2,
11788.                     "id" : "58efec8ee4b0c390d69a8e0e",
11789.                     "name" : "windows",
11790.                     "topic" : "/mcafee/mar/agent/query/windows",
11791.                     "enabled" : true
11792.                   },
11793.                   "utf8Sensitive" : false
11794.                 }, {
11795.                   "platform" : {
11796.                     "catalogVersion" : 230233,
11797.                     "dbVersion" : 2,
11798.                     "id" : "58efec8ee4b0c390d69a8e0f",
11799.                     "name" : "linux",
11800.                     "topic" : "/mcafee/mar/agent/query/linux",
11801.                     "enabled" : true
11802.                   },
11803.                   "utf8Sensitive" : false
11804.                 }, {
11805.                   "platform" : {
11806.                     "catalogVersion" : 230233,
11807.                     "dbVersion" : 2,
11808.                     "id" : "5a1a45c9e4b0401274ab7141",
11809.                     "name" : "macos",
11810.                     "topic" : "/mcafee/mar/agent/query/macos",
11811.                     "enabled" : true
11812.                   },
11813.                   "utf8Sensitive" : false
11814.                 } ],
11815.                 "itemType" : "BUILTIN",
11816.                 "catalogItems" : [ "COLLECTOR" ]
11817.               },
11818.               "content" : null,
11819.               "arguments" : [ ],
11820.               "utf8Sensitive" : false
11821.             }, {
11822.               "platform" : {
11823.                 "catalogVersion" : 230233,
11824.                 "dbVersion" : 2,
11825.                 "id" : "5a1a45c9e4b0401274ab7141",
11826.                 "name" : "macos",
11827.                 "topic" : "/mcafee/mar/agent/query/macos",
11828.                 "enabled" : true
11829.               },
11830.               "capability" : {
11831.                 "catalogVersion" : 230233,
11832.                 "dbVersion" : 2,
11833.                 "id" : "58efec8ee4b0c390d69a8e1f",
11834.                 "name" : "NetworkFlow",
11835.                 "description" : "Gets flow information",
11836.                 "module" : "NetworkFlow",
11837.                 "function" : "FindFlow",
11838.                 "contentEnabled" : false,
11839.                 "arguments" : [ ],
11840.                 "outputs" : [ ],
11841.                 "formatArgs" : { },
11842.                 "format" : "BIN",
11843.                 "platforms" : [ {
11844.                   "catalogVersion" : 230233,
11845.                   "dbVersion" : 2,
11846.                   "id" : "58efec8ee4b0c390d69a8e0e",
11847.                   "name" : "windows",
11848.                   "topic" : "/mcafee/mar/agent/query/windows",
11849.                   "enabled" : true
11850.                 }, {
11851.                   "catalogVersion" : 230233,
11852.                   "dbVersion" : 2,
11853.                   "id" : "58efec8ee4b0c390d69a8e0f",
11854.                   "name" : "linux",
11855.                   "topic" : "/mcafee/mar/agent/query/linux",
11856.                   "enabled" : true
11857.                 }, {
11858.                   "catalogVersion" : 230233,
11859.                   "dbVersion" : 2,
11860.                   "id" : "5a1a45c9e4b0401274ab7141",
11861.                   "name" : "macos",
11862.                   "topic" : "/mcafee/mar/agent/query/macos",
11863.                   "enabled" : true
11864.                 } ],
11865.                 "platformSettings" : [ {
11866.                   "platform" : {
11867.                     "catalogVersion" : 230233,
11868.                     "dbVersion" : 2,
11869.                     "id" : "58efec8ee4b0c390d69a8e0e",
11870.                     "name" : "windows",
11871.                     "topic" : "/mcafee/mar/agent/query/windows",
11872.                     "enabled" : true
11873.                   },
11874.                   "utf8Sensitive" : false
11875.                 }, {
11876.                   "platform" : {
11877.                     "catalogVersion" : 230233,
11878.                     "dbVersion" : 2,
11879.                     "id" : "58efec8ee4b0c390d69a8e0f",
11880.                     "name" : "linux",
11881.                     "topic" : "/mcafee/mar/agent/query/linux",
11882.                     "enabled" : true
11883.                   },
11884.                   "utf8Sensitive" : false
11885.                 }, {
11886.                   "platform" : {
11887.                     "catalogVersion" : 230233,
11888.                     "dbVersion" : 2,
11889.                     "id" : "5a1a45c9e4b0401274ab7141",
11890.                     "name" : "macos",
11891.                     "topic" : "/mcafee/mar/agent/query/macos",
11892.                     "enabled" : true
11893.                   },
11894.                   "utf8Sensitive" : false
11895.                 } ],
11896.                 "itemType" : "BUILTIN",
11897.                 "catalogItems" : [ "COLLECTOR" ]
11898.               },
11899.               "content" : null,
11900.               "arguments" : [ ],
11901.               "utf8Sensitive" : false
11902.             } ],
11903.             "timeout" : 60,
11904.             "outputs" : [ {
11905.               "id" : "58efec8ee4b0c390d69a8e85",
11906.               "name" : "time",
11907.               "type" : "DATE",
11908.               "byDefault" : true,
11909.               "sequence" : 1
11910.             }, {
11911.               "id" : "58efec8ee4b0c390d69a8e86",
11912.               "name" : "direction",
11913.               "type" : "STRING",
11914.               "byDefault" : true,
11915.               "sequence" : 2
11916.             }, {
11917.               "id" : "58efec8ee4b0c390d69a8e87",
11918.               "name" : "src_ip",
11919.               "type" : "IPV4IPV6",
11920.               "byDefault" : true,
11921.               "sequence" : 3
11922.             }, {
11923.               "id" : "58efec8ee4b0c390d69a8e88",
11924.               "name" : "src_port",
11925.               "type" : "NUMBER",
11926.               "byDefault" : true,
11927.               "sequence" : 4
11928.             }, {
11929.               "id" : "58efec8ee4b0c390d69a8e89",
11930.               "name" : "dst_ip",
11931.               "type" : "IPV4IPV6",
11932.               "byDefault" : true,
11933.               "sequence" : 5
11934.             }, {
11935.               "id" : "58efec8ee4b0c390d69a8e8a",
11936.               "name" : "dst_port",
11937.               "type" : "NUMBER",
11938.               "byDefault" : true,
11939.               "sequence" : 6
11940.             }, {
11941.               "id" : "58efec8ee4b0c390d69a8e8b",
11942.               "name" : "status",
11943.               "type" : "STRING",
11944.               "byDefault" : true,
11945.               "sequence" : 7
11946.             }, {
11947.               "id" : "58efec8ee4b0c390d69a8e8c",
11948.               "name" : "proto",
11949.               "type" : "STRING",
11950.               "byDefault" : true,
11951.               "sequence" : 8
11952.             }, {
11953.               "id" : "58efec8ee4b0c390d69a8e8d",
11954.               "name" : "ip_class",
11955.               "type" : "NUMBER",
11956.               "byDefault" : false,
11957.               "sequence" : 9
11958.             }, {
11959.               "id" : "58efec8ee4b0c390d69a8e8e",
11960.               "name" : "seq_number",
11961.               "type" : "NUMBER",
11962.               "byDefault" : false,
11963.               "sequence" : 10
11964.             }, {
11965.               "id" : "58efec8ee4b0c390d69a8e8f",
11966.               "name" : "src_mac",
11967.               "type" : "STRING",
11968.               "byDefault" : false,
11969.               "sequence" : 11
11970.             }, {
11971.               "id" : "58efec8ee4b0c390d69a8e90",
11972.               "name" : "dst_mac",
11973.               "type" : "STRING",
11974.               "byDefault" : false,
11975.               "sequence" : 12
11976.             }, {
11977.               "id" : "58efec8ee4b0c390d69a8e91",
11978.               "name" : "process",
11979.               "type" : "STRING",
11980.               "byDefault" : true,
11981.               "sequence" : 13
11982.             }, {
11983.               "id" : "58efec8ee4b0c390d69a8e92",
11984.               "name" : "process_id",
11985.               "type" : "NUMBER",
11986.               "byDefault" : false,
11987.               "sequence" : 14
11988.             }, {
11989.               "id" : "58efec8ee4b0c390d69a8e93",
11990.               "name" : "md5",
11991.               "type" : "STRING",
11992.               "byDefault" : false,
11993.               "sequence" : 15
11994.             }, {
11995.               "id" : "58efec8ee4b0c390d69a8e94",
11996.               "name" : "sha1",
11997.               "type" : "STRING",
11998.               "byDefault" : false,
11999.               "sequence" : 16
12000.             }, {
12001.               "id" : "58efec8ee4b0c390d69a8e95",
12002.               "name" : "user",
12003.               "type" : "STRING",
12004.               "byDefault" : true,
12005.               "sequence" : 17
12006.             }, {
12007.               "id" : "58efec8ee4b0c390d69a8e96",
12008.               "name" : "user_id",
12009.               "type" : "STRING",
12010.               "byDefault" : false,
12011.               "sequence" : 18
12012.             }, {
12013.               "id" : "5a1a45cbe4b0401274ab7191",
12014.               "name" : "sha256",
12015.               "type" : "STRING",
12016.               "byDefault" : false,
12017.               "sequence" : 19
12018.             } ]
12019.           }
12020.         }, {
12021.           "output" : {
12022.             "id" : "58efec8ee4b0c390d69a8e89",
12023.             "name" : "dst_ip",
12024.             "type" : "IPV4IPV6",
12025.             "byDefault" : true,
12026.             "sequence" : 5
12027.           },
12028.           "operator" : "CONTAINS",
12029.           "value" : "10.0.0.0/24",
12030.           "negated" : true,
12031.           "collector" : {
12032.             "catalogVersion" : 230233,
12033.             "dbVersion" : 2,
12034.             "id" : "58efec8ee4b0c390d69a8e97",
12035.             "name" : "NetworkFlow",
12036.             "description" : "Shows the network flow",
12037.             "type" : "BUILTIN",
12038.             "contents" : [ {
12039.               "platform" : {
12040.                 "catalogVersion" : 230233,
12041.                 "dbVersion" : 2,
12042.                 "id" : "58efec8ee4b0c390d69a8e0f",
12043.                 "name" : "linux",
12044.                 "topic" : "/mcafee/mar/agent/query/linux",
12045.                 "enabled" : true
12046.               },
12047.               "capability" : {
12048.                 "catalogVersion" : 230233,
12049.                 "dbVersion" : 2,
12050.                 "id" : "58efec8ee4b0c390d69a8e1f",
12051.                 "name" : "NetworkFlow",
12052.                 "description" : "Gets flow information",
12053.                 "module" : "NetworkFlow",
12054.                 "function" : "FindFlow",
12055.                 "contentEnabled" : false,
12056.                 "arguments" : [ ],
12057.                 "outputs" : [ ],
12058.                 "formatArgs" : { },
12059.                 "format" : "BIN",
12060.                 "platforms" : [ {
12061.                   "catalogVersion" : 230233,
12062.                   "dbVersion" : 2,
12063.                   "id" : "58efec8ee4b0c390d69a8e0e",
12064.                   "name" : "windows",
12065.                   "topic" : "/mcafee/mar/agent/query/windows",
12066.                   "enabled" : true
12067.                 }, {
12068.                   "catalogVersion" : 230233,
12069.                   "dbVersion" : 2,
12070.                   "id" : "58efec8ee4b0c390d69a8e0f",
12071.                   "name" : "linux",
12072.                   "topic" : "/mcafee/mar/agent/query/linux",
12073.                   "enabled" : true
12074.                 }, {
12075.                   "catalogVersion" : 230233,
12076.                   "dbVersion" : 2,
12077.                   "id" : "5a1a45c9e4b0401274ab7141",
12078.                   "name" : "macos",
12079.                   "topic" : "/mcafee/mar/agent/query/macos",
12080.                   "enabled" : true
12081.                 } ],
12082.                 "platformSettings" : [ {
12083.                   "platform" : {
12084.                     "catalogVersion" : 230233,
12085.                     "dbVersion" : 2,
12086.                     "id" : "58efec8ee4b0c390d69a8e0e",
12087.                     "name" : "windows",
12088.                     "topic" : "/mcafee/mar/agent/query/windows",
12089.                     "enabled" : true
12090.                   },
12091.                   "utf8Sensitive" : false
12092.                 }, {
12093.                   "platform" : {
12094.                     "catalogVersion" : 230233,
12095.                     "dbVersion" : 2,
12096.                     "id" : "58efec8ee4b0c390d69a8e0f",
12097.                     "name" : "linux",
12098.                     "topic" : "/mcafee/mar/agent/query/linux",
12099.                     "enabled" : true
12100.                   },
12101.                   "utf8Sensitive" : false
12102.                 }, {
12103.                   "platform" : {
12104.                     "catalogVersion" : 230233,
12105.                     "dbVersion" : 2,
12106.                     "id" : "5a1a45c9e4b0401274ab7141",
12107.                     "name" : "macos",
12108.                     "topic" : "/mcafee/mar/agent/query/macos",
12109.                     "enabled" : true
12110.                   },
12111.                   "utf8Sensitive" : false
12112.                 } ],
12113.                 "itemType" : "BUILTIN",
12114.                 "catalogItems" : [ "COLLECTOR" ]
12115.               },
12116.               "content" : null,
12117.               "arguments" : [ ],
12118.               "utf8Sensitive" : false
12119.             }, {
12120.               "platform" : {
12121.                 "catalogVersion" : 230233,
12122.                 "dbVersion" : 2,
12123.                 "id" : "58efec8ee4b0c390d69a8e0e",
12124.                 "name" : "windows",
12125.                 "topic" : "/mcafee/mar/agent/query/windows",
12126.                 "enabled" : true
12127.               },
12128.               "capability" : {
12129.                 "catalogVersion" : 230233,
12130.                 "dbVersion" : 2,
12131.                 "id" : "58efec8ee4b0c390d69a8e1f",
12132.                 "name" : "NetworkFlow",
12133.                 "description" : "Gets flow information",
12134.                 "module" : "NetworkFlow",
12135.                 "function" : "FindFlow",
12136.                 "contentEnabled" : false,
12137.                 "arguments" : [ ],
12138.                 "outputs" : [ ],
12139.                 "formatArgs" : { },
12140.                 "format" : "BIN",
12141.                 "platforms" : [ {
12142.                   "catalogVersion" : 230233,
12143.                   "dbVersion" : 2,
12144.                   "id" : "58efec8ee4b0c390d69a8e0e",
12145.                   "name" : "windows",
12146.                   "topic" : "/mcafee/mar/agent/query/windows",
12147.                   "enabled" : true
12148.                 }, {
12149.                   "catalogVersion" : 230233,
12150.                   "dbVersion" : 2,
12151.                   "id" : "58efec8ee4b0c390d69a8e0f",
12152.                   "name" : "linux",
12153.                   "topic" : "/mcafee/mar/agent/query/linux",
12154.                   "enabled" : true
12155.                 }, {
12156.                   "catalogVersion" : 230233,
12157.                   "dbVersion" : 2,
12158.                   "id" : "5a1a45c9e4b0401274ab7141",
12159.                   "name" : "macos",
12160.                   "topic" : "/mcafee/mar/agent/query/macos",
12161.                   "enabled" : true
12162.                 } ],
12163.                 "platformSettings" : [ {
12164.                   "platform" : {
12165.                     "catalogVersion" : 230233,
12166.                     "dbVersion" : 2,
12167.                     "id" : "58efec8ee4b0c390d69a8e0e",
12168.                     "name" : "windows",
12169.                     "topic" : "/mcafee/mar/agent/query/windows",
12170.                     "enabled" : true
12171.                   },
12172.                   "utf8Sensitive" : false
12173.                 }, {
12174.                   "platform" : {
12175.                     "catalogVersion" : 230233,
12176.                     "dbVersion" : 2,
12177.                     "id" : "58efec8ee4b0c390d69a8e0f",
12178.                     "name" : "linux",
12179.                     "topic" : "/mcafee/mar/agent/query/linux",
12180.                     "enabled" : true
12181.                   },
12182.                   "utf8Sensitive" : false
12183.                 }, {
12184.                   "platform" : {
12185.                     "catalogVersion" : 230233,
12186.                     "dbVersion" : 2,
12187.                     "id" : "5a1a45c9e4b0401274ab7141",
12188.                     "name" : "macos",
12189.                     "topic" : "/mcafee/mar/agent/query/macos",
12190.                     "enabled" : true
12191.                   },
12192.                   "utf8Sensitive" : false
12193.                 } ],
12194.                 "itemType" : "BUILTIN",
12195.                 "catalogItems" : [ "COLLECTOR" ]
12196.               },
12197.               "content" : null,
12198.               "arguments" : [ ],
12199.               "utf8Sensitive" : false
12200.             }, {
12201.               "platform" : {
12202.                 "catalogVersion" : 230233,
12203.                 "dbVersion" : 2,
12204.                 "id" : "5a1a45c9e4b0401274ab7141",
12205.                 "name" : "macos",
12206.                 "topic" : "/mcafee/mar/agent/query/macos",
12207.                 "enabled" : true
12208.               },
12209.               "capability" : {
12210.                 "catalogVersion" : 230233,
12211.                 "dbVersion" : 2,
12212.                 "id" : "58efec8ee4b0c390d69a8e1f",
12213.                 "name" : "NetworkFlow",
12214.                 "description" : "Gets flow information",
12215.                 "module" : "NetworkFlow",
12216.                 "function" : "FindFlow",
12217.                 "contentEnabled" : false,
12218.                 "arguments" : [ ],
12219.                 "outputs" : [ ],
12220.                 "formatArgs" : { },
12221.                 "format" : "BIN",
12222.                 "platforms" : [ {
12223.                   "catalogVersion" : 230233,
12224.                   "dbVersion" : 2,
12225.                   "id" : "58efec8ee4b0c390d69a8e0e",
12226.                   "name" : "windows",
12227.                   "topic" : "/mcafee/mar/agent/query/windows",
12228.                   "enabled" : true
12229.                 }, {
12230.                   "catalogVersion" : 230233,
12231.                   "dbVersion" : 2,
12232.                   "id" : "58efec8ee4b0c390d69a8e0f",
12233.                   "name" : "linux",
12234.                   "topic" : "/mcafee/mar/agent/query/linux",
12235.                   "enabled" : true
12236.                 }, {
12237.                   "catalogVersion" : 230233,
12238.                   "dbVersion" : 2,
12239.                   "id" : "5a1a45c9e4b0401274ab7141",
12240.                   "name" : "macos",
12241.                   "topic" : "/mcafee/mar/agent/query/macos",
12242.                   "enabled" : true
12243.                 } ],
12244.                 "platformSettings" : [ {
12245.                   "platform" : {
12246.                     "catalogVersion" : 230233,
12247.                     "dbVersion" : 2,
12248.                     "id" : "58efec8ee4b0c390d69a8e0e",
12249.                     "name" : "windows",
12250.                     "topic" : "/mcafee/mar/agent/query/windows",
12251.                     "enabled" : true
12252.                   },
12253.                   "utf8Sensitive" : false
12254.                 }, {
12255.                   "platform" : {
12256.                     "catalogVersion" : 230233,
12257.                     "dbVersion" : 2,
12258.                     "id" : "58efec8ee4b0c390d69a8e0f",
12259.                     "name" : "linux",
12260.                     "topic" : "/mcafee/mar/agent/query/linux",
12261.                     "enabled" : true
12262.                   },
12263.                   "utf8Sensitive" : false
12264.                 }, {
12265.                   "platform" : {
12266.                     "catalogVersion" : 230233,
12267.                     "dbVersion" : 2,
12268.                     "id" : "5a1a45c9e4b0401274ab7141",
12269.                     "name" : "macos",
12270.                     "topic" : "/mcafee/mar/agent/query/macos",
12271.                     "enabled" : true
12272.                   },
12273.                   "utf8Sensitive" : false
12274.                 } ],
12275.                 "itemType" : "BUILTIN",
12276.                 "catalogItems" : [ "COLLECTOR" ]
12277.               },
12278.               "content" : null,
12279.               "arguments" : [ ],
12280.               "utf8Sensitive" : false
12281.             } ],
12282.             "timeout" : 60,
12283.             "outputs" : [ {
12284.               "id" : "58efec8ee4b0c390d69a8e85",
12285.               "name" : "time",
12286.               "type" : "DATE",
12287.               "byDefault" : true,
12288.               "sequence" : 1
12289.             }, {
12290.               "id" : "58efec8ee4b0c390d69a8e86",
12291.               "name" : "direction",
12292.               "type" : "STRING",
12293.               "byDefault" : true,
12294.               "sequence" : 2
12295.             }, {
12296.               "id" : "58efec8ee4b0c390d69a8e87",
12297.               "name" : "src_ip",
12298.               "type" : "IPV4IPV6",
12299.               "byDefault" : true,
12300.               "sequence" : 3
12301.             }, {
12302.               "id" : "58efec8ee4b0c390d69a8e88",
12303.               "name" : "src_port",
12304.               "type" : "NUMBER",
12305.               "byDefault" : true,
12306.               "sequence" : 4
12307.             }, {
12308.               "id" : "58efec8ee4b0c390d69a8e89",
12309.               "name" : "dst_ip",
12310.               "type" : "IPV4IPV6",
12311.               "byDefault" : true,
12312.               "sequence" : 5
12313.             }, {
12314.               "id" : "58efec8ee4b0c390d69a8e8a",
12315.               "name" : "dst_port",
12316.               "type" : "NUMBER",
12317.               "byDefault" : true,
12318.               "sequence" : 6
12319.             }, {
12320.               "id" : "58efec8ee4b0c390d69a8e8b",
12321.               "name" : "status",
12322.               "type" : "STRING",
12323.               "byDefault" : true,
12324.               "sequence" : 7
12325.             }, {
12326.               "id" : "58efec8ee4b0c390d69a8e8c",
12327.               "name" : "proto",
12328.               "type" : "STRING",
12329.               "byDefault" : true,
12330.               "sequence" : 8
12331.             }, {
12332.               "id" : "58efec8ee4b0c390d69a8e8d",
12333.               "name" : "ip_class",
12334.               "type" : "NUMBER",
12335.               "byDefault" : false,
12336.               "sequence" : 9
12337.             }, {
12338.               "id" : "58efec8ee4b0c390d69a8e8e",
12339.               "name" : "seq_number",
12340.               "type" : "NUMBER",
12341.               "byDefault" : false,
12342.               "sequence" : 10
12343.             }, {
12344.               "id" : "58efec8ee4b0c390d69a8e8f",
12345.               "name" : "src_mac",
12346.               "type" : "STRING",
12347.               "byDefault" : false,
12348.               "sequence" : 11
12349.             }, {
12350.               "id" : "58efec8ee4b0c390d69a8e90",
12351.               "name" : "dst_mac",
12352.               "type" : "STRING",
12353.               "byDefault" : false,
12354.               "sequence" : 12
12355.             }, {
12356.               "id" : "58efec8ee4b0c390d69a8e91",
12357.               "name" : "process",
12358.               "type" : "STRING",
12359.               "byDefault" : true,
12360.               "sequence" : 13
12361.             }, {
12362.               "id" : "58efec8ee4b0c390d69a8e92",
12363.               "name" : "process_id",
12364.               "type" : "NUMBER",
12365.               "byDefault" : false,
12366.               "sequence" : 14
12367.             }, {
12368.               "id" : "58efec8ee4b0c390d69a8e93",
12369.               "name" : "md5",
12370.               "type" : "STRING",
12371.               "byDefault" : false,
12372.               "sequence" : 15
12373.             }, {
12374.               "id" : "58efec8ee4b0c390d69a8e94",
12375.               "name" : "sha1",
12376.               "type" : "STRING",
12377.               "byDefault" : false,
12378.               "sequence" : 16
12379.             }, {
12380.               "id" : "58efec8ee4b0c390d69a8e95",
12381.               "name" : "user",
12382.               "type" : "STRING",
12383.               "byDefault" : true,
12384.               "sequence" : 17
12385.             }, {
12386.               "id" : "58efec8ee4b0c390d69a8e96",
12387.               "name" : "user_id",
12388.               "type" : "STRING",
12389.               "byDefault" : false,
12390.               "sequence" : 18
12391.             }, {
12392.               "id" : "5a1a45cbe4b0401274ab7191",
12393.               "name" : "sha256",
12394.               "type" : "STRING",
12395.               "byDefault" : false,
12396.               "sequence" : 19
12397.             } ]
12398.           }
12399.         } ]
12400.       } ]
12401.     },
12402.     "running" : false,
12403.     "createdAt" : 1530900630301,
12404.     "executedAt" : null,
12405.     "status" : "CREATED",
12406.     "ttl" : 60000,
12407.     "startTime" : null,
12408.     "endpointPermission" : null,
12409.     "maGuidsTarget" : null,
12410.     "expectedHostResponses" : 0
12411.   },
12412.   "type" : "com.intel.mar.model.search.Search"
12413. }, {
12414.   "item" : {
12415.     "catalogVersion" : 1,
12416.     "dbVersion" : 2,
12417.     "id" : "5b3fb096e4b0cbe06dd6731f",
12418.     "name" : "Non Standard Hosts Files",
12419.     "description" : "",
12420.     "type" : null,
12421.     "expression" : null,
12422.     "temporal" : false,
12423.     "invalid" : false,
12424.     "aggregated" : false,
12425.     "projections" : [ {
12426.       "collector" : {
12427.         "catalogVersion" : 230233,
12428.         "dbVersion" : 2,
12429.         "id" : "58efec8ee4b0c390d69a8ec5",
12430.         "name" : "HostInfo",
12431.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
12432.         "type" : "BUILTIN",
12433.         "contents" : [ {
12434.           "platform" : {
12435.             "catalogVersion" : 230233,
12436.             "dbVersion" : 2,
12437.             "id" : "58efec8ee4b0c390d69a8e0f",
12438.             "name" : "linux",
12439.             "topic" : "/mcafee/mar/agent/query/linux",
12440.             "enabled" : true
12441.           },
12442.           "capability" : {
12443.             "catalogVersion" : 230233,
12444.             "dbVersion" : 2,
12445.             "id" : "58efec8ee4b0c390d69a8e14",
12446.             "name" : "Bash Script",
12447.             "description" : "Executes Bash script on target client",
12448.             "module" : "SystemRuntime",
12449.             "function" : "executeBash",
12450.             "contentEnabled" : true,
12451.             "arguments" : [ ],
12452.             "outputs" : [ ],
12453.             "formatArgs" : {
12454.               "hasHeaders" : false,
12455.               "delimiter" : ","
12456.             },
12457.             "format" : "CSV",
12458.             "platforms" : [ {
12459.               "catalogVersion" : 230233,
12460.               "dbVersion" : 2,
12461.               "id" : "58efec8ee4b0c390d69a8e0f",
12462.               "name" : "linux",
12463.               "topic" : "/mcafee/mar/agent/query/linux",
12464.               "enabled" : true
12465.             }, {
12466.               "catalogVersion" : 230233,
12467.               "dbVersion" : 2,
12468.               "id" : "5a1a45c9e4b0401274ab7141",
12469.               "name" : "macos",
12470.               "topic" : "/mcafee/mar/agent/query/macos",
12471.               "enabled" : true
12472.             } ],
12473.             "platformSettings" : [ {
12474.               "platform" : {
12475.                 "catalogVersion" : 230233,
12476.                 "dbVersion" : 2,
12477.                 "id" : "58efec8ee4b0c390d69a8e0f",
12478.                 "name" : "linux",
12479.                 "topic" : "/mcafee/mar/agent/query/linux",
12480.                 "enabled" : true
12481.               },
12482.               "utf8Sensitive" : false
12483.             }, {
12484.               "platform" : {
12485.                 "catalogVersion" : 230233,
12486.                 "dbVersion" : 2,
12487.                 "id" : "5a1a45c9e4b0401274ab7141",
12488.                 "name" : "macos",
12489.                 "topic" : "/mcafee/mar/agent/query/macos",
12490.                 "enabled" : true
12491.               },
12492.               "utf8Sensitive" : false
12493.             } ],
12494.             "itemType" : "CUSTOM",
12495.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
12496.           },
12497.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
12498.           "arguments" : [ ],
12499.           "utf8Sensitive" : false
12500.         }, {
12501.           "platform" : {
12502.             "catalogVersion" : 230233,
12503.             "dbVersion" : 2,
12504.             "id" : "58efec8ee4b0c390d69a8e0e",
12505.             "name" : "windows",
12506.             "topic" : "/mcafee/mar/agent/query/windows",
12507.             "enabled" : true
12508.           },
12509.           "capability" : {
12510.             "catalogVersion" : 230233,
12511.             "dbVersion" : 2,
12512.             "id" : "58efec8ee4b0c390d69a8e12",
12513.             "name" : "Visual Basic Script",
12514.             "description" : "Executes VBS script on target client",
12515.             "module" : "SystemRuntime",
12516.             "function" : "executeVBS",
12517.             "contentEnabled" : true,
12518.             "arguments" : [ ],
12519.             "outputs" : [ ],
12520.             "formatArgs" : {
12521.               "hasHeaders" : false,
12522.               "delimiter" : ","
12523.             },
12524.             "format" : "CSV",
12525.             "platforms" : [ {
12526.               "catalogVersion" : 230233,
12527.               "dbVersion" : 2,
12528.               "id" : "58efec8ee4b0c390d69a8e0e",
12529.               "name" : "windows",
12530.               "topic" : "/mcafee/mar/agent/query/windows",
12531.               "enabled" : true
12532.             } ],
12533.             "platformSettings" : [ {
12534.               "platform" : {
12535.                 "catalogVersion" : 230233,
12536.                 "dbVersion" : 2,
12537.                 "id" : "58efec8ee4b0c390d69a8e0e",
12538.                 "name" : "windows",
12539.                 "topic" : "/mcafee/mar/agent/query/windows",
12540.                 "enabled" : true
12541.               },
12542.               "utf8Sensitive" : false
12543.             } ],
12544.             "itemType" : "CUSTOM",
12545.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
12546.           },
12547.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
12548.           "arguments" : [ ],
12549.           "utf8Sensitive" : false
12550.         }, {
12551.           "platform" : {
12552.             "catalogVersion" : 230233,
12553.             "dbVersion" : 2,
12554.             "id" : "5a1a45c9e4b0401274ab7141",
12555.             "name" : "macos",
12556.             "topic" : "/mcafee/mar/agent/query/macos",
12557.             "enabled" : true
12558.           },
12559.           "capability" : {
12560.             "catalogVersion" : 230233,
12561.             "dbVersion" : 2,
12562.             "id" : "5a1a45cae4b0401274ab7183",
12563.             "name" : "HostInfo SysInfo",
12564.             "description" : "Shows Hostname, 1st IP Address and OS version",
12565.             "module" : "SysInfo",
12566.             "function" : "HostInfo",
12567.             "contentEnabled" : false,
12568.             "arguments" : [ ],
12569.             "outputs" : [ ],
12570.             "formatArgs" : { },
12571.             "format" : "BIN",
12572.             "platforms" : [ {
12573.               "catalogVersion" : 230233,
12574.               "dbVersion" : 2,
12575.               "id" : "5a1a45c9e4b0401274ab7141",
12576.               "name" : "macos",
12577.               "topic" : "/mcafee/mar/agent/query/macos",
12578.               "enabled" : true
12579.             } ],
12580.             "platformSettings" : [ {
12581.               "platform" : {
12582.                 "catalogVersion" : 230233,
12583.                 "dbVersion" : 2,
12584.                 "id" : "5a1a45c9e4b0401274ab7141",
12585.                 "name" : "macos",
12586.                 "topic" : "/mcafee/mar/agent/query/macos",
12587.                 "enabled" : true
12588.               },
12589.               "utf8Sensitive" : false
12590.             } ],
12591.             "itemType" : "BUILTIN",
12592.             "catalogItems" : [ "COLLECTOR" ]
12593.           },
12594.           "content" : null,
12595.           "arguments" : [ ],
12596.           "utf8Sensitive" : false
12597.         } ],
12598.         "timeout" : 60,
12599.         "outputs" : [ {
12600.           "id" : "58efec8ee4b0c390d69a8ec2",
12601.           "name" : "hostname",
12602.           "type" : "STRING",
12603.           "byDefault" : false,
12604.           "sequence" : 1
12605.         }, {
12606.           "id" : "58efec8ee4b0c390d69a8ec3",
12607.           "name" : "ip_address",
12608.           "type" : "IPV4IPV6",
12609.           "byDefault" : false,
12610.           "sequence" : 2
12611.         }, {
12612.           "id" : "58efec8ee4b0c390d69a8ec4",
12613.           "name" : "os",
12614.           "type" : "STRING",
12615.           "byDefault" : false,
12616.           "sequence" : 3
12617.         }, {
12618.           "id" : "5b3f9b64e4b0dfaf321a6346",
12619.           "name" : "connection_status",
12620.           "type" : "STRING",
12621.           "byDefault" : false,
12622.           "sequence" : 4
12623.         }, {
12624.           "id" : "5b3f9b64e4b0dfaf321a6347",
12625.           "name" : "platform",
12626.           "type" : "STRING",
12627.           "byDefault" : false,
12628.           "sequence" : 5
12629.         } ]
12630.       },
12631.       "sequence" : "1",
12632.       "output" : [ {
12633.         "id" : "58efec8ee4b0c390d69a8ec2",
12634.         "name" : "hostname",
12635.         "type" : "STRING",
12636.         "byDefault" : false,
12637.         "sequence" : 1
12638.       } ]
12639.     }, {
12640.       "collector" : {
12641.         "catalogVersion" : 230233,
12642.         "dbVersion" : 2,
12643.         "id" : "58efec8ee4b0c390d69a8ec1",
12644.         "name" : "HostEntries",
12645.         "description" : "Shows the IP Address and Hostname from hosts file on Windows, Linux and Mac systems",
12646.         "type" : "BUILTIN",
12647.         "contents" : [ {
12648.           "platform" : {
12649.             "catalogVersion" : 230233,
12650.             "dbVersion" : 2,
12651.             "id" : "58efec8ee4b0c390d69a8e0f",
12652.             "name" : "linux",
12653.             "topic" : "/mcafee/mar/agent/query/linux",
12654.             "enabled" : true
12655.           },
12656.           "capability" : {
12657.             "catalogVersion" : 230233,
12658.             "dbVersion" : 2,
12659.             "id" : "58efec8ee4b0c390d69a8e14",
12660.             "name" : "Bash Script",
12661.             "description" : "Executes Bash script on target client",
12662.             "module" : "SystemRuntime",
12663.             "function" : "executeBash",
12664.             "contentEnabled" : true,
12665.             "arguments" : [ ],
12666.             "outputs" : [ ],
12667.             "formatArgs" : {
12668.               "hasHeaders" : false,
12669.               "delimiter" : ","
12670.             },
12671.             "format" : "CSV",
12672.             "platforms" : [ {
12673.               "catalogVersion" : 230233,
12674.               "dbVersion" : 2,
12675.               "id" : "58efec8ee4b0c390d69a8e0f",
12676.               "name" : "linux",
12677.               "topic" : "/mcafee/mar/agent/query/linux",
12678.               "enabled" : true
12679.             }, {
12680.               "catalogVersion" : 230233,
12681.               "dbVersion" : 2,
12682.               "id" : "5a1a45c9e4b0401274ab7141",
12683.               "name" : "macos",
12684.               "topic" : "/mcafee/mar/agent/query/macos",
12685.               "enabled" : true
12686.             } ],
12687.             "platformSettings" : [ {
12688.               "platform" : {
12689.                 "catalogVersion" : 230233,
12690.                 "dbVersion" : 2,
12691.                 "id" : "58efec8ee4b0c390d69a8e0f",
12692.                 "name" : "linux",
12693.                 "topic" : "/mcafee/mar/agent/query/linux",
12694.                 "enabled" : true
12695.               },
12696.               "utf8Sensitive" : false
12697.             }, {
12698.               "platform" : {
12699.                 "catalogVersion" : 230233,
12700.                 "dbVersion" : 2,
12701.                 "id" : "5a1a45c9e4b0401274ab7141",
12702.                 "name" : "macos",
12703.                 "topic" : "/mcafee/mar/agent/query/macos",
12704.                 "enabled" : true
12705.               },
12706.               "utf8Sensitive" : false
12707.             } ],
12708.             "itemType" : "CUSTOM",
12709.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
12710.           },
12711.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\n\ngetHostsFile() {\n    if [ -r \"/etc/hosts\" ]; then\n        cat \"/etc/hosts\"\n    else\n        exit 1\n    fi\n}\n\ngetParsedHosts() {\n    getHostsFile | perl -pe 's/(.*?)\\#(.*)/\\1/' | sed '/^$/d'\n}\n\nformatHost() {\n    line=\"$1\"\n    echo \"$line\" | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print \"\\\"\"$1\"\\\",\\\"\"$i\"\\\"\"\n    }'\n\n}\n\nprintEnvFile() {\n    procFile=\"$1\"\n    pid=$(getPidFromProcFile \"$procFile\")\n    user=$(getUserFromPid \"$pid\")\n    getEnvFile \"$procFile\" | while read -r -d $'\\0' var; do\n        var=$(escapeEnvVariable \"$var\")\n        if [[ $var == *\"=\"* ]]\n        then\n            echo \"\\\"$user\\\",\\\"$pid\\\",\\\"${var/=/\",\"}\\\"\"\n        fi\n    done\n}\n\nprocessHosts() {\n   getParsedHosts | while read -r host; do\n      formatHost \"$host\"\n   done\n}\n\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHosts\n}\n\nmain \"$@\"\n",
12712.           "arguments" : [ ],
12713.           "utf8Sensitive" : false
12714.         }, {
12715.           "platform" : {
12716.             "catalogVersion" : 230233,
12717.             "dbVersion" : 2,
12718.             "id" : "5a1a45c9e4b0401274ab7141",
12719.             "name" : "macos",
12720.             "topic" : "/mcafee/mar/agent/query/macos",
12721.             "enabled" : true
12722.           },
12723.           "capability" : {
12724.             "catalogVersion" : 230233,
12725.             "dbVersion" : 2,
12726.             "id" : "58efec8ee4b0c390d69a8e14",
12727.             "name" : "Bash Script",
12728.             "description" : "Executes Bash script on target client",
12729.             "module" : "SystemRuntime",
12730.             "function" : "executeBash",
12731.             "contentEnabled" : true,
12732.             "arguments" : [ ],
12733.             "outputs" : [ ],
12734.             "formatArgs" : {
12735.               "hasHeaders" : false,
12736.               "delimiter" : ","
12737.             },
12738.             "format" : "CSV",
12739.             "platforms" : [ {
12740.               "catalogVersion" : 230233,
12741.               "dbVersion" : 2,
12742.               "id" : "58efec8ee4b0c390d69a8e0f",
12743.               "name" : "linux",
12744.               "topic" : "/mcafee/mar/agent/query/linux",
12745.               "enabled" : true
12746.             }, {
12747.               "catalogVersion" : 230233,
12748.               "dbVersion" : 2,
12749.               "id" : "5a1a45c9e4b0401274ab7141",
12750.               "name" : "macos",
12751.               "topic" : "/mcafee/mar/agent/query/macos",
12752.               "enabled" : true
12753.             } ],
12754.             "platformSettings" : [ {
12755.               "platform" : {
12756.                 "catalogVersion" : 230233,
12757.                 "dbVersion" : 2,
12758.                 "id" : "58efec8ee4b0c390d69a8e0f",
12759.                 "name" : "linux",
12760.                 "topic" : "/mcafee/mar/agent/query/linux",
12761.                 "enabled" : true
12762.               },
12763.               "utf8Sensitive" : false
12764.             }, {
12765.               "platform" : {
12766.                 "catalogVersion" : 230233,
12767.                 "dbVersion" : 2,
12768.                 "id" : "5a1a45c9e4b0401274ab7141",
12769.                 "name" : "macos",
12770.                 "topic" : "/mcafee/mar/agent/query/macos",
12771.                 "enabled" : true
12772.               },
12773.               "utf8Sensitive" : false
12774.             } ],
12775.             "itemType" : "CUSTOM",
12776.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
12777.           },
12778.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\ngrep -vE \"^\\#\" /etc/hosts | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print $1\",\"$i\n    }'\n",
12779.           "arguments" : [ ],
12780.           "utf8Sensitive" : false
12781.         }, {
12782.           "platform" : {
12783.             "catalogVersion" : 230233,
12784.             "dbVersion" : 2,
12785.             "id" : "58efec8ee4b0c390d69a8e0e",
12786.             "name" : "windows",
12787.             "topic" : "/mcafee/mar/agent/query/windows",
12788.             "enabled" : true
12789.           },
12790.           "capability" : {
12791.             "catalogVersion" : 230233,
12792.             "dbVersion" : 2,
12793.             "id" : "58efec8ee4b0c390d69a8e12",
12794.             "name" : "Visual Basic Script",
12795.             "description" : "Executes VBS script on target client",
12796.             "module" : "SystemRuntime",
12797.             "function" : "executeVBS",
12798.             "contentEnabled" : true,
12799.             "arguments" : [ ],
12800.             "outputs" : [ ],
12801.             "formatArgs" : {
12802.               "hasHeaders" : false,
12803.               "delimiter" : ","
12804.             },
12805.             "format" : "CSV",
12806.             "platforms" : [ {
12807.               "catalogVersion" : 230233,
12808.               "dbVersion" : 2,
12809.               "id" : "58efec8ee4b0c390d69a8e0e",
12810.               "name" : "windows",
12811.               "topic" : "/mcafee/mar/agent/query/windows",
12812.               "enabled" : true
12813.             } ],
12814.             "platformSettings" : [ {
12815.               "platform" : {
12816.                 "catalogVersion" : 230233,
12817.                 "dbVersion" : 2,
12818.                 "id" : "58efec8ee4b0c390d69a8e0e",
12819.                 "name" : "windows",
12820.                 "topic" : "/mcafee/mar/agent/query/windows",
12821.                 "enabled" : true
12822.               },
12823.               "utf8Sensitive" : false
12824.             } ],
12825.             "itemType" : "CUSTOM",
12826.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
12827.           },
12828.           "content" : "'\r\n' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n'\r\n' Purpose: Read IP Address and Hostname from hosts file on Windows Systems\r\n'\r\n' Version: 1.0\r\n'\r\n'\r\nOption Explicit\r\n\r\nConst TristateUseDefault = -2\r\n\r\n'Declare variables\r\nDim fso\r\nDim wshShell\r\nDim winDir\r\nDim hostsFile\r\nDim objFSO\r\nDim ObjFile\r\n\r\nDim inputString\r\nDim inputArray\r\nDim ipAddress\r\nDim hostname1\r\n\r\nSet fso = CreateObject(\"Scripting.FileSystemObject\")\r\nSet wshShell = CreateObject(\"WScript.Shell\")\r\n\r\n'Detect the Windows directory\r\nwinDir = WshShell.ExpandEnvironmentStrings(\"%WinDir%\")\r\n\r\n'Path to hosts file\r\nhostsFile = winDir & \"\\System32\\Drivers\\etc\\hosts\"\r\n\r\n'Check if hosts file exists\r\nIf (fso.FileExists(hostsFile)) Then\r\n\r\n'Open hosts file for reading, do not create one if it does not exist\r\n    Const ForReading = 1\r\n    Set objFSO = CreateObject(\"Scripting.FileSystemObject\")\r\n    Set objFile = objFSO.OpenTextFile(hostsFile, ForReading, False, TristateUseDefault)\r\n\r\n'Read from hosts file line by line\r\nDo Until objFile.AtEndOfStream\r\n    inputString = objFile.ReadLine\r\n\r\n    'Ignore comment lines and empty lines\r\n    If (Left (inputString, 1) <> \"#\" And Len (inputString) <> 0) Then\r\n        ipAddress = \"\"\r\n        hostname1 = \"\"\r\n\r\n        'Replace Tabs with Spaces\r\n        Do Until InStr (inputString, Chr(9)) = 0\r\n            inputString = Replace(inputString, Chr(9), Chr(32))\r\n        Loop\r\n\r\n        'Replace double Spaces with Space\r\n        Do Until InStr (inputString, Chr(32) & Chr(32)) = 0\r\n            inputString = Replace(inputString, Chr(32) & Chr(32), Chr(32))\r\n        Loop\r\n\r\n        'Convert string to an array, values separated by space\r\n        inputArray = Split(Trim (inputString), Chr(32))\r\n\r\n        'Read output values from array, only first hostname per line\r\n        ipAddress = inputArray(0)\r\n        hostname1 = inputArray(1)\r\n\r\n        'Write output separated by comma\r\n        WScript.Echo ipAddress & \",\" & hostname1\r\n    End If\r\nLoop\r\n\r\n'Close hosts file\r\nobjFile.Close\r\nEnd If\r\n",
12829.           "arguments" : [ ],
12830.           "utf8Sensitive" : false
12831.         } ],
12832.         "timeout" : 60,
12833.         "outputs" : [ {
12834.           "id" : "58efec8ee4b0c390d69a8ebf",
12835.           "name" : "ipaddress",
12836.           "type" : "IPV4IPV6",
12837.           "byDefault" : false,
12838.           "sequence" : 1
12839.         }, {
12840.           "id" : "58efec8ee4b0c390d69a8ec0",
12841.           "name" : "hostname",
12842.           "type" : "STRING",
12843.           "byDefault" : false,
12844.           "sequence" : 2
12845.         } ]
12846.       },
12847.       "sequence" : "2",
12848.       "output" : [ {
12849.         "id" : "58efec8ee4b0c390d69a8ec0",
12850.         "name" : "hostname",
12851.         "type" : "STRING",
12852.         "byDefault" : false,
12853.         "sequence" : 2
12854.       }, {
12855.         "id" : "58efec8ee4b0c390d69a8ebf",
12856.         "name" : "ipaddress",
12857.         "type" : "IPV4IPV6",
12858.         "byDefault" : false,
12859.         "sequence" : 1
12860.       } ]
12861.     } ],
12862.     "disjunction" : {
12863.       "conjunctions" : [ {
12864.         "terms" : [ {
12865.           "output" : {
12866.             "id" : "58efec8ee4b0c390d69a8ebf",
12867.             "name" : "ipaddress",
12868.             "type" : "IPV4IPV6",
12869.             "byDefault" : false,
12870.             "sequence" : 1
12871.           },
12872.           "operator" : "EQUALS",
12873.           "value" : "127.0.0.1",
12874.           "negated" : true,
12875.           "collector" : {
12876.             "catalogVersion" : 230233,
12877.             "dbVersion" : 2,
12878.             "id" : "58efec8ee4b0c390d69a8ec1",
12879.             "name" : "HostEntries",
12880.             "description" : "Shows the IP Address and Hostname from hosts file on Windows, Linux and Mac systems",
12881.             "type" : "BUILTIN",
12882.             "contents" : [ {
12883.               "platform" : {
12884.                 "catalogVersion" : 230233,
12885.                 "dbVersion" : 2,
12886.                 "id" : "58efec8ee4b0c390d69a8e0f",
12887.                 "name" : "linux",
12888.                 "topic" : "/mcafee/mar/agent/query/linux",
12889.                 "enabled" : true
12890.               },
12891.               "capability" : {
12892.                 "catalogVersion" : 230233,
12893.                 "dbVersion" : 2,
12894.                 "id" : "58efec8ee4b0c390d69a8e14",
12895.                 "name" : "Bash Script",
12896.                 "description" : "Executes Bash script on target client",
12897.                 "module" : "SystemRuntime",
12898.                 "function" : "executeBash",
12899.                 "contentEnabled" : true,
12900.                 "arguments" : [ ],
12901.                 "outputs" : [ ],
12902.                 "formatArgs" : {
12903.                   "hasHeaders" : false,
12904.                   "delimiter" : ","
12905.                 },
12906.                 "format" : "CSV",
12907.                 "platforms" : [ {
12908.                   "catalogVersion" : 230233,
12909.                   "dbVersion" : 2,
12910.                   "id" : "58efec8ee4b0c390d69a8e0f",
12911.                   "name" : "linux",
12912.                   "topic" : "/mcafee/mar/agent/query/linux",
12913.                   "enabled" : true
12914.                 }, {
12915.                   "catalogVersion" : 230233,
12916.                   "dbVersion" : 2,
12917.                   "id" : "5a1a45c9e4b0401274ab7141",
12918.                   "name" : "macos",
12919.                   "topic" : "/mcafee/mar/agent/query/macos",
12920.                   "enabled" : true
12921.                 } ],
12922.                 "platformSettings" : [ {
12923.                   "platform" : {
12924.                     "catalogVersion" : 230233,
12925.                     "dbVersion" : 2,
12926.                     "id" : "58efec8ee4b0c390d69a8e0f",
12927.                     "name" : "linux",
12928.                     "topic" : "/mcafee/mar/agent/query/linux",
12929.                     "enabled" : true
12930.                   },
12931.                   "utf8Sensitive" : false
12932.                 }, {
12933.                   "platform" : {
12934.                     "catalogVersion" : 230233,
12935.                     "dbVersion" : 2,
12936.                     "id" : "5a1a45c9e4b0401274ab7141",
12937.                     "name" : "macos",
12938.                     "topic" : "/mcafee/mar/agent/query/macos",
12939.                     "enabled" : true
12940.                   },
12941.                   "utf8Sensitive" : false
12942.                 } ],
12943.                 "itemType" : "CUSTOM",
12944.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
12945.               },
12946.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\n\ngetHostsFile() {\n    if [ -r \"/etc/hosts\" ]; then\n        cat \"/etc/hosts\"\n    else\n        exit 1\n    fi\n}\n\ngetParsedHosts() {\n    getHostsFile | perl -pe 's/(.*?)\\#(.*)/\\1/' | sed '/^$/d'\n}\n\nformatHost() {\n    line=\"$1\"\n    echo \"$line\" | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print \"\\\"\"$1\"\\\",\\\"\"$i\"\\\"\"\n    }'\n\n}\n\nprintEnvFile() {\n    procFile=\"$1\"\n    pid=$(getPidFromProcFile \"$procFile\")\n    user=$(getUserFromPid \"$pid\")\n    getEnvFile \"$procFile\" | while read -r -d $'\\0' var; do\n        var=$(escapeEnvVariable \"$var\")\n        if [[ $var == *\"=\"* ]]\n        then\n            echo \"\\\"$user\\\",\\\"$pid\\\",\\\"${var/=/\",\"}\\\"\"\n        fi\n    done\n}\n\nprocessHosts() {\n   getParsedHosts | while read -r host; do\n      formatHost \"$host\"\n   done\n}\n\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHosts\n}\n\nmain \"$@\"\n",
12947.               "arguments" : [ ],
12948.               "utf8Sensitive" : false
12949.             }, {
12950.               "platform" : {
12951.                 "catalogVersion" : 230233,
12952.                 "dbVersion" : 2,
12953.                 "id" : "5a1a45c9e4b0401274ab7141",
12954.                 "name" : "macos",
12955.                 "topic" : "/mcafee/mar/agent/query/macos",
12956.                 "enabled" : true
12957.               },
12958.               "capability" : {
12959.                 "catalogVersion" : 230233,
12960.                 "dbVersion" : 2,
12961.                 "id" : "58efec8ee4b0c390d69a8e14",
12962.                 "name" : "Bash Script",
12963.                 "description" : "Executes Bash script on target client",
12964.                 "module" : "SystemRuntime",
12965.                 "function" : "executeBash",
12966.                 "contentEnabled" : true,
12967.                 "arguments" : [ ],
12968.                 "outputs" : [ ],
12969.                 "formatArgs" : {
12970.                   "hasHeaders" : false,
12971.                   "delimiter" : ","
12972.                 },
12973.                 "format" : "CSV",
12974.                 "platforms" : [ {
12975.                   "catalogVersion" : 230233,
12976.                   "dbVersion" : 2,
12977.                   "id" : "58efec8ee4b0c390d69a8e0f",
12978.                   "name" : "linux",
12979.                   "topic" : "/mcafee/mar/agent/query/linux",
12980.                   "enabled" : true
12981.                 }, {
12982.                   "catalogVersion" : 230233,
12983.                   "dbVersion" : 2,
12984.                   "id" : "5a1a45c9e4b0401274ab7141",
12985.                   "name" : "macos",
12986.                   "topic" : "/mcafee/mar/agent/query/macos",
12987.                   "enabled" : true
12988.                 } ],
12989.                 "platformSettings" : [ {
12990.                   "platform" : {
12991.                     "catalogVersion" : 230233,
12992.                     "dbVersion" : 2,
12993.                     "id" : "58efec8ee4b0c390d69a8e0f",
12994.                     "name" : "linux",
12995.                     "topic" : "/mcafee/mar/agent/query/linux",
12996.                     "enabled" : true
12997.                   },
12998.                   "utf8Sensitive" : false
12999.                 }, {
13000.                   "platform" : {
13001.                     "catalogVersion" : 230233,
13002.                     "dbVersion" : 2,
13003.                     "id" : "5a1a45c9e4b0401274ab7141",
13004.                     "name" : "macos",
13005.                     "topic" : "/mcafee/mar/agent/query/macos",
13006.                     "enabled" : true
13007.                   },
13008.                   "utf8Sensitive" : false
13009.                 } ],
13010.                 "itemType" : "CUSTOM",
13011.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
13012.               },
13013.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\ngrep -vE \"^\\#\" /etc/hosts | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print $1\",\"$i\n    }'\n",
13014.               "arguments" : [ ],
13015.               "utf8Sensitive" : false
13016.             }, {
13017.               "platform" : {
13018.                 "catalogVersion" : 230233,
13019.                 "dbVersion" : 2,
13020.                 "id" : "58efec8ee4b0c390d69a8e0e",
13021.                 "name" : "windows",
13022.                 "topic" : "/mcafee/mar/agent/query/windows",
13023.                 "enabled" : true
13024.               },
13025.               "capability" : {
13026.                 "catalogVersion" : 230233,
13027.                 "dbVersion" : 2,
13028.                 "id" : "58efec8ee4b0c390d69a8e12",
13029.                 "name" : "Visual Basic Script",
13030.                 "description" : "Executes VBS script on target client",
13031.                 "module" : "SystemRuntime",
13032.                 "function" : "executeVBS",
13033.                 "contentEnabled" : true,
13034.                 "arguments" : [ ],
13035.                 "outputs" : [ ],
13036.                 "formatArgs" : {
13037.                   "hasHeaders" : false,
13038.                   "delimiter" : ","
13039.                 },
13040.                 "format" : "CSV",
13041.                 "platforms" : [ {
13042.                   "catalogVersion" : 230233,
13043.                   "dbVersion" : 2,
13044.                   "id" : "58efec8ee4b0c390d69a8e0e",
13045.                   "name" : "windows",
13046.                   "topic" : "/mcafee/mar/agent/query/windows",
13047.                   "enabled" : true
13048.                 } ],
13049.                 "platformSettings" : [ {
13050.                   "platform" : {
13051.                     "catalogVersion" : 230233,
13052.                     "dbVersion" : 2,
13053.                     "id" : "58efec8ee4b0c390d69a8e0e",
13054.                     "name" : "windows",
13055.                     "topic" : "/mcafee/mar/agent/query/windows",
13056.                     "enabled" : true
13057.                   },
13058.                   "utf8Sensitive" : false
13059.                 } ],
13060.                 "itemType" : "CUSTOM",
13061.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
13062.               },
13063.               "content" : "'\r\n' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n'\r\n' Purpose: Read IP Address and Hostname from hosts file on Windows Systems\r\n'\r\n' Version: 1.0\r\n'\r\n'\r\nOption Explicit\r\n\r\nConst TristateUseDefault = -2\r\n\r\n'Declare variables\r\nDim fso\r\nDim wshShell\r\nDim winDir\r\nDim hostsFile\r\nDim objFSO\r\nDim ObjFile\r\n\r\nDim inputString\r\nDim inputArray\r\nDim ipAddress\r\nDim hostname1\r\n\r\nSet fso = CreateObject(\"Scripting.FileSystemObject\")\r\nSet wshShell = CreateObject(\"WScript.Shell\")\r\n\r\n'Detect the Windows directory\r\nwinDir = WshShell.ExpandEnvironmentStrings(\"%WinDir%\")\r\n\r\n'Path to hosts file\r\nhostsFile = winDir & \"\\System32\\Drivers\\etc\\hosts\"\r\n\r\n'Check if hosts file exists\r\nIf (fso.FileExists(hostsFile)) Then\r\n\r\n'Open hosts file for reading, do not create one if it does not exist\r\n    Const ForReading = 1\r\n    Set objFSO = CreateObject(\"Scripting.FileSystemObject\")\r\n    Set objFile = objFSO.OpenTextFile(hostsFile, ForReading, False, TristateUseDefault)\r\n\r\n'Read from hosts file line by line\r\nDo Until objFile.AtEndOfStream\r\n    inputString = objFile.ReadLine\r\n\r\n    'Ignore comment lines and empty lines\r\n    If (Left (inputString, 1) <> \"#\" And Len (inputString) <> 0) Then\r\n        ipAddress = \"\"\r\n        hostname1 = \"\"\r\n\r\n        'Replace Tabs with Spaces\r\n        Do Until InStr (inputString, Chr(9)) = 0\r\n            inputString = Replace(inputString, Chr(9), Chr(32))\r\n        Loop\r\n\r\n        'Replace double Spaces with Space\r\n        Do Until InStr (inputString, Chr(32) & Chr(32)) = 0\r\n            inputString = Replace(inputString, Chr(32) & Chr(32), Chr(32))\r\n        Loop\r\n\r\n        'Convert string to an array, values separated by space\r\n        inputArray = Split(Trim (inputString), Chr(32))\r\n\r\n        'Read output values from array, only first hostname per line\r\n        ipAddress = inputArray(0)\r\n        hostname1 = inputArray(1)\r\n\r\n        'Write output separated by comma\r\n        WScript.Echo ipAddress & \",\" & hostname1\r\n    End If\r\nLoop\r\n\r\n'Close hosts file\r\nobjFile.Close\r\nEnd If\r\n",
13064.               "arguments" : [ ],
13065.               "utf8Sensitive" : false
13066.             } ],
13067.             "timeout" : 60,
13068.             "outputs" : [ {
13069.               "id" : "58efec8ee4b0c390d69a8ebf",
13070.               "name" : "ipaddress",
13071.               "type" : "IPV4IPV6",
13072.               "byDefault" : false,
13073.               "sequence" : 1
13074.             }, {
13075.               "id" : "58efec8ee4b0c390d69a8ec0",
13076.               "name" : "hostname",
13077.               "type" : "STRING",
13078.               "byDefault" : false,
13079.               "sequence" : 2
13080.             } ]
13081.           }
13082.         }, {
13083.           "output" : {
13084.             "id" : "58efec8ee4b0c390d69a8ebf",
13085.             "name" : "ipaddress",
13086.             "type" : "IPV4IPV6",
13087.             "byDefault" : false,
13088.             "sequence" : 1
13089.           },
13090.           "operator" : "EQUALS",
13091.           "value" : "::1",
13092.           "negated" : true,
13093.           "collector" : {
13094.             "catalogVersion" : 230233,
13095.             "dbVersion" : 2,
13096.             "id" : "58efec8ee4b0c390d69a8ec1",
13097.             "name" : "HostEntries",
13098.             "description" : "Shows the IP Address and Hostname from hosts file on Windows, Linux and Mac systems",
13099.             "type" : "BUILTIN",
13100.             "contents" : [ {
13101.               "platform" : {
13102.                 "catalogVersion" : 230233,
13103.                 "dbVersion" : 2,
13104.                 "id" : "58efec8ee4b0c390d69a8e0f",
13105.                 "name" : "linux",
13106.                 "topic" : "/mcafee/mar/agent/query/linux",
13107.                 "enabled" : true
13108.               },
13109.               "capability" : {
13110.                 "catalogVersion" : 230233,
13111.                 "dbVersion" : 2,
13112.                 "id" : "58efec8ee4b0c390d69a8e14",
13113.                 "name" : "Bash Script",
13114.                 "description" : "Executes Bash script on target client",
13115.                 "module" : "SystemRuntime",
13116.                 "function" : "executeBash",
13117.                 "contentEnabled" : true,
13118.                 "arguments" : [ ],
13119.                 "outputs" : [ ],
13120.                 "formatArgs" : {
13121.                   "hasHeaders" : false,
13122.                   "delimiter" : ","
13123.                 },
13124.                 "format" : "CSV",
13125.                 "platforms" : [ {
13126.                   "catalogVersion" : 230233,
13127.                   "dbVersion" : 2,
13128.                   "id" : "58efec8ee4b0c390d69a8e0f",
13129.                   "name" : "linux",
13130.                   "topic" : "/mcafee/mar/agent/query/linux",
13131.                   "enabled" : true
13132.                 }, {
13133.                   "catalogVersion" : 230233,
13134.                   "dbVersion" : 2,
13135.                   "id" : "5a1a45c9e4b0401274ab7141",
13136.                   "name" : "macos",
13137.                   "topic" : "/mcafee/mar/agent/query/macos",
13138.                   "enabled" : true
13139.                 } ],
13140.                 "platformSettings" : [ {
13141.                   "platform" : {
13142.                     "catalogVersion" : 230233,
13143.                     "dbVersion" : 2,
13144.                     "id" : "58efec8ee4b0c390d69a8e0f",
13145.                     "name" : "linux",
13146.                     "topic" : "/mcafee/mar/agent/query/linux",
13147.                     "enabled" : true
13148.                   },
13149.                   "utf8Sensitive" : false
13150.                 }, {
13151.                   "platform" : {
13152.                     "catalogVersion" : 230233,
13153.                     "dbVersion" : 2,
13154.                     "id" : "5a1a45c9e4b0401274ab7141",
13155.                     "name" : "macos",
13156.                     "topic" : "/mcafee/mar/agent/query/macos",
13157.                     "enabled" : true
13158.                   },
13159.                   "utf8Sensitive" : false
13160.                 } ],
13161.                 "itemType" : "CUSTOM",
13162.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
13163.               },
13164.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\n\ngetHostsFile() {\n    if [ -r \"/etc/hosts\" ]; then\n        cat \"/etc/hosts\"\n    else\n        exit 1\n    fi\n}\n\ngetParsedHosts() {\n    getHostsFile | perl -pe 's/(.*?)\\#(.*)/\\1/' | sed '/^$/d'\n}\n\nformatHost() {\n    line=\"$1\"\n    echo \"$line\" | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print \"\\\"\"$1\"\\\",\\\"\"$i\"\\\"\"\n    }'\n\n}\n\nprintEnvFile() {\n    procFile=\"$1\"\n    pid=$(getPidFromProcFile \"$procFile\")\n    user=$(getUserFromPid \"$pid\")\n    getEnvFile \"$procFile\" | while read -r -d $'\\0' var; do\n        var=$(escapeEnvVariable \"$var\")\n        if [[ $var == *\"=\"* ]]\n        then\n            echo \"\\\"$user\\\",\\\"$pid\\\",\\\"${var/=/\",\"}\\\"\"\n        fi\n    done\n}\n\nprocessHosts() {\n   getParsedHosts | while read -r host; do\n      formatHost \"$host\"\n   done\n}\n\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHosts\n}\n\nmain \"$@\"\n",
13165.               "arguments" : [ ],
13166.               "utf8Sensitive" : false
13167.             }, {
13168.               "platform" : {
13169.                 "catalogVersion" : 230233,
13170.                 "dbVersion" : 2,
13171.                 "id" : "5a1a45c9e4b0401274ab7141",
13172.                 "name" : "macos",
13173.                 "topic" : "/mcafee/mar/agent/query/macos",
13174.                 "enabled" : true
13175.               },
13176.               "capability" : {
13177.                 "catalogVersion" : 230233,
13178.                 "dbVersion" : 2,
13179.                 "id" : "58efec8ee4b0c390d69a8e14",
13180.                 "name" : "Bash Script",
13181.                 "description" : "Executes Bash script on target client",
13182.                 "module" : "SystemRuntime",
13183.                 "function" : "executeBash",
13184.                 "contentEnabled" : true,
13185.                 "arguments" : [ ],
13186.                 "outputs" : [ ],
13187.                 "formatArgs" : {
13188.                   "hasHeaders" : false,
13189.                   "delimiter" : ","
13190.                 },
13191.                 "format" : "CSV",
13192.                 "platforms" : [ {
13193.                   "catalogVersion" : 230233,
13194.                   "dbVersion" : 2,
13195.                   "id" : "58efec8ee4b0c390d69a8e0f",
13196.                   "name" : "linux",
13197.                   "topic" : "/mcafee/mar/agent/query/linux",
13198.                   "enabled" : true
13199.                 }, {
13200.                   "catalogVersion" : 230233,
13201.                   "dbVersion" : 2,
13202.                   "id" : "5a1a45c9e4b0401274ab7141",
13203.                   "name" : "macos",
13204.                   "topic" : "/mcafee/mar/agent/query/macos",
13205.                   "enabled" : true
13206.                 } ],
13207.                 "platformSettings" : [ {
13208.                   "platform" : {
13209.                     "catalogVersion" : 230233,
13210.                     "dbVersion" : 2,
13211.                     "id" : "58efec8ee4b0c390d69a8e0f",
13212.                     "name" : "linux",
13213.                     "topic" : "/mcafee/mar/agent/query/linux",
13214.                     "enabled" : true
13215.                   },
13216.                   "utf8Sensitive" : false
13217.                 }, {
13218.                   "platform" : {
13219.                     "catalogVersion" : 230233,
13220.                     "dbVersion" : 2,
13221.                     "id" : "5a1a45c9e4b0401274ab7141",
13222.                     "name" : "macos",
13223.                     "topic" : "/mcafee/mar/agent/query/macos",
13224.                     "enabled" : true
13225.                   },
13226.                   "utf8Sensitive" : false
13227.                 } ],
13228.                 "itemType" : "CUSTOM",
13229.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
13230.               },
13231.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about hosts file\n#\n# Version: 1\n\ngrep -vE \"^\\#\" /etc/hosts | awk \\\n    '{ for (i = 2; i <= NF; i++)\n            print $1\",\"$i\n    }'\n",
13232.               "arguments" : [ ],
13233.               "utf8Sensitive" : false
13234.             }, {
13235.               "platform" : {
13236.                 "catalogVersion" : 230233,
13237.                 "dbVersion" : 2,
13238.                 "id" : "58efec8ee4b0c390d69a8e0e",
13239.                 "name" : "windows",
13240.                 "topic" : "/mcafee/mar/agent/query/windows",
13241.                 "enabled" : true
13242.               },
13243.               "capability" : {
13244.                 "catalogVersion" : 230233,
13245.                 "dbVersion" : 2,
13246.                 "id" : "58efec8ee4b0c390d69a8e12",
13247.                 "name" : "Visual Basic Script",
13248.                 "description" : "Executes VBS script on target client",
13249.                 "module" : "SystemRuntime",
13250.                 "function" : "executeVBS",
13251.                 "contentEnabled" : true,
13252.                 "arguments" : [ ],
13253.                 "outputs" : [ ],
13254.                 "formatArgs" : {
13255.                   "hasHeaders" : false,
13256.                   "delimiter" : ","
13257.                 },
13258.                 "format" : "CSV",
13259.                 "platforms" : [ {
13260.                   "catalogVersion" : 230233,
13261.                   "dbVersion" : 2,
13262.                   "id" : "58efec8ee4b0c390d69a8e0e",
13263.                   "name" : "windows",
13264.                   "topic" : "/mcafee/mar/agent/query/windows",
13265.                   "enabled" : true
13266.                 } ],
13267.                 "platformSettings" : [ {
13268.                   "platform" : {
13269.                     "catalogVersion" : 230233,
13270.                     "dbVersion" : 2,
13271.                     "id" : "58efec8ee4b0c390d69a8e0e",
13272.                     "name" : "windows",
13273.                     "topic" : "/mcafee/mar/agent/query/windows",
13274.                     "enabled" : true
13275.                   },
13276.                   "utf8Sensitive" : false
13277.                 } ],
13278.                 "itemType" : "CUSTOM",
13279.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
13280.               },
13281.               "content" : "'\r\n' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n'\r\n' Purpose: Read IP Address and Hostname from hosts file on Windows Systems\r\n'\r\n' Version: 1.0\r\n'\r\n'\r\nOption Explicit\r\n\r\nConst TristateUseDefault = -2\r\n\r\n'Declare variables\r\nDim fso\r\nDim wshShell\r\nDim winDir\r\nDim hostsFile\r\nDim objFSO\r\nDim ObjFile\r\n\r\nDim inputString\r\nDim inputArray\r\nDim ipAddress\r\nDim hostname1\r\n\r\nSet fso = CreateObject(\"Scripting.FileSystemObject\")\r\nSet wshShell = CreateObject(\"WScript.Shell\")\r\n\r\n'Detect the Windows directory\r\nwinDir = WshShell.ExpandEnvironmentStrings(\"%WinDir%\")\r\n\r\n'Path to hosts file\r\nhostsFile = winDir & \"\\System32\\Drivers\\etc\\hosts\"\r\n\r\n'Check if hosts file exists\r\nIf (fso.FileExists(hostsFile)) Then\r\n\r\n'Open hosts file for reading, do not create one if it does not exist\r\n    Const ForReading = 1\r\n    Set objFSO = CreateObject(\"Scripting.FileSystemObject\")\r\n    Set objFile = objFSO.OpenTextFile(hostsFile, ForReading, False, TristateUseDefault)\r\n\r\n'Read from hosts file line by line\r\nDo Until objFile.AtEndOfStream\r\n    inputString = objFile.ReadLine\r\n\r\n    'Ignore comment lines and empty lines\r\n    If (Left (inputString, 1) <> \"#\" And Len (inputString) <> 0) Then\r\n        ipAddress = \"\"\r\n        hostname1 = \"\"\r\n\r\n        'Replace Tabs with Spaces\r\n        Do Until InStr (inputString, Chr(9)) = 0\r\n            inputString = Replace(inputString, Chr(9), Chr(32))\r\n        Loop\r\n\r\n        'Replace double Spaces with Space\r\n        Do Until InStr (inputString, Chr(32) & Chr(32)) = 0\r\n            inputString = Replace(inputString, Chr(32) & Chr(32), Chr(32))\r\n        Loop\r\n\r\n        'Convert string to an array, values separated by space\r\n        inputArray = Split(Trim (inputString), Chr(32))\r\n\r\n        'Read output values from array, only first hostname per line\r\n        ipAddress = inputArray(0)\r\n        hostname1 = inputArray(1)\r\n\r\n        'Write output separated by comma\r\n        WScript.Echo ipAddress & \",\" & hostname1\r\n    End If\r\nLoop\r\n\r\n'Close hosts file\r\nobjFile.Close\r\nEnd If\r\n",
13282.               "arguments" : [ ],
13283.               "utf8Sensitive" : false
13284.             } ],
13285.             "timeout" : 60,
13286.             "outputs" : [ {
13287.               "id" : "58efec8ee4b0c390d69a8ebf",
13288.               "name" : "ipaddress",
13289.               "type" : "IPV4IPV6",
13290.               "byDefault" : false,
13291.               "sequence" : 1
13292.             }, {
13293.               "id" : "58efec8ee4b0c390d69a8ec0",
13294.               "name" : "hostname",
13295.               "type" : "STRING",
13296.               "byDefault" : false,
13297.               "sequence" : 2
13298.             } ]
13299.           }
13300.         } ]
13301.       } ]
13302.     },
13303.     "running" : false,
13304.     "createdAt" : 1530900630317,
13305.     "executedAt" : null,
13306.     "status" : "CREATED",
13307.     "ttl" : 60000,
13308.     "startTime" : null,
13309.     "endpointPermission" : null,
13310.     "maGuidsTarget" : null,
13311.     "expectedHostResponses" : 0
13312.   },
13313.   "type" : "com.intel.mar.model.search.Search"
13314. }, {
13315.   "item" : {
13316.     "catalogVersion" : 1,
13317.     "dbVersion" : 2,
13318.     "id" : "5b3fb096e4b0cbe06dd67320",
13319.     "name" : "Powershell out",
13320.     "description" : "",
13321.     "type" : null,
13322.     "expression" : null,
13323.     "temporal" : false,
13324.     "invalid" : false,
13325.     "aggregated" : false,
13326.     "projections" : [ {
13327.       "collector" : {
13328.         "catalogVersion" : 230233,
13329.         "dbVersion" : 2,
13330.         "id" : "58efec8ee4b0c390d69a8ec5",
13331.         "name" : "HostInfo",
13332.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
13333.         "type" : "BUILTIN",
13334.         "contents" : [ {
13335.           "platform" : {
13336.             "catalogVersion" : 230233,
13337.             "dbVersion" : 2,
13338.             "id" : "58efec8ee4b0c390d69a8e0f",
13339.             "name" : "linux",
13340.             "topic" : "/mcafee/mar/agent/query/linux",
13341.             "enabled" : true
13342.           },
13343.           "capability" : {
13344.             "catalogVersion" : 230233,
13345.             "dbVersion" : 2,
13346.             "id" : "58efec8ee4b0c390d69a8e14",
13347.             "name" : "Bash Script",
13348.             "description" : "Executes Bash script on target client",
13349.             "module" : "SystemRuntime",
13350.             "function" : "executeBash",
13351.             "contentEnabled" : true,
13352.             "arguments" : [ ],
13353.             "outputs" : [ ],
13354.             "formatArgs" : {
13355.               "hasHeaders" : false,
13356.               "delimiter" : ","
13357.             },
13358.             "format" : "CSV",
13359.             "platforms" : [ {
13360.               "catalogVersion" : 230233,
13361.               "dbVersion" : 2,
13362.               "id" : "58efec8ee4b0c390d69a8e0f",
13363.               "name" : "linux",
13364.               "topic" : "/mcafee/mar/agent/query/linux",
13365.               "enabled" : true
13366.             }, {
13367.               "catalogVersion" : 230233,
13368.               "dbVersion" : 2,
13369.               "id" : "5a1a45c9e4b0401274ab7141",
13370.               "name" : "macos",
13371.               "topic" : "/mcafee/mar/agent/query/macos",
13372.               "enabled" : true
13373.             } ],
13374.             "platformSettings" : [ {
13375.               "platform" : {
13376.                 "catalogVersion" : 230233,
13377.                 "dbVersion" : 2,
13378.                 "id" : "58efec8ee4b0c390d69a8e0f",
13379.                 "name" : "linux",
13380.                 "topic" : "/mcafee/mar/agent/query/linux",
13381.                 "enabled" : true
13382.               },
13383.               "utf8Sensitive" : false
13384.             }, {
13385.               "platform" : {
13386.                 "catalogVersion" : 230233,
13387.                 "dbVersion" : 2,
13388.                 "id" : "5a1a45c9e4b0401274ab7141",
13389.                 "name" : "macos",
13390.                 "topic" : "/mcafee/mar/agent/query/macos",
13391.                 "enabled" : true
13392.               },
13393.               "utf8Sensitive" : false
13394.             } ],
13395.             "itemType" : "CUSTOM",
13396.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
13397.           },
13398.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
13399.           "arguments" : [ ],
13400.           "utf8Sensitive" : false
13401.         }, {
13402.           "platform" : {
13403.             "catalogVersion" : 230233,
13404.             "dbVersion" : 2,
13405.             "id" : "58efec8ee4b0c390d69a8e0e",
13406.             "name" : "windows",
13407.             "topic" : "/mcafee/mar/agent/query/windows",
13408.             "enabled" : true
13409.           },
13410.           "capability" : {
13411.             "catalogVersion" : 230233,
13412.             "dbVersion" : 2,
13413.             "id" : "58efec8ee4b0c390d69a8e12",
13414.             "name" : "Visual Basic Script",
13415.             "description" : "Executes VBS script on target client",
13416.             "module" : "SystemRuntime",
13417.             "function" : "executeVBS",
13418.             "contentEnabled" : true,
13419.             "arguments" : [ ],
13420.             "outputs" : [ ],
13421.             "formatArgs" : {
13422.               "hasHeaders" : false,
13423.               "delimiter" : ","
13424.             },
13425.             "format" : "CSV",
13426.             "platforms" : [ {
13427.               "catalogVersion" : 230233,
13428.               "dbVersion" : 2,
13429.               "id" : "58efec8ee4b0c390d69a8e0e",
13430.               "name" : "windows",
13431.               "topic" : "/mcafee/mar/agent/query/windows",
13432.               "enabled" : true
13433.             } ],
13434.             "platformSettings" : [ {
13435.               "platform" : {
13436.                 "catalogVersion" : 230233,
13437.                 "dbVersion" : 2,
13438.                 "id" : "58efec8ee4b0c390d69a8e0e",
13439.                 "name" : "windows",
13440.                 "topic" : "/mcafee/mar/agent/query/windows",
13441.                 "enabled" : true
13442.               },
13443.               "utf8Sensitive" : false
13444.             } ],
13445.             "itemType" : "CUSTOM",
13446.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
13447.           },
13448.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
13449.           "arguments" : [ ],
13450.           "utf8Sensitive" : false
13451.         }, {
13452.           "platform" : {
13453.             "catalogVersion" : 230233,
13454.             "dbVersion" : 2,
13455.             "id" : "5a1a45c9e4b0401274ab7141",
13456.             "name" : "macos",
13457.             "topic" : "/mcafee/mar/agent/query/macos",
13458.             "enabled" : true
13459.           },
13460.           "capability" : {
13461.             "catalogVersion" : 230233,
13462.             "dbVersion" : 2,
13463.             "id" : "5a1a45cae4b0401274ab7183",
13464.             "name" : "HostInfo SysInfo",
13465.             "description" : "Shows Hostname, 1st IP Address and OS version",
13466.             "module" : "SysInfo",
13467.             "function" : "HostInfo",
13468.             "contentEnabled" : false,
13469.             "arguments" : [ ],
13470.             "outputs" : [ ],
13471.             "formatArgs" : { },
13472.             "format" : "BIN",
13473.             "platforms" : [ {
13474.               "catalogVersion" : 230233,
13475.               "dbVersion" : 2,
13476.               "id" : "5a1a45c9e4b0401274ab7141",
13477.               "name" : "macos",
13478.               "topic" : "/mcafee/mar/agent/query/macos",
13479.               "enabled" : true
13480.             } ],
13481.             "platformSettings" : [ {
13482.               "platform" : {
13483.                 "catalogVersion" : 230233,
13484.                 "dbVersion" : 2,
13485.                 "id" : "5a1a45c9e4b0401274ab7141",
13486.                 "name" : "macos",
13487.                 "topic" : "/mcafee/mar/agent/query/macos",
13488.                 "enabled" : true
13489.               },
13490.               "utf8Sensitive" : false
13491.             } ],
13492.             "itemType" : "BUILTIN",
13493.             "catalogItems" : [ "COLLECTOR" ]
13494.           },
13495.           "content" : null,
13496.           "arguments" : [ ],
13497.           "utf8Sensitive" : false
13498.         } ],
13499.         "timeout" : 60,
13500.         "outputs" : [ {
13501.           "id" : "58efec8ee4b0c390d69a8ec2",
13502.           "name" : "hostname",
13503.           "type" : "STRING",
13504.           "byDefault" : false,
13505.           "sequence" : 1
13506.         }, {
13507.           "id" : "58efec8ee4b0c390d69a8ec3",
13508.           "name" : "ip_address",
13509.           "type" : "IPV4IPV6",
13510.           "byDefault" : false,
13511.           "sequence" : 2
13512.         }, {
13513.           "id" : "58efec8ee4b0c390d69a8ec4",
13514.           "name" : "os",
13515.           "type" : "STRING",
13516.           "byDefault" : false,
13517.           "sequence" : 3
13518.         }, {
13519.           "id" : "5b3f9b64e4b0dfaf321a6346",
13520.           "name" : "connection_status",
13521.           "type" : "STRING",
13522.           "byDefault" : false,
13523.           "sequence" : 4
13524.         }, {
13525.           "id" : "5b3f9b64e4b0dfaf321a6347",
13526.           "name" : "platform",
13527.           "type" : "STRING",
13528.           "byDefault" : false,
13529.           "sequence" : 5
13530.         } ]
13531.       },
13532.       "sequence" : "1",
13533.       "output" : [ {
13534.         "id" : "58efec8ee4b0c390d69a8ec2",
13535.         "name" : "hostname",
13536.         "type" : "STRING",
13537.         "byDefault" : false,
13538.         "sequence" : 1
13539.       } ]
13540.     }, {
13541.       "collector" : {
13542.         "catalogVersion" : 230233,
13543.         "dbVersion" : 2,
13544.         "id" : "58efec8ee4b0c390d69a8e97",
13545.         "name" : "NetworkFlow",
13546.         "description" : "Shows the network flow",
13547.         "type" : "BUILTIN",
13548.         "contents" : [ {
13549.           "platform" : {
13550.             "catalogVersion" : 230233,
13551.             "dbVersion" : 2,
13552.             "id" : "58efec8ee4b0c390d69a8e0f",
13553.             "name" : "linux",
13554.             "topic" : "/mcafee/mar/agent/query/linux",
13555.             "enabled" : true
13556.           },
13557.           "capability" : {
13558.             "catalogVersion" : 230233,
13559.             "dbVersion" : 2,
13560.             "id" : "58efec8ee4b0c390d69a8e1f",
13561.             "name" : "NetworkFlow",
13562.             "description" : "Gets flow information",
13563.             "module" : "NetworkFlow",
13564.             "function" : "FindFlow",
13565.             "contentEnabled" : false,
13566.             "arguments" : [ ],
13567.             "outputs" : [ ],
13568.             "formatArgs" : { },
13569.             "format" : "BIN",
13570.             "platforms" : [ {
13571.               "catalogVersion" : 230233,
13572.               "dbVersion" : 2,
13573.               "id" : "58efec8ee4b0c390d69a8e0e",
13574.               "name" : "windows",
13575.               "topic" : "/mcafee/mar/agent/query/windows",
13576.               "enabled" : true
13577.             }, {
13578.               "catalogVersion" : 230233,
13579.               "dbVersion" : 2,
13580.               "id" : "58efec8ee4b0c390d69a8e0f",
13581.               "name" : "linux",
13582.               "topic" : "/mcafee/mar/agent/query/linux",
13583.               "enabled" : true
13584.             }, {
13585.               "catalogVersion" : 230233,
13586.               "dbVersion" : 2,
13587.               "id" : "5a1a45c9e4b0401274ab7141",
13588.               "name" : "macos",
13589.               "topic" : "/mcafee/mar/agent/query/macos",
13590.               "enabled" : true
13591.             } ],
13592.             "platformSettings" : [ {
13593.               "platform" : {
13594.                 "catalogVersion" : 230233,
13595.                 "dbVersion" : 2,
13596.                 "id" : "58efec8ee4b0c390d69a8e0e",
13597.                 "name" : "windows",
13598.                 "topic" : "/mcafee/mar/agent/query/windows",
13599.                 "enabled" : true
13600.               },
13601.               "utf8Sensitive" : false
13602.             }, {
13603.               "platform" : {
13604.                 "catalogVersion" : 230233,
13605.                 "dbVersion" : 2,
13606.                 "id" : "58efec8ee4b0c390d69a8e0f",
13607.                 "name" : "linux",
13608.                 "topic" : "/mcafee/mar/agent/query/linux",
13609.                 "enabled" : true
13610.               },
13611.               "utf8Sensitive" : false
13612.             }, {
13613.               "platform" : {
13614.                 "catalogVersion" : 230233,
13615.                 "dbVersion" : 2,
13616.                 "id" : "5a1a45c9e4b0401274ab7141",
13617.                 "name" : "macos",
13618.                 "topic" : "/mcafee/mar/agent/query/macos",
13619.                 "enabled" : true
13620.               },
13621.               "utf8Sensitive" : false
13622.             } ],
13623.             "itemType" : "BUILTIN",
13624.             "catalogItems" : [ "COLLECTOR" ]
13625.           },
13626.           "content" : null,
13627.           "arguments" : [ ],
13628.           "utf8Sensitive" : false
13629.         }, {
13630.           "platform" : {
13631.             "catalogVersion" : 230233,
13632.             "dbVersion" : 2,
13633.             "id" : "58efec8ee4b0c390d69a8e0e",
13634.             "name" : "windows",
13635.             "topic" : "/mcafee/mar/agent/query/windows",
13636.             "enabled" : true
13637.           },
13638.           "capability" : {
13639.             "catalogVersion" : 230233,
13640.             "dbVersion" : 2,
13641.             "id" : "58efec8ee4b0c390d69a8e1f",
13642.             "name" : "NetworkFlow",
13643.             "description" : "Gets flow information",
13644.             "module" : "NetworkFlow",
13645.             "function" : "FindFlow",
13646.             "contentEnabled" : false,
13647.             "arguments" : [ ],
13648.             "outputs" : [ ],
13649.             "formatArgs" : { },
13650.             "format" : "BIN",
13651.             "platforms" : [ {
13652.               "catalogVersion" : 230233,
13653.               "dbVersion" : 2,
13654.               "id" : "58efec8ee4b0c390d69a8e0e",
13655.               "name" : "windows",
13656.               "topic" : "/mcafee/mar/agent/query/windows",
13657.               "enabled" : true
13658.             }, {
13659.               "catalogVersion" : 230233,
13660.               "dbVersion" : 2,
13661.               "id" : "58efec8ee4b0c390d69a8e0f",
13662.               "name" : "linux",
13663.               "topic" : "/mcafee/mar/agent/query/linux",
13664.               "enabled" : true
13665.             }, {
13666.               "catalogVersion" : 230233,
13667.               "dbVersion" : 2,
13668.               "id" : "5a1a45c9e4b0401274ab7141",
13669.               "name" : "macos",
13670.               "topic" : "/mcafee/mar/agent/query/macos",
13671.               "enabled" : true
13672.             } ],
13673.             "platformSettings" : [ {
13674.               "platform" : {
13675.                 "catalogVersion" : 230233,
13676.                 "dbVersion" : 2,
13677.                 "id" : "58efec8ee4b0c390d69a8e0e",
13678.                 "name" : "windows",
13679.                 "topic" : "/mcafee/mar/agent/query/windows",
13680.                 "enabled" : true
13681.               },
13682.               "utf8Sensitive" : false
13683.             }, {
13684.               "platform" : {
13685.                 "catalogVersion" : 230233,
13686.                 "dbVersion" : 2,
13687.                 "id" : "58efec8ee4b0c390d69a8e0f",
13688.                 "name" : "linux",
13689.                 "topic" : "/mcafee/mar/agent/query/linux",
13690.                 "enabled" : true
13691.               },
13692.               "utf8Sensitive" : false
13693.             }, {
13694.               "platform" : {
13695.                 "catalogVersion" : 230233,
13696.                 "dbVersion" : 2,
13697.                 "id" : "5a1a45c9e4b0401274ab7141",
13698.                 "name" : "macos",
13699.                 "topic" : "/mcafee/mar/agent/query/macos",
13700.                 "enabled" : true
13701.               },
13702.               "utf8Sensitive" : false
13703.             } ],
13704.             "itemType" : "BUILTIN",
13705.             "catalogItems" : [ "COLLECTOR" ]
13706.           },
13707.           "content" : null,
13708.           "arguments" : [ ],
13709.           "utf8Sensitive" : false
13710.         }, {
13711.           "platform" : {
13712.             "catalogVersion" : 230233,
13713.             "dbVersion" : 2,
13714.             "id" : "5a1a45c9e4b0401274ab7141",
13715.             "name" : "macos",
13716.             "topic" : "/mcafee/mar/agent/query/macos",
13717.             "enabled" : true
13718.           },
13719.           "capability" : {
13720.             "catalogVersion" : 230233,
13721.             "dbVersion" : 2,
13722.             "id" : "58efec8ee4b0c390d69a8e1f",
13723.             "name" : "NetworkFlow",
13724.             "description" : "Gets flow information",
13725.             "module" : "NetworkFlow",
13726.             "function" : "FindFlow",
13727.             "contentEnabled" : false,
13728.             "arguments" : [ ],
13729.             "outputs" : [ ],
13730.             "formatArgs" : { },
13731.             "format" : "BIN",
13732.             "platforms" : [ {
13733.               "catalogVersion" : 230233,
13734.               "dbVersion" : 2,
13735.               "id" : "58efec8ee4b0c390d69a8e0e",
13736.               "name" : "windows",
13737.               "topic" : "/mcafee/mar/agent/query/windows",
13738.               "enabled" : true
13739.             }, {
13740.               "catalogVersion" : 230233,
13741.               "dbVersion" : 2,
13742.               "id" : "58efec8ee4b0c390d69a8e0f",
13743.               "name" : "linux",
13744.               "topic" : "/mcafee/mar/agent/query/linux",
13745.               "enabled" : true
13746.             }, {
13747.               "catalogVersion" : 230233,
13748.               "dbVersion" : 2,
13749.               "id" : "5a1a45c9e4b0401274ab7141",
13750.               "name" : "macos",
13751.               "topic" : "/mcafee/mar/agent/query/macos",
13752.               "enabled" : true
13753.             } ],
13754.             "platformSettings" : [ {
13755.               "platform" : {
13756.                 "catalogVersion" : 230233,
13757.                 "dbVersion" : 2,
13758.                 "id" : "58efec8ee4b0c390d69a8e0e",
13759.                 "name" : "windows",
13760.                 "topic" : "/mcafee/mar/agent/query/windows",
13761.                 "enabled" : true
13762.               },
13763.               "utf8Sensitive" : false
13764.             }, {
13765.               "platform" : {
13766.                 "catalogVersion" : 230233,
13767.                 "dbVersion" : 2,
13768.                 "id" : "58efec8ee4b0c390d69a8e0f",
13769.                 "name" : "linux",
13770.                 "topic" : "/mcafee/mar/agent/query/linux",
13771.                 "enabled" : true
13772.               },
13773.               "utf8Sensitive" : false
13774.             }, {
13775.               "platform" : {
13776.                 "catalogVersion" : 230233,
13777.                 "dbVersion" : 2,
13778.                 "id" : "5a1a45c9e4b0401274ab7141",
13779.                 "name" : "macos",
13780.                 "topic" : "/mcafee/mar/agent/query/macos",
13781.                 "enabled" : true
13782.               },
13783.               "utf8Sensitive" : false
13784.             } ],
13785.             "itemType" : "BUILTIN",
13786.             "catalogItems" : [ "COLLECTOR" ]
13787.           },
13788.           "content" : null,
13789.           "arguments" : [ ],
13790.           "utf8Sensitive" : false
13791.         } ],
13792.         "timeout" : 60,
13793.         "outputs" : [ {
13794.           "id" : "58efec8ee4b0c390d69a8e85",
13795.           "name" : "time",
13796.           "type" : "DATE",
13797.           "byDefault" : true,
13798.           "sequence" : 1
13799.         }, {
13800.           "id" : "58efec8ee4b0c390d69a8e86",
13801.           "name" : "direction",
13802.           "type" : "STRING",
13803.           "byDefault" : true,
13804.           "sequence" : 2
13805.         }, {
13806.           "id" : "58efec8ee4b0c390d69a8e87",
13807.           "name" : "src_ip",
13808.           "type" : "IPV4IPV6",
13809.           "byDefault" : true,
13810.           "sequence" : 3
13811.         }, {
13812.           "id" : "58efec8ee4b0c390d69a8e88",
13813.           "name" : "src_port",
13814.           "type" : "NUMBER",
13815.           "byDefault" : true,
13816.           "sequence" : 4
13817.         }, {
13818.           "id" : "58efec8ee4b0c390d69a8e89",
13819.           "name" : "dst_ip",
13820.           "type" : "IPV4IPV6",
13821.           "byDefault" : true,
13822.           "sequence" : 5
13823.         }, {
13824.           "id" : "58efec8ee4b0c390d69a8e8a",
13825.           "name" : "dst_port",
13826.           "type" : "NUMBER",
13827.           "byDefault" : true,
13828.           "sequence" : 6
13829.         }, {
13830.           "id" : "58efec8ee4b0c390d69a8e8b",
13831.           "name" : "status",
13832.           "type" : "STRING",
13833.           "byDefault" : true,
13834.           "sequence" : 7
13835.         }, {
13836.           "id" : "58efec8ee4b0c390d69a8e8c",
13837.           "name" : "proto",
13838.           "type" : "STRING",
13839.           "byDefault" : true,
13840.           "sequence" : 8
13841.         }, {
13842.           "id" : "58efec8ee4b0c390d69a8e8d",
13843.           "name" : "ip_class",
13844.           "type" : "NUMBER",
13845.           "byDefault" : false,
13846.           "sequence" : 9
13847.         }, {
13848.           "id" : "58efec8ee4b0c390d69a8e8e",
13849.           "name" : "seq_number",
13850.           "type" : "NUMBER",
13851.           "byDefault" : false,
13852.           "sequence" : 10
13853.         }, {
13854.           "id" : "58efec8ee4b0c390d69a8e8f",
13855.           "name" : "src_mac",
13856.           "type" : "STRING",
13857.           "byDefault" : false,
13858.           "sequence" : 11
13859.         }, {
13860.           "id" : "58efec8ee4b0c390d69a8e90",
13861.           "name" : "dst_mac",
13862.           "type" : "STRING",
13863.           "byDefault" : false,
13864.           "sequence" : 12
13865.         }, {
13866.           "id" : "58efec8ee4b0c390d69a8e91",
13867.           "name" : "process",
13868.           "type" : "STRING",
13869.           "byDefault" : true,
13870.           "sequence" : 13
13871.         }, {
13872.           "id" : "58efec8ee4b0c390d69a8e92",
13873.           "name" : "process_id",
13874.           "type" : "NUMBER",
13875.           "byDefault" : false,
13876.           "sequence" : 14
13877.         }, {
13878.           "id" : "58efec8ee4b0c390d69a8e93",
13879.           "name" : "md5",
13880.           "type" : "STRING",
13881.           "byDefault" : false,
13882.           "sequence" : 15
13883.         }, {
13884.           "id" : "58efec8ee4b0c390d69a8e94",
13885.           "name" : "sha1",
13886.           "type" : "STRING",
13887.           "byDefault" : false,
13888.           "sequence" : 16
13889.         }, {
13890.           "id" : "58efec8ee4b0c390d69a8e95",
13891.           "name" : "user",
13892.           "type" : "STRING",
13893.           "byDefault" : true,
13894.           "sequence" : 17
13895.         }, {
13896.           "id" : "58efec8ee4b0c390d69a8e96",
13897.           "name" : "user_id",
13898.           "type" : "STRING",
13899.           "byDefault" : false,
13900.           "sequence" : 18
13901.         }, {
13902.           "id" : "5a1a45cbe4b0401274ab7191",
13903.           "name" : "sha256",
13904.           "type" : "STRING",
13905.           "byDefault" : false,
13906.           "sequence" : 19
13907.         } ]
13908.       },
13909.       "sequence" : "2",
13910.       "output" : [ {
13911.         "id" : "58efec8ee4b0c390d69a8e91",
13912.         "name" : "process",
13913.         "type" : "STRING",
13914.         "byDefault" : true,
13915.         "sequence" : 13
13916.       }, {
13917.         "id" : "58efec8ee4b0c390d69a8e8a",
13918.         "name" : "dst_port",
13919.         "type" : "NUMBER",
13920.         "byDefault" : true,
13921.         "sequence" : 6
13922.       }, {
13923.         "id" : "58efec8ee4b0c390d69a8e8b",
13924.         "name" : "status",
13925.         "type" : "STRING",
13926.         "byDefault" : true,
13927.         "sequence" : 7
13928.       }, {
13929.         "id" : "58efec8ee4b0c390d69a8e85",
13930.         "name" : "time",
13931.         "type" : "DATE",
13932.         "byDefault" : true,
13933.         "sequence" : 1
13934.       }, {
13935.         "id" : "58efec8ee4b0c390d69a8e86",
13936.         "name" : "direction",
13937.         "type" : "STRING",
13938.         "byDefault" : true,
13939.         "sequence" : 2
13940.       }, {
13941.         "id" : "58efec8ee4b0c390d69a8e8c",
13942.         "name" : "proto",
13943.         "type" : "STRING",
13944.         "byDefault" : true,
13945.         "sequence" : 8
13946.       }, {
13947.         "id" : "58efec8ee4b0c390d69a8e95",
13948.         "name" : "user",
13949.         "type" : "STRING",
13950.         "byDefault" : true,
13951.         "sequence" : 17
13952.       } ]
13953.     } ],
13954.     "disjunction" : {
13955.       "conjunctions" : [ {
13956.         "terms" : [ {
13957.           "output" : {
13958.             "id" : "58efec8ee4b0c390d69a8e91",
13959.             "name" : "process",
13960.             "type" : "STRING",
13961.             "byDefault" : true,
13962.             "sequence" : 13
13963.           },
13964.           "operator" : "CONTAINS",
13965.           "value" : "powershell.exe",
13966.           "negated" : false,
13967.           "collector" : {
13968.             "catalogVersion" : 230233,
13969.             "dbVersion" : 2,
13970.             "id" : "58efec8ee4b0c390d69a8e97",
13971.             "name" : "NetworkFlow",
13972.             "description" : "Shows the network flow",
13973.             "type" : "BUILTIN",
13974.             "contents" : [ {
13975.               "platform" : {
13976.                 "catalogVersion" : 230233,
13977.                 "dbVersion" : 2,
13978.                 "id" : "58efec8ee4b0c390d69a8e0f",
13979.                 "name" : "linux",
13980.                 "topic" : "/mcafee/mar/agent/query/linux",
13981.                 "enabled" : true
13982.               },
13983.               "capability" : {
13984.                 "catalogVersion" : 230233,
13985.                 "dbVersion" : 2,
13986.                 "id" : "58efec8ee4b0c390d69a8e1f",
13987.                 "name" : "NetworkFlow",
13988.                 "description" : "Gets flow information",
13989.                 "module" : "NetworkFlow",
13990.                 "function" : "FindFlow",
13991.                 "contentEnabled" : false,
13992.                 "arguments" : [ ],
13993.                 "outputs" : [ ],
13994.                 "formatArgs" : { },
13995.                 "format" : "BIN",
13996.                 "platforms" : [ {
13997.                   "catalogVersion" : 230233,
13998.                   "dbVersion" : 2,
13999.                   "id" : "58efec8ee4b0c390d69a8e0e",
14000.                   "name" : "windows",
14001.                   "topic" : "/mcafee/mar/agent/query/windows",
14002.                   "enabled" : true
14003.                 }, {
14004.                   "catalogVersion" : 230233,
14005.                   "dbVersion" : 2,
14006.                   "id" : "58efec8ee4b0c390d69a8e0f",
14007.                   "name" : "linux",
14008.                   "topic" : "/mcafee/mar/agent/query/linux",
14009.                   "enabled" : true
14010.                 }, {
14011.                   "catalogVersion" : 230233,
14012.                   "dbVersion" : 2,
14013.                   "id" : "5a1a45c9e4b0401274ab7141",
14014.                   "name" : "macos",
14015.                   "topic" : "/mcafee/mar/agent/query/macos",
14016.                   "enabled" : true
14017.                 } ],
14018.                 "platformSettings" : [ {
14019.                   "platform" : {
14020.                     "catalogVersion" : 230233,
14021.                     "dbVersion" : 2,
14022.                     "id" : "58efec8ee4b0c390d69a8e0e",
14023.                     "name" : "windows",
14024.                     "topic" : "/mcafee/mar/agent/query/windows",
14025.                     "enabled" : true
14026.                   },
14027.                   "utf8Sensitive" : false
14028.                 }, {
14029.                   "platform" : {
14030.                     "catalogVersion" : 230233,
14031.                     "dbVersion" : 2,
14032.                     "id" : "58efec8ee4b0c390d69a8e0f",
14033.                     "name" : "linux",
14034.                     "topic" : "/mcafee/mar/agent/query/linux",
14035.                     "enabled" : true
14036.                   },
14037.                   "utf8Sensitive" : false
14038.                 }, {
14039.                   "platform" : {
14040.                     "catalogVersion" : 230233,
14041.                     "dbVersion" : 2,
14042.                     "id" : "5a1a45c9e4b0401274ab7141",
14043.                     "name" : "macos",
14044.                     "topic" : "/mcafee/mar/agent/query/macos",
14045.                     "enabled" : true
14046.                   },
14047.                   "utf8Sensitive" : false
14048.                 } ],
14049.                 "itemType" : "BUILTIN",
14050.                 "catalogItems" : [ "COLLECTOR" ]
14051.               },
14052.               "content" : null,
14053.               "arguments" : [ ],
14054.               "utf8Sensitive" : false
14055.             }, {
14056.               "platform" : {
14057.                 "catalogVersion" : 230233,
14058.                 "dbVersion" : 2,
14059.                 "id" : "58efec8ee4b0c390d69a8e0e",
14060.                 "name" : "windows",
14061.                 "topic" : "/mcafee/mar/agent/query/windows",
14062.                 "enabled" : true
14063.               },
14064.               "capability" : {
14065.                 "catalogVersion" : 230233,
14066.                 "dbVersion" : 2,
14067.                 "id" : "58efec8ee4b0c390d69a8e1f",
14068.                 "name" : "NetworkFlow",
14069.                 "description" : "Gets flow information",
14070.                 "module" : "NetworkFlow",
14071.                 "function" : "FindFlow",
14072.                 "contentEnabled" : false,
14073.                 "arguments" : [ ],
14074.                 "outputs" : [ ],
14075.                 "formatArgs" : { },
14076.                 "format" : "BIN",
14077.                 "platforms" : [ {
14078.                   "catalogVersion" : 230233,
14079.                   "dbVersion" : 2,
14080.                   "id" : "58efec8ee4b0c390d69a8e0e",
14081.                   "name" : "windows",
14082.                   "topic" : "/mcafee/mar/agent/query/windows",
14083.                   "enabled" : true
14084.                 }, {
14085.                   "catalogVersion" : 230233,
14086.                   "dbVersion" : 2,
14087.                   "id" : "58efec8ee4b0c390d69a8e0f",
14088.                   "name" : "linux",
14089.                   "topic" : "/mcafee/mar/agent/query/linux",
14090.                   "enabled" : true
14091.                 }, {
14092.                   "catalogVersion" : 230233,
14093.                   "dbVersion" : 2,
14094.                   "id" : "5a1a45c9e4b0401274ab7141",
14095.                   "name" : "macos",
14096.                   "topic" : "/mcafee/mar/agent/query/macos",
14097.                   "enabled" : true
14098.                 } ],
14099.                 "platformSettings" : [ {
14100.                   "platform" : {
14101.                     "catalogVersion" : 230233,
14102.                     "dbVersion" : 2,
14103.                     "id" : "58efec8ee4b0c390d69a8e0e",
14104.                     "name" : "windows",
14105.                     "topic" : "/mcafee/mar/agent/query/windows",
14106.                     "enabled" : true
14107.                   },
14108.                   "utf8Sensitive" : false
14109.                 }, {
14110.                   "platform" : {
14111.                     "catalogVersion" : 230233,
14112.                     "dbVersion" : 2,
14113.                     "id" : "58efec8ee4b0c390d69a8e0f",
14114.                     "name" : "linux",
14115.                     "topic" : "/mcafee/mar/agent/query/linux",
14116.                     "enabled" : true
14117.                   },
14118.                   "utf8Sensitive" : false
14119.                 }, {
14120.                   "platform" : {
14121.                     "catalogVersion" : 230233,
14122.                     "dbVersion" : 2,
14123.                     "id" : "5a1a45c9e4b0401274ab7141",
14124.                     "name" : "macos",
14125.                     "topic" : "/mcafee/mar/agent/query/macos",
14126.                     "enabled" : true
14127.                   },
14128.                   "utf8Sensitive" : false
14129.                 } ],
14130.                 "itemType" : "BUILTIN",
14131.                 "catalogItems" : [ "COLLECTOR" ]
14132.               },
14133.               "content" : null,
14134.               "arguments" : [ ],
14135.               "utf8Sensitive" : false
14136.             }, {
14137.               "platform" : {
14138.                 "catalogVersion" : 230233,
14139.                 "dbVersion" : 2,
14140.                 "id" : "5a1a45c9e4b0401274ab7141",
14141.                 "name" : "macos",
14142.                 "topic" : "/mcafee/mar/agent/query/macos",
14143.                 "enabled" : true
14144.               },
14145.               "capability" : {
14146.                 "catalogVersion" : 230233,
14147.                 "dbVersion" : 2,
14148.                 "id" : "58efec8ee4b0c390d69a8e1f",
14149.                 "name" : "NetworkFlow",
14150.                 "description" : "Gets flow information",
14151.                 "module" : "NetworkFlow",
14152.                 "function" : "FindFlow",
14153.                 "contentEnabled" : false,
14154.                 "arguments" : [ ],
14155.                 "outputs" : [ ],
14156.                 "formatArgs" : { },
14157.                 "format" : "BIN",
14158.                 "platforms" : [ {
14159.                   "catalogVersion" : 230233,
14160.                   "dbVersion" : 2,
14161.                   "id" : "58efec8ee4b0c390d69a8e0e",
14162.                   "name" : "windows",
14163.                   "topic" : "/mcafee/mar/agent/query/windows",
14164.                   "enabled" : true
14165.                 }, {
14166.                   "catalogVersion" : 230233,
14167.                   "dbVersion" : 2,
14168.                   "id" : "58efec8ee4b0c390d69a8e0f",
14169.                   "name" : "linux",
14170.                   "topic" : "/mcafee/mar/agent/query/linux",
14171.                   "enabled" : true
14172.                 }, {
14173.                   "catalogVersion" : 230233,
14174.                   "dbVersion" : 2,
14175.                   "id" : "5a1a45c9e4b0401274ab7141",
14176.                   "name" : "macos",
14177.                   "topic" : "/mcafee/mar/agent/query/macos",
14178.                   "enabled" : true
14179.                 } ],
14180.                 "platformSettings" : [ {
14181.                   "platform" : {
14182.                     "catalogVersion" : 230233,
14183.                     "dbVersion" : 2,
14184.                     "id" : "58efec8ee4b0c390d69a8e0e",
14185.                     "name" : "windows",
14186.                     "topic" : "/mcafee/mar/agent/query/windows",
14187.                     "enabled" : true
14188.                   },
14189.                   "utf8Sensitive" : false
14190.                 }, {
14191.                   "platform" : {
14192.                     "catalogVersion" : 230233,
14193.                     "dbVersion" : 2,
14194.                     "id" : "58efec8ee4b0c390d69a8e0f",
14195.                     "name" : "linux",
14196.                     "topic" : "/mcafee/mar/agent/query/linux",
14197.                     "enabled" : true
14198.                   },
14199.                   "utf8Sensitive" : false
14200.                 }, {
14201.                   "platform" : {
14202.                     "catalogVersion" : 230233,
14203.                     "dbVersion" : 2,
14204.                     "id" : "5a1a45c9e4b0401274ab7141",
14205.                     "name" : "macos",
14206.                     "topic" : "/mcafee/mar/agent/query/macos",
14207.                     "enabled" : true
14208.                   },
14209.                   "utf8Sensitive" : false
14210.                 } ],
14211.                 "itemType" : "BUILTIN",
14212.                 "catalogItems" : [ "COLLECTOR" ]
14213.               },
14214.               "content" : null,
14215.               "arguments" : [ ],
14216.               "utf8Sensitive" : false
14217.             } ],
14218.             "timeout" : 60,
14219.             "outputs" : [ {
14220.               "id" : "58efec8ee4b0c390d69a8e85",
14221.               "name" : "time",
14222.               "type" : "DATE",
14223.               "byDefault" : true,
14224.               "sequence" : 1
14225.             }, {
14226.               "id" : "58efec8ee4b0c390d69a8e86",
14227.               "name" : "direction",
14228.               "type" : "STRING",
14229.               "byDefault" : true,
14230.               "sequence" : 2
14231.             }, {
14232.               "id" : "58efec8ee4b0c390d69a8e87",
14233.               "name" : "src_ip",
14234.               "type" : "IPV4IPV6",
14235.               "byDefault" : true,
14236.               "sequence" : 3
14237.             }, {
14238.               "id" : "58efec8ee4b0c390d69a8e88",
14239.               "name" : "src_port",
14240.               "type" : "NUMBER",
14241.               "byDefault" : true,
14242.               "sequence" : 4
14243.             }, {
14244.               "id" : "58efec8ee4b0c390d69a8e89",
14245.               "name" : "dst_ip",
14246.               "type" : "IPV4IPV6",
14247.               "byDefault" : true,
14248.               "sequence" : 5
14249.             }, {
14250.               "id" : "58efec8ee4b0c390d69a8e8a",
14251.               "name" : "dst_port",
14252.               "type" : "NUMBER",
14253.               "byDefault" : true,
14254.               "sequence" : 6
14255.             }, {
14256.               "id" : "58efec8ee4b0c390d69a8e8b",
14257.               "name" : "status",
14258.               "type" : "STRING",
14259.               "byDefault" : true,
14260.               "sequence" : 7
14261.             }, {
14262.               "id" : "58efec8ee4b0c390d69a8e8c",
14263.               "name" : "proto",
14264.               "type" : "STRING",
14265.               "byDefault" : true,
14266.               "sequence" : 8
14267.             }, {
14268.               "id" : "58efec8ee4b0c390d69a8e8d",
14269.               "name" : "ip_class",
14270.               "type" : "NUMBER",
14271.               "byDefault" : false,
14272.               "sequence" : 9
14273.             }, {
14274.               "id" : "58efec8ee4b0c390d69a8e8e",
14275.               "name" : "seq_number",
14276.               "type" : "NUMBER",
14277.               "byDefault" : false,
14278.               "sequence" : 10
14279.             }, {
14280.               "id" : "58efec8ee4b0c390d69a8e8f",
14281.               "name" : "src_mac",
14282.               "type" : "STRING",
14283.               "byDefault" : false,
14284.               "sequence" : 11
14285.             }, {
14286.               "id" : "58efec8ee4b0c390d69a8e90",
14287.               "name" : "dst_mac",
14288.               "type" : "STRING",
14289.               "byDefault" : false,
14290.               "sequence" : 12
14291.             }, {
14292.               "id" : "58efec8ee4b0c390d69a8e91",
14293.               "name" : "process",
14294.               "type" : "STRING",
14295.               "byDefault" : true,
14296.               "sequence" : 13
14297.             }, {
14298.               "id" : "58efec8ee4b0c390d69a8e92",
14299.               "name" : "process_id",
14300.               "type" : "NUMBER",
14301.               "byDefault" : false,
14302.               "sequence" : 14
14303.             }, {
14304.               "id" : "58efec8ee4b0c390d69a8e93",
14305.               "name" : "md5",
14306.               "type" : "STRING",
14307.               "byDefault" : false,
14308.               "sequence" : 15
14309.             }, {
14310.               "id" : "58efec8ee4b0c390d69a8e94",
14311.               "name" : "sha1",
14312.               "type" : "STRING",
14313.               "byDefault" : false,
14314.               "sequence" : 16
14315.             }, {
14316.               "id" : "58efec8ee4b0c390d69a8e95",
14317.               "name" : "user",
14318.               "type" : "STRING",
14319.               "byDefault" : true,
14320.               "sequence" : 17
14321.             }, {
14322.               "id" : "58efec8ee4b0c390d69a8e96",
14323.               "name" : "user_id",
14324.               "type" : "STRING",
14325.               "byDefault" : false,
14326.               "sequence" : 18
14327.             }, {
14328.               "id" : "5a1a45cbe4b0401274ab7191",
14329.               "name" : "sha256",
14330.               "type" : "STRING",
14331.               "byDefault" : false,
14332.               "sequence" : 19
14333.             } ]
14334.           }
14335.         }, {
14336.           "output" : {
14337.             "id" : "58efec8ee4b0c390d69a8e8a",
14338.             "name" : "dst_port",
14339.             "type" : "NUMBER",
14340.             "byDefault" : true,
14341.             "sequence" : 6
14342.           },
14343.           "operator" : "EQUALS",
14344.           "value" : "443",
14345.           "negated" : false,
14346.           "collector" : {
14347.             "catalogVersion" : 230233,
14348.             "dbVersion" : 2,
14349.             "id" : "58efec8ee4b0c390d69a8e97",
14350.             "name" : "NetworkFlow",
14351.             "description" : "Shows the network flow",
14352.             "type" : "BUILTIN",
14353.             "contents" : [ {
14354.               "platform" : {
14355.                 "catalogVersion" : 230233,
14356.                 "dbVersion" : 2,
14357.                 "id" : "58efec8ee4b0c390d69a8e0f",
14358.                 "name" : "linux",
14359.                 "topic" : "/mcafee/mar/agent/query/linux",
14360.                 "enabled" : true
14361.               },
14362.               "capability" : {
14363.                 "catalogVersion" : 230233,
14364.                 "dbVersion" : 2,
14365.                 "id" : "58efec8ee4b0c390d69a8e1f",
14366.                 "name" : "NetworkFlow",
14367.                 "description" : "Gets flow information",
14368.                 "module" : "NetworkFlow",
14369.                 "function" : "FindFlow",
14370.                 "contentEnabled" : false,
14371.                 "arguments" : [ ],
14372.                 "outputs" : [ ],
14373.                 "formatArgs" : { },
14374.                 "format" : "BIN",
14375.                 "platforms" : [ {
14376.                   "catalogVersion" : 230233,
14377.                   "dbVersion" : 2,
14378.                   "id" : "58efec8ee4b0c390d69a8e0e",
14379.                   "name" : "windows",
14380.                   "topic" : "/mcafee/mar/agent/query/windows",
14381.                   "enabled" : true
14382.                 }, {
14383.                   "catalogVersion" : 230233,
14384.                   "dbVersion" : 2,
14385.                   "id" : "58efec8ee4b0c390d69a8e0f",
14386.                   "name" : "linux",
14387.                   "topic" : "/mcafee/mar/agent/query/linux",
14388.                   "enabled" : true
14389.                 }, {
14390.                   "catalogVersion" : 230233,
14391.                   "dbVersion" : 2,
14392.                   "id" : "5a1a45c9e4b0401274ab7141",
14393.                   "name" : "macos",
14394.                   "topic" : "/mcafee/mar/agent/query/macos",
14395.                   "enabled" : true
14396.                 } ],
14397.                 "platformSettings" : [ {
14398.                   "platform" : {
14399.                     "catalogVersion" : 230233,
14400.                     "dbVersion" : 2,
14401.                     "id" : "58efec8ee4b0c390d69a8e0e",
14402.                     "name" : "windows",
14403.                     "topic" : "/mcafee/mar/agent/query/windows",
14404.                     "enabled" : true
14405.                   },
14406.                   "utf8Sensitive" : false
14407.                 }, {
14408.                   "platform" : {
14409.                     "catalogVersion" : 230233,
14410.                     "dbVersion" : 2,
14411.                     "id" : "58efec8ee4b0c390d69a8e0f",
14412.                     "name" : "linux",
14413.                     "topic" : "/mcafee/mar/agent/query/linux",
14414.                     "enabled" : true
14415.                   },
14416.                   "utf8Sensitive" : false
14417.                 }, {
14418.                   "platform" : {
14419.                     "catalogVersion" : 230233,
14420.                     "dbVersion" : 2,
14421.                     "id" : "5a1a45c9e4b0401274ab7141",
14422.                     "name" : "macos",
14423.                     "topic" : "/mcafee/mar/agent/query/macos",
14424.                     "enabled" : true
14425.                   },
14426.                   "utf8Sensitive" : false
14427.                 } ],
14428.                 "itemType" : "BUILTIN",
14429.                 "catalogItems" : [ "COLLECTOR" ]
14430.               },
14431.               "content" : null,
14432.               "arguments" : [ ],
14433.               "utf8Sensitive" : false
14434.             }, {
14435.               "platform" : {
14436.                 "catalogVersion" : 230233,
14437.                 "dbVersion" : 2,
14438.                 "id" : "58efec8ee4b0c390d69a8e0e",
14439.                 "name" : "windows",
14440.                 "topic" : "/mcafee/mar/agent/query/windows",
14441.                 "enabled" : true
14442.               },
14443.               "capability" : {
14444.                 "catalogVersion" : 230233,
14445.                 "dbVersion" : 2,
14446.                 "id" : "58efec8ee4b0c390d69a8e1f",
14447.                 "name" : "NetworkFlow",
14448.                 "description" : "Gets flow information",
14449.                 "module" : "NetworkFlow",
14450.                 "function" : "FindFlow",
14451.                 "contentEnabled" : false,
14452.                 "arguments" : [ ],
14453.                 "outputs" : [ ],
14454.                 "formatArgs" : { },
14455.                 "format" : "BIN",
14456.                 "platforms" : [ {
14457.                   "catalogVersion" : 230233,
14458.                   "dbVersion" : 2,
14459.                   "id" : "58efec8ee4b0c390d69a8e0e",
14460.                   "name" : "windows",
14461.                   "topic" : "/mcafee/mar/agent/query/windows",
14462.                   "enabled" : true
14463.                 }, {
14464.                   "catalogVersion" : 230233,
14465.                   "dbVersion" : 2,
14466.                   "id" : "58efec8ee4b0c390d69a8e0f",
14467.                   "name" : "linux",
14468.                   "topic" : "/mcafee/mar/agent/query/linux",
14469.                   "enabled" : true
14470.                 }, {
14471.                   "catalogVersion" : 230233,
14472.                   "dbVersion" : 2,
14473.                   "id" : "5a1a45c9e4b0401274ab7141",
14474.                   "name" : "macos",
14475.                   "topic" : "/mcafee/mar/agent/query/macos",
14476.                   "enabled" : true
14477.                 } ],
14478.                 "platformSettings" : [ {
14479.                   "platform" : {
14480.                     "catalogVersion" : 230233,
14481.                     "dbVersion" : 2,
14482.                     "id" : "58efec8ee4b0c390d69a8e0e",
14483.                     "name" : "windows",
14484.                     "topic" : "/mcafee/mar/agent/query/windows",
14485.                     "enabled" : true
14486.                   },
14487.                   "utf8Sensitive" : false
14488.                 }, {
14489.                   "platform" : {
14490.                     "catalogVersion" : 230233,
14491.                     "dbVersion" : 2,
14492.                     "id" : "58efec8ee4b0c390d69a8e0f",
14493.                     "name" : "linux",
14494.                     "topic" : "/mcafee/mar/agent/query/linux",
14495.                     "enabled" : true
14496.                   },
14497.                   "utf8Sensitive" : false
14498.                 }, {
14499.                   "platform" : {
14500.                     "catalogVersion" : 230233,
14501.                     "dbVersion" : 2,
14502.                     "id" : "5a1a45c9e4b0401274ab7141",
14503.                     "name" : "macos",
14504.                     "topic" : "/mcafee/mar/agent/query/macos",
14505.                     "enabled" : true
14506.                   },
14507.                   "utf8Sensitive" : false
14508.                 } ],
14509.                 "itemType" : "BUILTIN",
14510.                 "catalogItems" : [ "COLLECTOR" ]
14511.               },
14512.               "content" : null,
14513.               "arguments" : [ ],
14514.               "utf8Sensitive" : false
14515.             }, {
14516.               "platform" : {
14517.                 "catalogVersion" : 230233,
14518.                 "dbVersion" : 2,
14519.                 "id" : "5a1a45c9e4b0401274ab7141",
14520.                 "name" : "macos",
14521.                 "topic" : "/mcafee/mar/agent/query/macos",
14522.                 "enabled" : true
14523.               },
14524.               "capability" : {
14525.                 "catalogVersion" : 230233,
14526.                 "dbVersion" : 2,
14527.                 "id" : "58efec8ee4b0c390d69a8e1f",
14528.                 "name" : "NetworkFlow",
14529.                 "description" : "Gets flow information",
14530.                 "module" : "NetworkFlow",
14531.                 "function" : "FindFlow",
14532.                 "contentEnabled" : false,
14533.                 "arguments" : [ ],
14534.                 "outputs" : [ ],
14535.                 "formatArgs" : { },
14536.                 "format" : "BIN",
14537.                 "platforms" : [ {
14538.                   "catalogVersion" : 230233,
14539.                   "dbVersion" : 2,
14540.                   "id" : "58efec8ee4b0c390d69a8e0e",
14541.                   "name" : "windows",
14542.                   "topic" : "/mcafee/mar/agent/query/windows",
14543.                   "enabled" : true
14544.                 }, {
14545.                   "catalogVersion" : 230233,
14546.                   "dbVersion" : 2,
14547.                   "id" : "58efec8ee4b0c390d69a8e0f",
14548.                   "name" : "linux",
14549.                   "topic" : "/mcafee/mar/agent/query/linux",
14550.                   "enabled" : true
14551.                 }, {
14552.                   "catalogVersion" : 230233,
14553.                   "dbVersion" : 2,
14554.                   "id" : "5a1a45c9e4b0401274ab7141",
14555.                   "name" : "macos",
14556.                   "topic" : "/mcafee/mar/agent/query/macos",
14557.                   "enabled" : true
14558.                 } ],
14559.                 "platformSettings" : [ {
14560.                   "platform" : {
14561.                     "catalogVersion" : 230233,
14562.                     "dbVersion" : 2,
14563.                     "id" : "58efec8ee4b0c390d69a8e0e",
14564.                     "name" : "windows",
14565.                     "topic" : "/mcafee/mar/agent/query/windows",
14566.                     "enabled" : true
14567.                   },
14568.                   "utf8Sensitive" : false
14569.                 }, {
14570.                   "platform" : {
14571.                     "catalogVersion" : 230233,
14572.                     "dbVersion" : 2,
14573.                     "id" : "58efec8ee4b0c390d69a8e0f",
14574.                     "name" : "linux",
14575.                     "topic" : "/mcafee/mar/agent/query/linux",
14576.                     "enabled" : true
14577.                   },
14578.                   "utf8Sensitive" : false
14579.                 }, {
14580.                   "platform" : {
14581.                     "catalogVersion" : 230233,
14582.                     "dbVersion" : 2,
14583.                     "id" : "5a1a45c9e4b0401274ab7141",
14584.                     "name" : "macos",
14585.                     "topic" : "/mcafee/mar/agent/query/macos",
14586.                     "enabled" : true
14587.                   },
14588.                   "utf8Sensitive" : false
14589.                 } ],
14590.                 "itemType" : "BUILTIN",
14591.                 "catalogItems" : [ "COLLECTOR" ]
14592.               },
14593.               "content" : null,
14594.               "arguments" : [ ],
14595.               "utf8Sensitive" : false
14596.             } ],
14597.             "timeout" : 60,
14598.             "outputs" : [ {
14599.               "id" : "58efec8ee4b0c390d69a8e85",
14600.               "name" : "time",
14601.               "type" : "DATE",
14602.               "byDefault" : true,
14603.               "sequence" : 1
14604.             }, {
14605.               "id" : "58efec8ee4b0c390d69a8e86",
14606.               "name" : "direction",
14607.               "type" : "STRING",
14608.               "byDefault" : true,
14609.               "sequence" : 2
14610.             }, {
14611.               "id" : "58efec8ee4b0c390d69a8e87",
14612.               "name" : "src_ip",
14613.               "type" : "IPV4IPV6",
14614.               "byDefault" : true,
14615.               "sequence" : 3
14616.             }, {
14617.               "id" : "58efec8ee4b0c390d69a8e88",
14618.               "name" : "src_port",
14619.               "type" : "NUMBER",
14620.               "byDefault" : true,
14621.               "sequence" : 4
14622.             }, {
14623.               "id" : "58efec8ee4b0c390d69a8e89",
14624.               "name" : "dst_ip",
14625.               "type" : "IPV4IPV6",
14626.               "byDefault" : true,
14627.               "sequence" : 5
14628.             }, {
14629.               "id" : "58efec8ee4b0c390d69a8e8a",
14630.               "name" : "dst_port",
14631.               "type" : "NUMBER",
14632.               "byDefault" : true,
14633.               "sequence" : 6
14634.             }, {
14635.               "id" : "58efec8ee4b0c390d69a8e8b",
14636.               "name" : "status",
14637.               "type" : "STRING",
14638.               "byDefault" : true,
14639.               "sequence" : 7
14640.             }, {
14641.               "id" : "58efec8ee4b0c390d69a8e8c",
14642.               "name" : "proto",
14643.               "type" : "STRING",
14644.               "byDefault" : true,
14645.               "sequence" : 8
14646.             }, {
14647.               "id" : "58efec8ee4b0c390d69a8e8d",
14648.               "name" : "ip_class",
14649.               "type" : "NUMBER",
14650.               "byDefault" : false,
14651.               "sequence" : 9
14652.             }, {
14653.               "id" : "58efec8ee4b0c390d69a8e8e",
14654.               "name" : "seq_number",
14655.               "type" : "NUMBER",
14656.               "byDefault" : false,
14657.               "sequence" : 10
14658.             }, {
14659.               "id" : "58efec8ee4b0c390d69a8e8f",
14660.               "name" : "src_mac",
14661.               "type" : "STRING",
14662.               "byDefault" : false,
14663.               "sequence" : 11
14664.             }, {
14665.               "id" : "58efec8ee4b0c390d69a8e90",
14666.               "name" : "dst_mac",
14667.               "type" : "STRING",
14668.               "byDefault" : false,
14669.               "sequence" : 12
14670.             }, {
14671.               "id" : "58efec8ee4b0c390d69a8e91",
14672.               "name" : "process",
14673.               "type" : "STRING",
14674.               "byDefault" : true,
14675.               "sequence" : 13
14676.             }, {
14677.               "id" : "58efec8ee4b0c390d69a8e92",
14678.               "name" : "process_id",
14679.               "type" : "NUMBER",
14680.               "byDefault" : false,
14681.               "sequence" : 14
14682.             }, {
14683.               "id" : "58efec8ee4b0c390d69a8e93",
14684.               "name" : "md5",
14685.               "type" : "STRING",
14686.               "byDefault" : false,
14687.               "sequence" : 15
14688.             }, {
14689.               "id" : "58efec8ee4b0c390d69a8e94",
14690.               "name" : "sha1",
14691.               "type" : "STRING",
14692.               "byDefault" : false,
14693.               "sequence" : 16
14694.             }, {
14695.               "id" : "58efec8ee4b0c390d69a8e95",
14696.               "name" : "user",
14697.               "type" : "STRING",
14698.               "byDefault" : true,
14699.               "sequence" : 17
14700.             }, {
14701.               "id" : "58efec8ee4b0c390d69a8e96",
14702.               "name" : "user_id",
14703.               "type" : "STRING",
14704.               "byDefault" : false,
14705.               "sequence" : 18
14706.             }, {
14707.               "id" : "5a1a45cbe4b0401274ab7191",
14708.               "name" : "sha256",
14709.               "type" : "STRING",
14710.               "byDefault" : false,
14711.               "sequence" : 19
14712.             } ]
14713.           }
14714.         } ]
14715.       } ]
14716.     },
14717.     "running" : false,
14718.     "createdAt" : 1530900630323,
14719.     "executedAt" : null,
14720.     "status" : "CREATED",
14721.     "ttl" : 60000,
14722.     "startTime" : null,
14723.     "endpointPermission" : null,
14724.     "maGuidsTarget" : null,
14725.     "expectedHostResponses" : 0
14726.   },
14727.   "type" : "com.intel.mar.model.search.Search"
14728. }, {
14729.   "item" : {
14730.     "catalogVersion" : 1,
14731.     "dbVersion" : 2,
14732.     "id" : "5b3fb096e4b0cbe06dd67321",
14733.     "name" : "Recent MAR Hashing Status",
14734.     "description" : "",
14735.     "type" : null,
14736.     "expression" : null,
14737.     "temporal" : false,
14738.     "invalid" : false,
14739.     "aggregated" : false,
14740.     "projections" : [ {
14741.       "collector" : {
14742.         "catalogVersion" : 1,
14743.         "dbVersion" : 2,
14744.         "id" : "5b3fb07ce4b0cbe06dd672fa",
14745.         "name" : "HashStatusRecent",
14746.         "description" : "Displays the most recent File Hashing Status",
14747.         "type" : "CUSTOM",
14748.         "contents" : [ {
14749.           "platform" : {
14750.             "catalogVersion" : 230233,
14751.             "dbVersion" : 2,
14752.             "id" : "58efec8ee4b0c390d69a8e0e",
14753.             "name" : "windows",
14754.             "topic" : "/mcafee/mar/agent/query/windows",
14755.             "enabled" : true
14756.           },
14757.           "capability" : {
14758.             "catalogVersion" : 230233,
14759.             "dbVersion" : 2,
14760.             "id" : "58efec8ee4b0c390d69a8e12",
14761.             "name" : "Visual Basic Script",
14762.             "description" : "Executes VBS script on target client",
14763.             "module" : "SystemRuntime",
14764.             "function" : "executeVBS",
14765.             "contentEnabled" : true,
14766.             "arguments" : [ ],
14767.             "outputs" : [ ],
14768.             "formatArgs" : {
14769.               "hasHeaders" : false,
14770.               "delimiter" : ","
14771.             },
14772.             "format" : "CSV",
14773.             "platforms" : [ {
14774.               "catalogVersion" : 230233,
14775.               "dbVersion" : 2,
14776.               "id" : "58efec8ee4b0c390d69a8e0e",
14777.               "name" : "windows",
14778.               "topic" : "/mcafee/mar/agent/query/windows",
14779.               "enabled" : true
14780.             } ],
14781.             "platformSettings" : [ {
14782.               "platform" : {
14783.                 "catalogVersion" : 230233,
14784.                 "dbVersion" : 2,
14785.                 "id" : "58efec8ee4b0c390d69a8e0e",
14786.                 "name" : "windows",
14787.                 "topic" : "/mcafee/mar/agent/query/windows",
14788.                 "enabled" : true
14789.               },
14790.               "utf8Sensitive" : false
14791.             } ],
14792.             "itemType" : "CUSTOM",
14793.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
14794.           },
14795.           "content" : "' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n'\n' This script will display the most recent File Hashing Status\n'\nDim objFSO, objFile, line, arrLines, strAnalyztime, strHashtime\nSet objFSO = CreateObject(\"Scripting.FileSystemObject\")\nstartFile = \"C:\\ProgramData\\McAfee\\MAR\\data\\marlog.log\"\n' ***********************************************\n' Open Mar Log and Check Status\n' ***********************************************\nIF objFSO.FileExists(startFile) Then\n\tobjFile = objFSO.OpenTextFile(startFile, 1).ReadAll\n\tarrLines = Split(objFile,vbCrLf)\n\t\tFor Each line in arrLines\n\t\t\tIF inStr(line,\"Analyzing parent dir\") > 1 Then\n\t\t\t\tstrAnalyztime = line\n\t\t\tEnd IF\n\t\t\tIF inStr(line,\"Stop Hashing - Total Hashing Time\") > 1 Then\n\t\t\t\tstrHashtime = line\n\t\t\tEnd IF\n\t\tNext\nELSE\n\tWScript.Quit\nEnd IF\n' ***********************************************\n' Output Logic\n' ***********************************************\nWScript.echo Trim(Left(strAnalyztime, (inStr(strAnalyztime,\"    \")))) & \",\" & _\nTrim(Left(strHashtime, (inStr(strHashtime,\"    \")))) & \",\" &_\nReplace(Replace(Right(strHashtime, (len(strHashtime)-(inStr(strHashtime,\"Stop Hashing -\")))),\"top Hashing - Total Hashing Time: \",\"\"),\" seconds\",\"\")\n' ***********************************************\n' End\n' ***********************************************\nWScript.Quit",
14796.           "arguments" : null,
14797.           "utf8Sensitive" : false
14798.         }, {
14799.           "platform" : {
14800.             "catalogVersion" : 230233,
14801.             "dbVersion" : 2,
14802.             "id" : "58efec8ee4b0c390d69a8e0f",
14803.             "name" : "linux",
14804.             "topic" : "/mcafee/mar/agent/query/linux",
14805.             "enabled" : true
14806.           },
14807.           "capability" : {
14808.             "catalogVersion" : 230233,
14809.             "dbVersion" : 2,
14810.             "id" : "58efec8ee4b0c390d69a8e51",
14811.             "name" : "NotAvailable",
14812.             "description" : "Capability not available",
14813.             "module" : "Internal",
14814.             "function" : "GetFalseResult",
14815.             "contentEnabled" : false,
14816.             "arguments" : [ ],
14817.             "outputs" : [ ],
14818.             "formatArgs" : { },
14819.             "format" : "BIN",
14820.             "platforms" : [ {
14821.               "catalogVersion" : 230233,
14822.               "dbVersion" : 2,
14823.               "id" : "58efec8ee4b0c390d69a8e0e",
14824.               "name" : "windows",
14825.               "topic" : "/mcafee/mar/agent/query/windows",
14826.               "enabled" : true
14827.             }, {
14828.               "catalogVersion" : 230233,
14829.               "dbVersion" : 2,
14830.               "id" : "58efec8ee4b0c390d69a8e0f",
14831.               "name" : "linux",
14832.               "topic" : "/mcafee/mar/agent/query/linux",
14833.               "enabled" : true
14834.             } ],
14835.             "platformSettings" : [ ],
14836.             "itemType" : "BUILTIN",
14837.             "catalogItems" : [ ]
14838.           },
14839.           "content" : null,
14840.           "arguments" : null,
14841.           "utf8Sensitive" : false
14842.         }, {
14843.           "platform" : {
14844.             "catalogVersion" : 230233,
14845.             "dbVersion" : 2,
14846.             "id" : "5a1a45c9e4b0401274ab7141",
14847.             "name" : "macos",
14848.             "topic" : "/mcafee/mar/agent/query/macos",
14849.             "enabled" : true
14850.           },
14851.           "capability" : {
14852.             "catalogVersion" : 230233,
14853.             "dbVersion" : 2,
14854.             "id" : "58efec8ee4b0c390d69a8e51",
14855.             "name" : "NotAvailable",
14856.             "description" : "Capability not available",
14857.             "module" : "Internal",
14858.             "function" : "GetFalseResult",
14859.             "contentEnabled" : false,
14860.             "arguments" : [ ],
14861.             "outputs" : [ ],
14862.             "formatArgs" : { },
14863.             "format" : "BIN",
14864.             "platforms" : [ {
14865.               "catalogVersion" : 230233,
14866.               "dbVersion" : 2,
14867.               "id" : "58efec8ee4b0c390d69a8e0e",
14868.               "name" : "windows",
14869.               "topic" : "/mcafee/mar/agent/query/windows",
14870.               "enabled" : true
14871.             }, {
14872.               "catalogVersion" : 230233,
14873.               "dbVersion" : 2,
14874.               "id" : "58efec8ee4b0c390d69a8e0f",
14875.               "name" : "linux",
14876.               "topic" : "/mcafee/mar/agent/query/linux",
14877.               "enabled" : true
14878.             } ],
14879.             "platformSettings" : [ ],
14880.             "itemType" : "BUILTIN",
14881.             "catalogItems" : [ ]
14882.           },
14883.           "content" : null,
14884.           "arguments" : null,
14885.           "utf8Sensitive" : false
14886.         } ],
14887.         "timeout" : 60,
14888.         "outputs" : [ {
14889.           "id" : "5b3fb07ce4b0cbe06dd672d3",
14890.           "name" : "start_time",
14891.           "type" : "STRING",
14892.           "byDefault" : true,
14893.           "sequence" : 1
14894.         }, {
14895.           "id" : "5b3fb07ce4b0cbe06dd672d4",
14896.           "name" : "completion_time",
14897.           "type" : "STRING",
14898.           "byDefault" : true,
14899.           "sequence" : 2
14900.         }, {
14901.           "id" : "5b3fb07ce4b0cbe06dd672d5",
14902.           "name" : "runtime_seconds",
14903.           "type" : "NUMBER",
14904.           "byDefault" : true,
14905.           "sequence" : 3
14906.         } ]
14907.       },
14908.       "sequence" : "1",
14909.       "output" : [ {
14910.         "id" : "5b3fb07ce4b0cbe06dd672d3",
14911.         "name" : "start_time",
14912.         "type" : "STRING",
14913.         "byDefault" : true,
14914.         "sequence" : 1
14915.       }, {
14916.         "id" : "5b3fb07ce4b0cbe06dd672d4",
14917.         "name" : "completion_time",
14918.         "type" : "STRING",
14919.         "byDefault" : true,
14920.         "sequence" : 2
14921.       }, {
14922.         "id" : "5b3fb07ce4b0cbe06dd672d5",
14923.         "name" : "runtime_seconds",
14924.         "type" : "NUMBER",
14925.         "byDefault" : true,
14926.         "sequence" : 3
14927.       } ]
14928.     }, {
14929.       "collector" : {
14930.         "catalogVersion" : 230233,
14931.         "dbVersion" : 2,
14932.         "id" : "58efec8ee4b0c390d69a8ec5",
14933.         "name" : "HostInfo",
14934.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
14935.         "type" : "BUILTIN",
14936.         "contents" : [ {
14937.           "platform" : {
14938.             "catalogVersion" : 230233,
14939.             "dbVersion" : 2,
14940.             "id" : "58efec8ee4b0c390d69a8e0f",
14941.             "name" : "linux",
14942.             "topic" : "/mcafee/mar/agent/query/linux",
14943.             "enabled" : true
14944.           },
14945.           "capability" : {
14946.             "catalogVersion" : 230233,
14947.             "dbVersion" : 2,
14948.             "id" : "58efec8ee4b0c390d69a8e14",
14949.             "name" : "Bash Script",
14950.             "description" : "Executes Bash script on target client",
14951.             "module" : "SystemRuntime",
14952.             "function" : "executeBash",
14953.             "contentEnabled" : true,
14954.             "arguments" : [ ],
14955.             "outputs" : [ ],
14956.             "formatArgs" : {
14957.               "hasHeaders" : false,
14958.               "delimiter" : ","
14959.             },
14960.             "format" : "CSV",
14961.             "platforms" : [ {
14962.               "catalogVersion" : 230233,
14963.               "dbVersion" : 2,
14964.               "id" : "58efec8ee4b0c390d69a8e0f",
14965.               "name" : "linux",
14966.               "topic" : "/mcafee/mar/agent/query/linux",
14967.               "enabled" : true
14968.             }, {
14969.               "catalogVersion" : 230233,
14970.               "dbVersion" : 2,
14971.               "id" : "5a1a45c9e4b0401274ab7141",
14972.               "name" : "macos",
14973.               "topic" : "/mcafee/mar/agent/query/macos",
14974.               "enabled" : true
14975.             } ],
14976.             "platformSettings" : [ {
14977.               "platform" : {
14978.                 "catalogVersion" : 230233,
14979.                 "dbVersion" : 2,
14980.                 "id" : "58efec8ee4b0c390d69a8e0f",
14981.                 "name" : "linux",
14982.                 "topic" : "/mcafee/mar/agent/query/linux",
14983.                 "enabled" : true
14984.               },
14985.               "utf8Sensitive" : false
14986.             }, {
14987.               "platform" : {
14988.                 "catalogVersion" : 230233,
14989.                 "dbVersion" : 2,
14990.                 "id" : "5a1a45c9e4b0401274ab7141",
14991.                 "name" : "macos",
14992.                 "topic" : "/mcafee/mar/agent/query/macos",
14993.                 "enabled" : true
14994.               },
14995.               "utf8Sensitive" : false
14996.             } ],
14997.             "itemType" : "CUSTOM",
14998.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
14999.           },
15000.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
15001.           "arguments" : [ ],
15002.           "utf8Sensitive" : false
15003.         }, {
15004.           "platform" : {
15005.             "catalogVersion" : 230233,
15006.             "dbVersion" : 2,
15007.             "id" : "58efec8ee4b0c390d69a8e0e",
15008.             "name" : "windows",
15009.             "topic" : "/mcafee/mar/agent/query/windows",
15010.             "enabled" : true
15011.           },
15012.           "capability" : {
15013.             "catalogVersion" : 230233,
15014.             "dbVersion" : 2,
15015.             "id" : "58efec8ee4b0c390d69a8e12",
15016.             "name" : "Visual Basic Script",
15017.             "description" : "Executes VBS script on target client",
15018.             "module" : "SystemRuntime",
15019.             "function" : "executeVBS",
15020.             "contentEnabled" : true,
15021.             "arguments" : [ ],
15022.             "outputs" : [ ],
15023.             "formatArgs" : {
15024.               "hasHeaders" : false,
15025.               "delimiter" : ","
15026.             },
15027.             "format" : "CSV",
15028.             "platforms" : [ {
15029.               "catalogVersion" : 230233,
15030.               "dbVersion" : 2,
15031.               "id" : "58efec8ee4b0c390d69a8e0e",
15032.               "name" : "windows",
15033.               "topic" : "/mcafee/mar/agent/query/windows",
15034.               "enabled" : true
15035.             } ],
15036.             "platformSettings" : [ {
15037.               "platform" : {
15038.                 "catalogVersion" : 230233,
15039.                 "dbVersion" : 2,
15040.                 "id" : "58efec8ee4b0c390d69a8e0e",
15041.                 "name" : "windows",
15042.                 "topic" : "/mcafee/mar/agent/query/windows",
15043.                 "enabled" : true
15044.               },
15045.               "utf8Sensitive" : false
15046.             } ],
15047.             "itemType" : "CUSTOM",
15048.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
15049.           },
15050.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
15051.           "arguments" : [ ],
15052.           "utf8Sensitive" : false
15053.         }, {
15054.           "platform" : {
15055.             "catalogVersion" : 230233,
15056.             "dbVersion" : 2,
15057.             "id" : "5a1a45c9e4b0401274ab7141",
15058.             "name" : "macos",
15059.             "topic" : "/mcafee/mar/agent/query/macos",
15060.             "enabled" : true
15061.           },
15062.           "capability" : {
15063.             "catalogVersion" : 230233,
15064.             "dbVersion" : 2,
15065.             "id" : "5a1a45cae4b0401274ab7183",
15066.             "name" : "HostInfo SysInfo",
15067.             "description" : "Shows Hostname, 1st IP Address and OS version",
15068.             "module" : "SysInfo",
15069.             "function" : "HostInfo",
15070.             "contentEnabled" : false,
15071.             "arguments" : [ ],
15072.             "outputs" : [ ],
15073.             "formatArgs" : { },
15074.             "format" : "BIN",
15075.             "platforms" : [ {
15076.               "catalogVersion" : 230233,
15077.               "dbVersion" : 2,
15078.               "id" : "5a1a45c9e4b0401274ab7141",
15079.               "name" : "macos",
15080.               "topic" : "/mcafee/mar/agent/query/macos",
15081.               "enabled" : true
15082.             } ],
15083.             "platformSettings" : [ {
15084.               "platform" : {
15085.                 "catalogVersion" : 230233,
15086.                 "dbVersion" : 2,
15087.                 "id" : "5a1a45c9e4b0401274ab7141",
15088.                 "name" : "macos",
15089.                 "topic" : "/mcafee/mar/agent/query/macos",
15090.                 "enabled" : true
15091.               },
15092.               "utf8Sensitive" : false
15093.             } ],
15094.             "itemType" : "BUILTIN",
15095.             "catalogItems" : [ "COLLECTOR" ]
15096.           },
15097.           "content" : null,
15098.           "arguments" : [ ],
15099.           "utf8Sensitive" : false
15100.         } ],
15101.         "timeout" : 60,
15102.         "outputs" : [ {
15103.           "id" : "58efec8ee4b0c390d69a8ec2",
15104.           "name" : "hostname",
15105.           "type" : "STRING",
15106.           "byDefault" : false,
15107.           "sequence" : 1
15108.         }, {
15109.           "id" : "58efec8ee4b0c390d69a8ec3",
15110.           "name" : "ip_address",
15111.           "type" : "IPV4IPV6",
15112.           "byDefault" : false,
15113.           "sequence" : 2
15114.         }, {
15115.           "id" : "58efec8ee4b0c390d69a8ec4",
15116.           "name" : "os",
15117.           "type" : "STRING",
15118.           "byDefault" : false,
15119.           "sequence" : 3
15120.         }, {
15121.           "id" : "5b3f9b64e4b0dfaf321a6346",
15122.           "name" : "connection_status",
15123.           "type" : "STRING",
15124.           "byDefault" : false,
15125.           "sequence" : 4
15126.         }, {
15127.           "id" : "5b3f9b64e4b0dfaf321a6347",
15128.           "name" : "platform",
15129.           "type" : "STRING",
15130.           "byDefault" : false,
15131.           "sequence" : 5
15132.         } ]
15133.       },
15134.       "sequence" : "2",
15135.       "output" : [ {
15136.         "id" : "58efec8ee4b0c390d69a8ec2",
15137.         "name" : "hostname",
15138.         "type" : "STRING",
15139.         "byDefault" : false,
15140.         "sequence" : 1
15141.       } ]
15142.     } ],
15143.     "disjunction" : {
15144.       "conjunctions" : [ {
15145.         "terms" : [ {
15146.           "output" : {
15147.             "id" : "58efec8ee4b0c390d69a8ec2",
15148.             "name" : "hostname",
15149.             "type" : "STRING",
15150.             "byDefault" : false,
15151.             "sequence" : 1
15152.           },
15153.           "operator" : "EQUALS",
15154.           "value" : "WIN71",
15155.           "negated" : false,
15156.           "collector" : {
15157.             "catalogVersion" : 230233,
15158.             "dbVersion" : 2,
15159.             "id" : "58efec8ee4b0c390d69a8ec5",
15160.             "name" : "HostInfo",
15161.             "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
15162.             "type" : "BUILTIN",
15163.             "contents" : [ {
15164.               "platform" : {
15165.                 "catalogVersion" : 230233,
15166.                 "dbVersion" : 2,
15167.                 "id" : "58efec8ee4b0c390d69a8e0f",
15168.                 "name" : "linux",
15169.                 "topic" : "/mcafee/mar/agent/query/linux",
15170.                 "enabled" : true
15171.               },
15172.               "capability" : {
15173.                 "catalogVersion" : 230233,
15174.                 "dbVersion" : 2,
15175.                 "id" : "58efec8ee4b0c390d69a8e14",
15176.                 "name" : "Bash Script",
15177.                 "description" : "Executes Bash script on target client",
15178.                 "module" : "SystemRuntime",
15179.                 "function" : "executeBash",
15180.                 "contentEnabled" : true,
15181.                 "arguments" : [ ],
15182.                 "outputs" : [ ],
15183.                 "formatArgs" : {
15184.                   "hasHeaders" : false,
15185.                   "delimiter" : ","
15186.                 },
15187.                 "format" : "CSV",
15188.                 "platforms" : [ {
15189.                   "catalogVersion" : 230233,
15190.                   "dbVersion" : 2,
15191.                   "id" : "58efec8ee4b0c390d69a8e0f",
15192.                   "name" : "linux",
15193.                   "topic" : "/mcafee/mar/agent/query/linux",
15194.                   "enabled" : true
15195.                 }, {
15196.                   "catalogVersion" : 230233,
15197.                   "dbVersion" : 2,
15198.                   "id" : "5a1a45c9e4b0401274ab7141",
15199.                   "name" : "macos",
15200.                   "topic" : "/mcafee/mar/agent/query/macos",
15201.                   "enabled" : true
15202.                 } ],
15203.                 "platformSettings" : [ {
15204.                   "platform" : {
15205.                     "catalogVersion" : 230233,
15206.                     "dbVersion" : 2,
15207.                     "id" : "58efec8ee4b0c390d69a8e0f",
15208.                     "name" : "linux",
15209.                     "topic" : "/mcafee/mar/agent/query/linux",
15210.                     "enabled" : true
15211.                   },
15212.                   "utf8Sensitive" : false
15213.                 }, {
15214.                   "platform" : {
15215.                     "catalogVersion" : 230233,
15216.                     "dbVersion" : 2,
15217.                     "id" : "5a1a45c9e4b0401274ab7141",
15218.                     "name" : "macos",
15219.                     "topic" : "/mcafee/mar/agent/query/macos",
15220.                     "enabled" : true
15221.                   },
15222.                   "utf8Sensitive" : false
15223.                 } ],
15224.                 "itemType" : "CUSTOM",
15225.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
15226.               },
15227.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
15228.               "arguments" : [ ],
15229.               "utf8Sensitive" : false
15230.             }, {
15231.               "platform" : {
15232.                 "catalogVersion" : 230233,
15233.                 "dbVersion" : 2,
15234.                 "id" : "58efec8ee4b0c390d69a8e0e",
15235.                 "name" : "windows",
15236.                 "topic" : "/mcafee/mar/agent/query/windows",
15237.                 "enabled" : true
15238.               },
15239.               "capability" : {
15240.                 "catalogVersion" : 230233,
15241.                 "dbVersion" : 2,
15242.                 "id" : "58efec8ee4b0c390d69a8e12",
15243.                 "name" : "Visual Basic Script",
15244.                 "description" : "Executes VBS script on target client",
15245.                 "module" : "SystemRuntime",
15246.                 "function" : "executeVBS",
15247.                 "contentEnabled" : true,
15248.                 "arguments" : [ ],
15249.                 "outputs" : [ ],
15250.                 "formatArgs" : {
15251.                   "hasHeaders" : false,
15252.                   "delimiter" : ","
15253.                 },
15254.                 "format" : "CSV",
15255.                 "platforms" : [ {
15256.                   "catalogVersion" : 230233,
15257.                   "dbVersion" : 2,
15258.                   "id" : "58efec8ee4b0c390d69a8e0e",
15259.                   "name" : "windows",
15260.                   "topic" : "/mcafee/mar/agent/query/windows",
15261.                   "enabled" : true
15262.                 } ],
15263.                 "platformSettings" : [ {
15264.                   "platform" : {
15265.                     "catalogVersion" : 230233,
15266.                     "dbVersion" : 2,
15267.                     "id" : "58efec8ee4b0c390d69a8e0e",
15268.                     "name" : "windows",
15269.                     "topic" : "/mcafee/mar/agent/query/windows",
15270.                     "enabled" : true
15271.                   },
15272.                   "utf8Sensitive" : false
15273.                 } ],
15274.                 "itemType" : "CUSTOM",
15275.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
15276.               },
15277.               "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
15278.               "arguments" : [ ],
15279.               "utf8Sensitive" : false
15280.             }, {
15281.               "platform" : {
15282.                 "catalogVersion" : 230233,
15283.                 "dbVersion" : 2,
15284.                 "id" : "5a1a45c9e4b0401274ab7141",
15285.                 "name" : "macos",
15286.                 "topic" : "/mcafee/mar/agent/query/macos",
15287.                 "enabled" : true
15288.               },
15289.               "capability" : {
15290.                 "catalogVersion" : 230233,
15291.                 "dbVersion" : 2,
15292.                 "id" : "5a1a45cae4b0401274ab7183",
15293.                 "name" : "HostInfo SysInfo",
15294.                 "description" : "Shows Hostname, 1st IP Address and OS version",
15295.                 "module" : "SysInfo",
15296.                 "function" : "HostInfo",
15297.                 "contentEnabled" : false,
15298.                 "arguments" : [ ],
15299.                 "outputs" : [ ],
15300.                 "formatArgs" : { },
15301.                 "format" : "BIN",
15302.                 "platforms" : [ {
15303.                   "catalogVersion" : 230233,
15304.                   "dbVersion" : 2,
15305.                   "id" : "5a1a45c9e4b0401274ab7141",
15306.                   "name" : "macos",
15307.                   "topic" : "/mcafee/mar/agent/query/macos",
15308.                   "enabled" : true
15309.                 } ],
15310.                 "platformSettings" : [ {
15311.                   "platform" : {
15312.                     "catalogVersion" : 230233,
15313.                     "dbVersion" : 2,
15314.                     "id" : "5a1a45c9e4b0401274ab7141",
15315.                     "name" : "macos",
15316.                     "topic" : "/mcafee/mar/agent/query/macos",
15317.                     "enabled" : true
15318.                   },
15319.                   "utf8Sensitive" : false
15320.                 } ],
15321.                 "itemType" : "BUILTIN",
15322.                 "catalogItems" : [ "COLLECTOR" ]
15323.               },
15324.               "content" : null,
15325.               "arguments" : [ ],
15326.               "utf8Sensitive" : false
15327.             } ],
15328.             "timeout" : 60,
15329.             "outputs" : [ {
15330.               "id" : "58efec8ee4b0c390d69a8ec2",
15331.               "name" : "hostname",
15332.               "type" : "STRING",
15333.               "byDefault" : false,
15334.               "sequence" : 1
15335.             }, {
15336.               "id" : "58efec8ee4b0c390d69a8ec3",
15337.               "name" : "ip_address",
15338.               "type" : "IPV4IPV6",
15339.               "byDefault" : false,
15340.               "sequence" : 2
15341.             }, {
15342.               "id" : "58efec8ee4b0c390d69a8ec4",
15343.               "name" : "os",
15344.               "type" : "STRING",
15345.               "byDefault" : false,
15346.               "sequence" : 3
15347.             }, {
15348.               "id" : "5b3f9b64e4b0dfaf321a6346",
15349.               "name" : "connection_status",
15350.               "type" : "STRING",
15351.               "byDefault" : false,
15352.               "sequence" : 4
15353.             }, {
15354.               "id" : "5b3f9b64e4b0dfaf321a6347",
15355.               "name" : "platform",
15356.               "type" : "STRING",
15357.               "byDefault" : false,
15358.               "sequence" : 5
15359.             } ]
15360.           }
15361.         } ]
15362.       } ]
15363.     },
15364.     "running" : false,
15365.     "createdAt" : 1530900630332,
15366.     "executedAt" : null,
15367.     "status" : "CREATED",
15368.     "ttl" : 60000,
15369.     "startTime" : null,
15370.     "endpointPermission" : null,
15371.     "maGuidsTarget" : null,
15372.     "expectedHostResponses" : 0
15373.   },
15374.   "type" : "com.intel.mar.model.search.Search"
15375. }, {
15376.   "item" : {
15377.     "catalogVersion" : 1,
15378.     "dbVersion" : 2,
15379.     "id" : "5b3fb096e4b0cbe06dd67322",
15380.     "name" : "Remote Connections",
15381.     "description" : "",
15382.     "type" : null,
15383.     "expression" : "CurrentFlow where CurrentFlow process not equals \"chrome.exe\" and CurrentFlow process not equals \"iexplore.exe\" and CurrentFlow process not equals \"firefox.exe\" and CurrentFlow status equals \"ESTABLISHED\" and CurrentFlow remote_ip not contains 172.16.33.0/24 and CurrentFlow remote_ip not equals 127.0.0.1 and CurrentFlow remote_ip not contains 172.16.34.0/24 and CurrentFlow remote_ip not contains ::1",
15384.     "temporal" : false,
15385.     "invalid" : false,
15386.     "aggregated" : true,
15387.     "projections" : [ {
15388.       "collector" : {
15389.         "catalogVersion" : 230233,
15390.         "dbVersion" : 2,
15391.         "id" : "58efec8ee4b0c390d69a8ea4",
15392.         "name" : "CurrentFlow",
15393.         "description" : "Shows the current network flow",
15394.         "type" : "BUILTIN",
15395.         "contents" : [ {
15396.           "platform" : {
15397.             "catalogVersion" : 230233,
15398.             "dbVersion" : 2,
15399.             "id" : "58efec8ee4b0c390d69a8e0f",
15400.             "name" : "linux",
15401.             "topic" : "/mcafee/mar/agent/query/linux",
15402.             "enabled" : true
15403.           },
15404.           "capability" : {
15405.             "catalogVersion" : 230233,
15406.             "dbVersion" : 2,
15407.             "id" : "58efec8ee4b0c390d69a8e20",
15408.             "name" : "CurrentFlow",
15409.             "description" : "Gets current network information",
15410.             "module" : "NetworkFlow",
15411.             "function" : "CurrentFlow",
15412.             "contentEnabled" : false,
15413.             "arguments" : [ ],
15414.             "outputs" : [ ],
15415.             "formatArgs" : { },
15416.             "format" : "BIN",
15417.             "platforms" : [ {
15418.               "catalogVersion" : 230233,
15419.               "dbVersion" : 2,
15420.               "id" : "58efec8ee4b0c390d69a8e0e",
15421.               "name" : "windows",
15422.               "topic" : "/mcafee/mar/agent/query/windows",
15423.               "enabled" : true
15424.             }, {
15425.               "catalogVersion" : 230233,
15426.               "dbVersion" : 2,
15427.               "id" : "58efec8ee4b0c390d69a8e0f",
15428.               "name" : "linux",
15429.               "topic" : "/mcafee/mar/agent/query/linux",
15430.               "enabled" : true
15431.             }, {
15432.               "catalogVersion" : 230233,
15433.               "dbVersion" : 2,
15434.               "id" : "5a1a45c9e4b0401274ab7141",
15435.               "name" : "macos",
15436.               "topic" : "/mcafee/mar/agent/query/macos",
15437.               "enabled" : true
15438.             } ],
15439.             "platformSettings" : [ {
15440.               "platform" : {
15441.                 "catalogVersion" : 230233,
15442.                 "dbVersion" : 2,
15443.                 "id" : "58efec8ee4b0c390d69a8e0e",
15444.                 "name" : "windows",
15445.                 "topic" : "/mcafee/mar/agent/query/windows",
15446.                 "enabled" : true
15447.               },
15448.               "utf8Sensitive" : false
15449.             }, {
15450.               "platform" : {
15451.                 "catalogVersion" : 230233,
15452.                 "dbVersion" : 2,
15453.                 "id" : "58efec8ee4b0c390d69a8e0f",
15454.                 "name" : "linux",
15455.                 "topic" : "/mcafee/mar/agent/query/linux",
15456.                 "enabled" : true
15457.               },
15458.               "utf8Sensitive" : false
15459.             }, {
15460.               "platform" : {
15461.                 "catalogVersion" : 230233,
15462.                 "dbVersion" : 2,
15463.                 "id" : "5a1a45c9e4b0401274ab7141",
15464.                 "name" : "macos",
15465.                 "topic" : "/mcafee/mar/agent/query/macos",
15466.                 "enabled" : true
15467.               },
15468.               "utf8Sensitive" : false
15469.             } ],
15470.             "itemType" : "BUILTIN",
15471.             "catalogItems" : [ "COLLECTOR" ]
15472.           },
15473.           "content" : null,
15474.           "arguments" : [ ],
15475.           "utf8Sensitive" : false
15476.         }, {
15477.           "platform" : {
15478.             "catalogVersion" : 230233,
15479.             "dbVersion" : 2,
15480.             "id" : "58efec8ee4b0c390d69a8e0e",
15481.             "name" : "windows",
15482.             "topic" : "/mcafee/mar/agent/query/windows",
15483.             "enabled" : true
15484.           },
15485.           "capability" : {
15486.             "catalogVersion" : 230233,
15487.             "dbVersion" : 2,
15488.             "id" : "58efec8ee4b0c390d69a8e20",
15489.             "name" : "CurrentFlow",
15490.             "description" : "Gets current network information",
15491.             "module" : "NetworkFlow",
15492.             "function" : "CurrentFlow",
15493.             "contentEnabled" : false,
15494.             "arguments" : [ ],
15495.             "outputs" : [ ],
15496.             "formatArgs" : { },
15497.             "format" : "BIN",
15498.             "platforms" : [ {
15499.               "catalogVersion" : 230233,
15500.               "dbVersion" : 2,
15501.               "id" : "58efec8ee4b0c390d69a8e0e",
15502.               "name" : "windows",
15503.               "topic" : "/mcafee/mar/agent/query/windows",
15504.               "enabled" : true
15505.             }, {
15506.               "catalogVersion" : 230233,
15507.               "dbVersion" : 2,
15508.               "id" : "58efec8ee4b0c390d69a8e0f",
15509.               "name" : "linux",
15510.               "topic" : "/mcafee/mar/agent/query/linux",
15511.               "enabled" : true
15512.             }, {
15513.               "catalogVersion" : 230233,
15514.               "dbVersion" : 2,
15515.               "id" : "5a1a45c9e4b0401274ab7141",
15516.               "name" : "macos",
15517.               "topic" : "/mcafee/mar/agent/query/macos",
15518.               "enabled" : true
15519.             } ],
15520.             "platformSettings" : [ {
15521.               "platform" : {
15522.                 "catalogVersion" : 230233,
15523.                 "dbVersion" : 2,
15524.                 "id" : "58efec8ee4b0c390d69a8e0e",
15525.                 "name" : "windows",
15526.                 "topic" : "/mcafee/mar/agent/query/windows",
15527.                 "enabled" : true
15528.               },
15529.               "utf8Sensitive" : false
15530.             }, {
15531.               "platform" : {
15532.                 "catalogVersion" : 230233,
15533.                 "dbVersion" : 2,
15534.                 "id" : "58efec8ee4b0c390d69a8e0f",
15535.                 "name" : "linux",
15536.                 "topic" : "/mcafee/mar/agent/query/linux",
15537.                 "enabled" : true
15538.               },
15539.               "utf8Sensitive" : false
15540.             }, {
15541.               "platform" : {
15542.                 "catalogVersion" : 230233,
15543.                 "dbVersion" : 2,
15544.                 "id" : "5a1a45c9e4b0401274ab7141",
15545.                 "name" : "macos",
15546.                 "topic" : "/mcafee/mar/agent/query/macos",
15547.                 "enabled" : true
15548.               },
15549.               "utf8Sensitive" : false
15550.             } ],
15551.             "itemType" : "BUILTIN",
15552.             "catalogItems" : [ "COLLECTOR" ]
15553.           },
15554.           "content" : null,
15555.           "arguments" : [ ],
15556.           "utf8Sensitive" : false
15557.         }, {
15558.           "platform" : {
15559.             "catalogVersion" : 230233,
15560.             "dbVersion" : 2,
15561.             "id" : "5a1a45c9e4b0401274ab7141",
15562.             "name" : "macos",
15563.             "topic" : "/mcafee/mar/agent/query/macos",
15564.             "enabled" : true
15565.           },
15566.           "capability" : {
15567.             "catalogVersion" : 230233,
15568.             "dbVersion" : 2,
15569.             "id" : "58efec8ee4b0c390d69a8e20",
15570.             "name" : "CurrentFlow",
15571.             "description" : "Gets current network information",
15572.             "module" : "NetworkFlow",
15573.             "function" : "CurrentFlow",
15574.             "contentEnabled" : false,
15575.             "arguments" : [ ],
15576.             "outputs" : [ ],
15577.             "formatArgs" : { },
15578.             "format" : "BIN",
15579.             "platforms" : [ {
15580.               "catalogVersion" : 230233,
15581.               "dbVersion" : 2,
15582.               "id" : "58efec8ee4b0c390d69a8e0e",
15583.               "name" : "windows",
15584.               "topic" : "/mcafee/mar/agent/query/windows",
15585.               "enabled" : true
15586.             }, {
15587.               "catalogVersion" : 230233,
15588.               "dbVersion" : 2,
15589.               "id" : "58efec8ee4b0c390d69a8e0f",
15590.               "name" : "linux",
15591.               "topic" : "/mcafee/mar/agent/query/linux",
15592.               "enabled" : true
15593.             }, {
15594.               "catalogVersion" : 230233,
15595.               "dbVersion" : 2,
15596.               "id" : "5a1a45c9e4b0401274ab7141",
15597.               "name" : "macos",
15598.               "topic" : "/mcafee/mar/agent/query/macos",
15599.               "enabled" : true
15600.             } ],
15601.             "platformSettings" : [ {
15602.               "platform" : {
15603.                 "catalogVersion" : 230233,
15604.                 "dbVersion" : 2,
15605.                 "id" : "58efec8ee4b0c390d69a8e0e",
15606.                 "name" : "windows",
15607.                 "topic" : "/mcafee/mar/agent/query/windows",
15608.                 "enabled" : true
15609.               },
15610.               "utf8Sensitive" : false
15611.             }, {
15612.               "platform" : {
15613.                 "catalogVersion" : 230233,
15614.                 "dbVersion" : 2,
15615.                 "id" : "58efec8ee4b0c390d69a8e0f",
15616.                 "name" : "linux",
15617.                 "topic" : "/mcafee/mar/agent/query/linux",
15618.                 "enabled" : true
15619.               },
15620.               "utf8Sensitive" : false
15621.             }, {
15622.               "platform" : {
15623.                 "catalogVersion" : 230233,
15624.                 "dbVersion" : 2,
15625.                 "id" : "5a1a45c9e4b0401274ab7141",
15626.                 "name" : "macos",
15627.                 "topic" : "/mcafee/mar/agent/query/macos",
15628.                 "enabled" : true
15629.               },
15630.               "utf8Sensitive" : false
15631.             } ],
15632.             "itemType" : "BUILTIN",
15633.             "catalogItems" : [ "COLLECTOR" ]
15634.           },
15635.           "content" : null,
15636.           "arguments" : [ ],
15637.           "utf8Sensitive" : false
15638.         } ],
15639.         "timeout" : 60,
15640.         "outputs" : [ {
15641.           "id" : "58efec8ee4b0c390d69a8e98",
15642.           "name" : "local_ip",
15643.           "type" : "IPV4IPV6",
15644.           "byDefault" : true,
15645.           "sequence" : 1
15646.         }, {
15647.           "id" : "58efec8ee4b0c390d69a8e99",
15648.           "name" : "local_port",
15649.           "type" : "NUMBER",
15650.           "byDefault" : true,
15651.           "sequence" : 2
15652.         }, {
15653.           "id" : "58efec8ee4b0c390d69a8e9a",
15654.           "name" : "remote_ip",
15655.           "type" : "IPV4IPV6",
15656.           "byDefault" : true,
15657.           "sequence" : 3
15658.         }, {
15659.           "id" : "58efec8ee4b0c390d69a8e9b",
15660.           "name" : "remote_port",
15661.           "type" : "NUMBER",
15662.           "byDefault" : true,
15663.           "sequence" : 4
15664.         }, {
15665.           "id" : "58efec8ee4b0c390d69a8e9c",
15666.           "name" : "status",
15667.           "type" : "STRING",
15668.           "byDefault" : true,
15669.           "sequence" : 5
15670.         }, {
15671.           "id" : "58efec8ee4b0c390d69a8e9d",
15672.           "name" : "proto",
15673.           "type" : "STRING",
15674.           "byDefault" : true,
15675.           "sequence" : 6
15676.         }, {
15677.           "id" : "58efec8ee4b0c390d69a8e9e",
15678.           "name" : "process_id",
15679.           "type" : "NUMBER",
15680.           "byDefault" : false,
15681.           "sequence" : 7
15682.         }, {
15683.           "id" : "58efec8ee4b0c390d69a8e9f",
15684.           "name" : "process",
15685.           "type" : "STRING",
15686.           "byDefault" : true,
15687.           "sequence" : 8
15688.         }, {
15689.           "id" : "58efec8ee4b0c390d69a8ea0",
15690.           "name" : "user",
15691.           "type" : "STRING",
15692.           "byDefault" : true,
15693.           "sequence" : 9
15694.         }, {
15695.           "id" : "58efec8ee4b0c390d69a8ea1",
15696.           "name" : "user_id",
15697.           "type" : "STRING",
15698.           "byDefault" : false,
15699.           "sequence" : 10
15700.         }, {
15701.           "id" : "58efec8ee4b0c390d69a8ea2",
15702.           "name" : "md5",
15703.           "type" : "STRING",
15704.           "byDefault" : false,
15705.           "sequence" : 11
15706.         }, {
15707.           "id" : "58efec8ee4b0c390d69a8ea3",
15708.           "name" : "sha1",
15709.           "type" : "STRING",
15710.           "byDefault" : false,
15711.           "sequence" : 12
15712.         }, {
15713.           "id" : "5a1a45cbe4b0401274ab7192",
15714.           "name" : "sha256",
15715.           "type" : "STRING",
15716.           "byDefault" : false,
15717.           "sequence" : 13
15718.         } ]
15719.       },
15720.       "sequence" : "1",
15721.       "output" : [ ]
15722.     } ],
15723.     "disjunction" : {
15724.       "conjunctions" : [ {
15725.         "terms" : [ {
15726.           "output" : {
15727.             "id" : "58efec8ee4b0c390d69a8e9f",
15728.             "name" : "process",
15729.             "type" : "STRING",
15730.             "byDefault" : true,
15731.             "sequence" : 8
15732.           },
15733.           "operator" : "EQUALS",
15734.           "value" : "chrome.exe",
15735.           "negated" : true,
15736.           "collector" : {
15737.             "catalogVersion" : 230233,
15738.             "dbVersion" : 2,
15739.             "id" : "58efec8ee4b0c390d69a8ea4",
15740.             "name" : "CurrentFlow",
15741.             "description" : "Shows the current network flow",
15742.             "type" : "BUILTIN",
15743.             "contents" : [ {
15744.               "platform" : {
15745.                 "catalogVersion" : 230233,
15746.                 "dbVersion" : 2,
15747.                 "id" : "58efec8ee4b0c390d69a8e0f",
15748.                 "name" : "linux",
15749.                 "topic" : "/mcafee/mar/agent/query/linux",
15750.                 "enabled" : true
15751.               },
15752.               "capability" : {
15753.                 "catalogVersion" : 230233,
15754.                 "dbVersion" : 2,
15755.                 "id" : "58efec8ee4b0c390d69a8e20",
15756.                 "name" : "CurrentFlow",
15757.                 "description" : "Gets current network information",
15758.                 "module" : "NetworkFlow",
15759.                 "function" : "CurrentFlow",
15760.                 "contentEnabled" : false,
15761.                 "arguments" : [ ],
15762.                 "outputs" : [ ],
15763.                 "formatArgs" : { },
15764.                 "format" : "BIN",
15765.                 "platforms" : [ {
15766.                   "catalogVersion" : 230233,
15767.                   "dbVersion" : 2,
15768.                   "id" : "58efec8ee4b0c390d69a8e0e",
15769.                   "name" : "windows",
15770.                   "topic" : "/mcafee/mar/agent/query/windows",
15771.                   "enabled" : true
15772.                 }, {
15773.                   "catalogVersion" : 230233,
15774.                   "dbVersion" : 2,
15775.                   "id" : "58efec8ee4b0c390d69a8e0f",
15776.                   "name" : "linux",
15777.                   "topic" : "/mcafee/mar/agent/query/linux",
15778.                   "enabled" : true
15779.                 }, {
15780.                   "catalogVersion" : 230233,
15781.                   "dbVersion" : 2,
15782.                   "id" : "5a1a45c9e4b0401274ab7141",
15783.                   "name" : "macos",
15784.                   "topic" : "/mcafee/mar/agent/query/macos",
15785.                   "enabled" : true
15786.                 } ],
15787.                 "platformSettings" : [ {
15788.                   "platform" : {
15789.                     "catalogVersion" : 230233,
15790.                     "dbVersion" : 2,
15791.                     "id" : "58efec8ee4b0c390d69a8e0e",
15792.                     "name" : "windows",
15793.                     "topic" : "/mcafee/mar/agent/query/windows",
15794.                     "enabled" : true
15795.                   },
15796.                   "utf8Sensitive" : false
15797.                 }, {
15798.                   "platform" : {
15799.                     "catalogVersion" : 230233,
15800.                     "dbVersion" : 2,
15801.                     "id" : "58efec8ee4b0c390d69a8e0f",
15802.                     "name" : "linux",
15803.                     "topic" : "/mcafee/mar/agent/query/linux",
15804.                     "enabled" : true
15805.                   },
15806.                   "utf8Sensitive" : false
15807.                 }, {
15808.                   "platform" : {
15809.                     "catalogVersion" : 230233,
15810.                     "dbVersion" : 2,
15811.                     "id" : "5a1a45c9e4b0401274ab7141",
15812.                     "name" : "macos",
15813.                     "topic" : "/mcafee/mar/agent/query/macos",
15814.                     "enabled" : true
15815.                   },
15816.                   "utf8Sensitive" : false
15817.                 } ],
15818.                 "itemType" : "BUILTIN",
15819.                 "catalogItems" : [ "COLLECTOR" ]
15820.               },
15821.               "content" : null,
15822.               "arguments" : [ ],
15823.               "utf8Sensitive" : false
15824.             }, {
15825.               "platform" : {
15826.                 "catalogVersion" : 230233,
15827.                 "dbVersion" : 2,
15828.                 "id" : "58efec8ee4b0c390d69a8e0e",
15829.                 "name" : "windows",
15830.                 "topic" : "/mcafee/mar/agent/query/windows",
15831.                 "enabled" : true
15832.               },
15833.               "capability" : {
15834.                 "catalogVersion" : 230233,
15835.                 "dbVersion" : 2,
15836.                 "id" : "58efec8ee4b0c390d69a8e20",
15837.                 "name" : "CurrentFlow",
15838.                 "description" : "Gets current network information",
15839.                 "module" : "NetworkFlow",
15840.                 "function" : "CurrentFlow",
15841.                 "contentEnabled" : false,
15842.                 "arguments" : [ ],
15843.                 "outputs" : [ ],
15844.                 "formatArgs" : { },
15845.                 "format" : "BIN",
15846.                 "platforms" : [ {
15847.                   "catalogVersion" : 230233,
15848.                   "dbVersion" : 2,
15849.                   "id" : "58efec8ee4b0c390d69a8e0e",
15850.                   "name" : "windows",
15851.                   "topic" : "/mcafee/mar/agent/query/windows",
15852.                   "enabled" : true
15853.                 }, {
15854.                   "catalogVersion" : 230233,
15855.                   "dbVersion" : 2,
15856.                   "id" : "58efec8ee4b0c390d69a8e0f",
15857.                   "name" : "linux",
15858.                   "topic" : "/mcafee/mar/agent/query/linux",
15859.                   "enabled" : true
15860.                 }, {
15861.                   "catalogVersion" : 230233,
15862.                   "dbVersion" : 2,
15863.                   "id" : "5a1a45c9e4b0401274ab7141",
15864.                   "name" : "macos",
15865.                   "topic" : "/mcafee/mar/agent/query/macos",
15866.                   "enabled" : true
15867.                 } ],
15868.                 "platformSettings" : [ {
15869.                   "platform" : {
15870.                     "catalogVersion" : 230233,
15871.                     "dbVersion" : 2,
15872.                     "id" : "58efec8ee4b0c390d69a8e0e",
15873.                     "name" : "windows",
15874.                     "topic" : "/mcafee/mar/agent/query/windows",
15875.                     "enabled" : true
15876.                   },
15877.                   "utf8Sensitive" : false
15878.                 }, {
15879.                   "platform" : {
15880.                     "catalogVersion" : 230233,
15881.                     "dbVersion" : 2,
15882.                     "id" : "58efec8ee4b0c390d69a8e0f",
15883.                     "name" : "linux",
15884.                     "topic" : "/mcafee/mar/agent/query/linux",
15885.                     "enabled" : true
15886.                   },
15887.                   "utf8Sensitive" : false
15888.                 }, {
15889.                   "platform" : {
15890.                     "catalogVersion" : 230233,
15891.                     "dbVersion" : 2,
15892.                     "id" : "5a1a45c9e4b0401274ab7141",
15893.                     "name" : "macos",
15894.                     "topic" : "/mcafee/mar/agent/query/macos",
15895.                     "enabled" : true
15896.                   },
15897.                   "utf8Sensitive" : false
15898.                 } ],
15899.                 "itemType" : "BUILTIN",
15900.                 "catalogItems" : [ "COLLECTOR" ]
15901.               },
15902.               "content" : null,
15903.               "arguments" : [ ],
15904.               "utf8Sensitive" : false
15905.             }, {
15906.               "platform" : {
15907.                 "catalogVersion" : 230233,
15908.                 "dbVersion" : 2,
15909.                 "id" : "5a1a45c9e4b0401274ab7141",
15910.                 "name" : "macos",
15911.                 "topic" : "/mcafee/mar/agent/query/macos",
15912.                 "enabled" : true
15913.               },
15914.               "capability" : {
15915.                 "catalogVersion" : 230233,
15916.                 "dbVersion" : 2,
15917.                 "id" : "58efec8ee4b0c390d69a8e20",
15918.                 "name" : "CurrentFlow",
15919.                 "description" : "Gets current network information",
15920.                 "module" : "NetworkFlow",
15921.                 "function" : "CurrentFlow",
15922.                 "contentEnabled" : false,
15923.                 "arguments" : [ ],
15924.                 "outputs" : [ ],
15925.                 "formatArgs" : { },
15926.                 "format" : "BIN",
15927.                 "platforms" : [ {
15928.                   "catalogVersion" : 230233,
15929.                   "dbVersion" : 2,
15930.                   "id" : "58efec8ee4b0c390d69a8e0e",
15931.                   "name" : "windows",
15932.                   "topic" : "/mcafee/mar/agent/query/windows",
15933.                   "enabled" : true
15934.                 }, {
15935.                   "catalogVersion" : 230233,
15936.                   "dbVersion" : 2,
15937.                   "id" : "58efec8ee4b0c390d69a8e0f",
15938.                   "name" : "linux",
15939.                   "topic" : "/mcafee/mar/agent/query/linux",
15940.                   "enabled" : true
15941.                 }, {
15942.                   "catalogVersion" : 230233,
15943.                   "dbVersion" : 2,
15944.                   "id" : "5a1a45c9e4b0401274ab7141",
15945.                   "name" : "macos",
15946.                   "topic" : "/mcafee/mar/agent/query/macos",
15947.                   "enabled" : true
15948.                 } ],
15949.                 "platformSettings" : [ {
15950.                   "platform" : {
15951.                     "catalogVersion" : 230233,
15952.                     "dbVersion" : 2,
15953.                     "id" : "58efec8ee4b0c390d69a8e0e",
15954.                     "name" : "windows",
15955.                     "topic" : "/mcafee/mar/agent/query/windows",
15956.                     "enabled" : true
15957.                   },
15958.                   "utf8Sensitive" : false
15959.                 }, {
15960.                   "platform" : {
15961.                     "catalogVersion" : 230233,
15962.                     "dbVersion" : 2,
15963.                     "id" : "58efec8ee4b0c390d69a8e0f",
15964.                     "name" : "linux",
15965.                     "topic" : "/mcafee/mar/agent/query/linux",
15966.                     "enabled" : true
15967.                   },
15968.                   "utf8Sensitive" : false
15969.                 }, {
15970.                   "platform" : {
15971.                     "catalogVersion" : 230233,
15972.                     "dbVersion" : 2,
15973.                     "id" : "5a1a45c9e4b0401274ab7141",
15974.                     "name" : "macos",
15975.                     "topic" : "/mcafee/mar/agent/query/macos",
15976.                     "enabled" : true
15977.                   },
15978.                   "utf8Sensitive" : false
15979.                 } ],
15980.                 "itemType" : "BUILTIN",
15981.                 "catalogItems" : [ "COLLECTOR" ]
15982.               },
15983.               "content" : null,
15984.               "arguments" : [ ],
15985.               "utf8Sensitive" : false
15986.             } ],
15987.             "timeout" : 60,
15988.             "outputs" : [ {
15989.               "id" : "58efec8ee4b0c390d69a8e98",
15990.               "name" : "local_ip",
15991.               "type" : "IPV4IPV6",
15992.               "byDefault" : true,
15993.               "sequence" : 1
15994.             }, {
15995.               "id" : "58efec8ee4b0c390d69a8e99",
15996.               "name" : "local_port",
15997.               "type" : "NUMBER",
15998.               "byDefault" : true,
15999.               "sequence" : 2
16000.             }, {
16001.               "id" : "58efec8ee4b0c390d69a8e9a",
16002.               "name" : "remote_ip",
16003.               "type" : "IPV4IPV6",
16004.               "byDefault" : true,
16005.               "sequence" : 3
16006.             }, {
16007.               "id" : "58efec8ee4b0c390d69a8e9b",
16008.               "name" : "remote_port",
16009.               "type" : "NUMBER",
16010.               "byDefault" : true,
16011.               "sequence" : 4
16012.             }, {
16013.               "id" : "58efec8ee4b0c390d69a8e9c",
16014.               "name" : "status",
16015.               "type" : "STRING",
16016.               "byDefault" : true,
16017.               "sequence" : 5
16018.             }, {
16019.               "id" : "58efec8ee4b0c390d69a8e9d",
16020.               "name" : "proto",
16021.               "type" : "STRING",
16022.               "byDefault" : true,
16023.               "sequence" : 6
16024.             }, {
16025.               "id" : "58efec8ee4b0c390d69a8e9e",
16026.               "name" : "process_id",
16027.               "type" : "NUMBER",
16028.               "byDefault" : false,
16029.               "sequence" : 7
16030.             }, {
16031.               "id" : "58efec8ee4b0c390d69a8e9f",
16032.               "name" : "process",
16033.               "type" : "STRING",
16034.               "byDefault" : true,
16035.               "sequence" : 8
16036.             }, {
16037.               "id" : "58efec8ee4b0c390d69a8ea0",
16038.               "name" : "user",
16039.               "type" : "STRING",
16040.               "byDefault" : true,
16041.               "sequence" : 9
16042.             }, {
16043.               "id" : "58efec8ee4b0c390d69a8ea1",
16044.               "name" : "user_id",
16045.               "type" : "STRING",
16046.               "byDefault" : false,
16047.               "sequence" : 10
16048.             }, {
16049.               "id" : "58efec8ee4b0c390d69a8ea2",
16050.               "name" : "md5",
16051.               "type" : "STRING",
16052.               "byDefault" : false,
16053.               "sequence" : 11
16054.             }, {
16055.               "id" : "58efec8ee4b0c390d69a8ea3",
16056.               "name" : "sha1",
16057.               "type" : "STRING",
16058.               "byDefault" : false,
16059.               "sequence" : 12
16060.             }, {
16061.               "id" : "5a1a45cbe4b0401274ab7192",
16062.               "name" : "sha256",
16063.               "type" : "STRING",
16064.               "byDefault" : false,
16065.               "sequence" : 13
16066.             } ]
16067.           }
16068.         }, {
16069.           "output" : {
16070.             "id" : "58efec8ee4b0c390d69a8e9f",
16071.             "name" : "process",
16072.             "type" : "STRING",
16073.             "byDefault" : true,
16074.             "sequence" : 8
16075.           },
16076.           "operator" : "EQUALS",
16077.           "value" : "iexplore.exe",
16078.           "negated" : true,
16079.           "collector" : {
16080.             "catalogVersion" : 230233,
16081.             "dbVersion" : 2,
16082.             "id" : "58efec8ee4b0c390d69a8ea4",
16083.             "name" : "CurrentFlow",
16084.             "description" : "Shows the current network flow",
16085.             "type" : "BUILTIN",
16086.             "contents" : [ {
16087.               "platform" : {
16088.                 "catalogVersion" : 230233,
16089.                 "dbVersion" : 2,
16090.                 "id" : "58efec8ee4b0c390d69a8e0f",
16091.                 "name" : "linux",
16092.                 "topic" : "/mcafee/mar/agent/query/linux",
16093.                 "enabled" : true
16094.               },
16095.               "capability" : {
16096.                 "catalogVersion" : 230233,
16097.                 "dbVersion" : 2,
16098.                 "id" : "58efec8ee4b0c390d69a8e20",
16099.                 "name" : "CurrentFlow",
16100.                 "description" : "Gets current network information",
16101.                 "module" : "NetworkFlow",
16102.                 "function" : "CurrentFlow",
16103.                 "contentEnabled" : false,
16104.                 "arguments" : [ ],
16105.                 "outputs" : [ ],
16106.                 "formatArgs" : { },
16107.                 "format" : "BIN",
16108.                 "platforms" : [ {
16109.                   "catalogVersion" : 230233,
16110.                   "dbVersion" : 2,
16111.                   "id" : "58efec8ee4b0c390d69a8e0e",
16112.                   "name" : "windows",
16113.                   "topic" : "/mcafee/mar/agent/query/windows",
16114.                   "enabled" : true
16115.                 }, {
16116.                   "catalogVersion" : 230233,
16117.                   "dbVersion" : 2,
16118.                   "id" : "58efec8ee4b0c390d69a8e0f",
16119.                   "name" : "linux",
16120.                   "topic" : "/mcafee/mar/agent/query/linux",
16121.                   "enabled" : true
16122.                 }, {
16123.                   "catalogVersion" : 230233,
16124.                   "dbVersion" : 2,
16125.                   "id" : "5a1a45c9e4b0401274ab7141",
16126.                   "name" : "macos",
16127.                   "topic" : "/mcafee/mar/agent/query/macos",
16128.                   "enabled" : true
16129.                 } ],
16130.                 "platformSettings" : [ {
16131.                   "platform" : {
16132.                     "catalogVersion" : 230233,
16133.                     "dbVersion" : 2,
16134.                     "id" : "58efec8ee4b0c390d69a8e0e",
16135.                     "name" : "windows",
16136.                     "topic" : "/mcafee/mar/agent/query/windows",
16137.                     "enabled" : true
16138.                   },
16139.                   "utf8Sensitive" : false
16140.                 }, {
16141.                   "platform" : {
16142.                     "catalogVersion" : 230233,
16143.                     "dbVersion" : 2,
16144.                     "id" : "58efec8ee4b0c390d69a8e0f",
16145.                     "name" : "linux",
16146.                     "topic" : "/mcafee/mar/agent/query/linux",
16147.                     "enabled" : true
16148.                   },
16149.                   "utf8Sensitive" : false
16150.                 }, {
16151.                   "platform" : {
16152.                     "catalogVersion" : 230233,
16153.                     "dbVersion" : 2,
16154.                     "id" : "5a1a45c9e4b0401274ab7141",
16155.                     "name" : "macos",
16156.                     "topic" : "/mcafee/mar/agent/query/macos",
16157.                     "enabled" : true
16158.                   },
16159.                   "utf8Sensitive" : false
16160.                 } ],
16161.                 "itemType" : "BUILTIN",
16162.                 "catalogItems" : [ "COLLECTOR" ]
16163.               },
16164.               "content" : null,
16165.               "arguments" : [ ],
16166.               "utf8Sensitive" : false
16167.             }, {
16168.               "platform" : {
16169.                 "catalogVersion" : 230233,
16170.                 "dbVersion" : 2,
16171.                 "id" : "58efec8ee4b0c390d69a8e0e",
16172.                 "name" : "windows",
16173.                 "topic" : "/mcafee/mar/agent/query/windows",
16174.                 "enabled" : true
16175.               },
16176.               "capability" : {
16177.                 "catalogVersion" : 230233,
16178.                 "dbVersion" : 2,
16179.                 "id" : "58efec8ee4b0c390d69a8e20",
16180.                 "name" : "CurrentFlow",
16181.                 "description" : "Gets current network information",
16182.                 "module" : "NetworkFlow",
16183.                 "function" : "CurrentFlow",
16184.                 "contentEnabled" : false,
16185.                 "arguments" : [ ],
16186.                 "outputs" : [ ],
16187.                 "formatArgs" : { },
16188.                 "format" : "BIN",
16189.                 "platforms" : [ {
16190.                   "catalogVersion" : 230233,
16191.                   "dbVersion" : 2,
16192.                   "id" : "58efec8ee4b0c390d69a8e0e",
16193.                   "name" : "windows",
16194.                   "topic" : "/mcafee/mar/agent/query/windows",
16195.                   "enabled" : true
16196.                 }, {
16197.                   "catalogVersion" : 230233,
16198.                   "dbVersion" : 2,
16199.                   "id" : "58efec8ee4b0c390d69a8e0f",
16200.                   "name" : "linux",
16201.                   "topic" : "/mcafee/mar/agent/query/linux",
16202.                   "enabled" : true
16203.                 }, {
16204.                   "catalogVersion" : 230233,
16205.                   "dbVersion" : 2,
16206.                   "id" : "5a1a45c9e4b0401274ab7141",
16207.                   "name" : "macos",
16208.                   "topic" : "/mcafee/mar/agent/query/macos",
16209.                   "enabled" : true
16210.                 } ],
16211.                 "platformSettings" : [ {
16212.                   "platform" : {
16213.                     "catalogVersion" : 230233,
16214.                     "dbVersion" : 2,
16215.                     "id" : "58efec8ee4b0c390d69a8e0e",
16216.                     "name" : "windows",
16217.                     "topic" : "/mcafee/mar/agent/query/windows",
16218.                     "enabled" : true
16219.                   },
16220.                   "utf8Sensitive" : false
16221.                 }, {
16222.                   "platform" : {
16223.                     "catalogVersion" : 230233,
16224.                     "dbVersion" : 2,
16225.                     "id" : "58efec8ee4b0c390d69a8e0f",
16226.                     "name" : "linux",
16227.                     "topic" : "/mcafee/mar/agent/query/linux",
16228.                     "enabled" : true
16229.                   },
16230.                   "utf8Sensitive" : false
16231.                 }, {
16232.                   "platform" : {
16233.                     "catalogVersion" : 230233,
16234.                     "dbVersion" : 2,
16235.                     "id" : "5a1a45c9e4b0401274ab7141",
16236.                     "name" : "macos",
16237.                     "topic" : "/mcafee/mar/agent/query/macos",
16238.                     "enabled" : true
16239.                   },
16240.                   "utf8Sensitive" : false
16241.                 } ],
16242.                 "itemType" : "BUILTIN",
16243.                 "catalogItems" : [ "COLLECTOR" ]
16244.               },
16245.               "content" : null,
16246.               "arguments" : [ ],
16247.               "utf8Sensitive" : false
16248.             }, {
16249.               "platform" : {
16250.                 "catalogVersion" : 230233,
16251.                 "dbVersion" : 2,
16252.                 "id" : "5a1a45c9e4b0401274ab7141",
16253.                 "name" : "macos",
16254.                 "topic" : "/mcafee/mar/agent/query/macos",
16255.                 "enabled" : true
16256.               },
16257.               "capability" : {
16258.                 "catalogVersion" : 230233,
16259.                 "dbVersion" : 2,
16260.                 "id" : "58efec8ee4b0c390d69a8e20",
16261.                 "name" : "CurrentFlow",
16262.                 "description" : "Gets current network information",
16263.                 "module" : "NetworkFlow",
16264.                 "function" : "CurrentFlow",
16265.                 "contentEnabled" : false,
16266.                 "arguments" : [ ],
16267.                 "outputs" : [ ],
16268.                 "formatArgs" : { },
16269.                 "format" : "BIN",
16270.                 "platforms" : [ {
16271.                   "catalogVersion" : 230233,
16272.                   "dbVersion" : 2,
16273.                   "id" : "58efec8ee4b0c390d69a8e0e",
16274.                   "name" : "windows",
16275.                   "topic" : "/mcafee/mar/agent/query/windows",
16276.                   "enabled" : true
16277.                 }, {
16278.                   "catalogVersion" : 230233,
16279.                   "dbVersion" : 2,
16280.                   "id" : "58efec8ee4b0c390d69a8e0f",
16281.                   "name" : "linux",
16282.                   "topic" : "/mcafee/mar/agent/query/linux",
16283.                   "enabled" : true
16284.                 }, {
16285.                   "catalogVersion" : 230233,
16286.                   "dbVersion" : 2,
16287.                   "id" : "5a1a45c9e4b0401274ab7141",
16288.                   "name" : "macos",
16289.                   "topic" : "/mcafee/mar/agent/query/macos",
16290.                   "enabled" : true
16291.                 } ],
16292.                 "platformSettings" : [ {
16293.                   "platform" : {
16294.                     "catalogVersion" : 230233,
16295.                     "dbVersion" : 2,
16296.                     "id" : "58efec8ee4b0c390d69a8e0e",
16297.                     "name" : "windows",
16298.                     "topic" : "/mcafee/mar/agent/query/windows",
16299.                     "enabled" : true
16300.                   },
16301.                   "utf8Sensitive" : false
16302.                 }, {
16303.                   "platform" : {
16304.                     "catalogVersion" : 230233,
16305.                     "dbVersion" : 2,
16306.                     "id" : "58efec8ee4b0c390d69a8e0f",
16307.                     "name" : "linux",
16308.                     "topic" : "/mcafee/mar/agent/query/linux",
16309.                     "enabled" : true
16310.                   },
16311.                   "utf8Sensitive" : false
16312.                 }, {
16313.                   "platform" : {
16314.                     "catalogVersion" : 230233,
16315.                     "dbVersion" : 2,
16316.                     "id" : "5a1a45c9e4b0401274ab7141",
16317.                     "name" : "macos",
16318.                     "topic" : "/mcafee/mar/agent/query/macos",
16319.                     "enabled" : true
16320.                   },
16321.                   "utf8Sensitive" : false
16322.                 } ],
16323.                 "itemType" : "BUILTIN",
16324.                 "catalogItems" : [ "COLLECTOR" ]
16325.               },
16326.               "content" : null,
16327.               "arguments" : [ ],
16328.               "utf8Sensitive" : false
16329.             } ],
16330.             "timeout" : 60,
16331.             "outputs" : [ {
16332.               "id" : "58efec8ee4b0c390d69a8e98",
16333.               "name" : "local_ip",
16334.               "type" : "IPV4IPV6",
16335.               "byDefault" : true,
16336.               "sequence" : 1
16337.             }, {
16338.               "id" : "58efec8ee4b0c390d69a8e99",
16339.               "name" : "local_port",
16340.               "type" : "NUMBER",
16341.               "byDefault" : true,
16342.               "sequence" : 2
16343.             }, {
16344.               "id" : "58efec8ee4b0c390d69a8e9a",
16345.               "name" : "remote_ip",
16346.               "type" : "IPV4IPV6",
16347.               "byDefault" : true,
16348.               "sequence" : 3
16349.             }, {
16350.               "id" : "58efec8ee4b0c390d69a8e9b",
16351.               "name" : "remote_port",
16352.               "type" : "NUMBER",
16353.               "byDefault" : true,
16354.               "sequence" : 4
16355.             }, {
16356.               "id" : "58efec8ee4b0c390d69a8e9c",
16357.               "name" : "status",
16358.               "type" : "STRING",
16359.               "byDefault" : true,
16360.               "sequence" : 5
16361.             }, {
16362.               "id" : "58efec8ee4b0c390d69a8e9d",
16363.               "name" : "proto",
16364.               "type" : "STRING",
16365.               "byDefault" : true,
16366.               "sequence" : 6
16367.             }, {
16368.               "id" : "58efec8ee4b0c390d69a8e9e",
16369.               "name" : "process_id",
16370.               "type" : "NUMBER",
16371.               "byDefault" : false,
16372.               "sequence" : 7
16373.             }, {
16374.               "id" : "58efec8ee4b0c390d69a8e9f",
16375.               "name" : "process",
16376.               "type" : "STRING",
16377.               "byDefault" : true,
16378.               "sequence" : 8
16379.             }, {
16380.               "id" : "58efec8ee4b0c390d69a8ea0",
16381.               "name" : "user",
16382.               "type" : "STRING",
16383.               "byDefault" : true,
16384.               "sequence" : 9
16385.             }, {
16386.               "id" : "58efec8ee4b0c390d69a8ea1",
16387.               "name" : "user_id",
16388.               "type" : "STRING",
16389.               "byDefault" : false,
16390.               "sequence" : 10
16391.             }, {
16392.               "id" : "58efec8ee4b0c390d69a8ea2",
16393.               "name" : "md5",
16394.               "type" : "STRING",
16395.               "byDefault" : false,
16396.               "sequence" : 11
16397.             }, {
16398.               "id" : "58efec8ee4b0c390d69a8ea3",
16399.               "name" : "sha1",
16400.               "type" : "STRING",
16401.               "byDefault" : false,
16402.               "sequence" : 12
16403.             }, {
16404.               "id" : "5a1a45cbe4b0401274ab7192",
16405.               "name" : "sha256",
16406.               "type" : "STRING",
16407.               "byDefault" : false,
16408.               "sequence" : 13
16409.             } ]
16410.           }
16411.         }, {
16412.           "output" : {
16413.             "id" : "58efec8ee4b0c390d69a8e9f",
16414.             "name" : "process",
16415.             "type" : "STRING",
16416.             "byDefault" : true,
16417.             "sequence" : 8
16418.           },
16419.           "operator" : "EQUALS",
16420.           "value" : "firefox.exe",
16421.           "negated" : true,
16422.           "collector" : {
16423.             "catalogVersion" : 230233,
16424.             "dbVersion" : 2,
16425.             "id" : "58efec8ee4b0c390d69a8ea4",
16426.             "name" : "CurrentFlow",
16427.             "description" : "Shows the current network flow",
16428.             "type" : "BUILTIN",
16429.             "contents" : [ {
16430.               "platform" : {
16431.                 "catalogVersion" : 230233,
16432.                 "dbVersion" : 2,
16433.                 "id" : "58efec8ee4b0c390d69a8e0f",
16434.                 "name" : "linux",
16435.                 "topic" : "/mcafee/mar/agent/query/linux",
16436.                 "enabled" : true
16437.               },
16438.               "capability" : {
16439.                 "catalogVersion" : 230233,
16440.                 "dbVersion" : 2,
16441.                 "id" : "58efec8ee4b0c390d69a8e20",
16442.                 "name" : "CurrentFlow",
16443.                 "description" : "Gets current network information",
16444.                 "module" : "NetworkFlow",
16445.                 "function" : "CurrentFlow",
16446.                 "contentEnabled" : false,
16447.                 "arguments" : [ ],
16448.                 "outputs" : [ ],
16449.                 "formatArgs" : { },
16450.                 "format" : "BIN",
16451.                 "platforms" : [ {
16452.                   "catalogVersion" : 230233,
16453.                   "dbVersion" : 2,
16454.                   "id" : "58efec8ee4b0c390d69a8e0e",
16455.                   "name" : "windows",
16456.                   "topic" : "/mcafee/mar/agent/query/windows",
16457.                   "enabled" : true
16458.                 }, {
16459.                   "catalogVersion" : 230233,
16460.                   "dbVersion" : 2,
16461.                   "id" : "58efec8ee4b0c390d69a8e0f",
16462.                   "name" : "linux",
16463.                   "topic" : "/mcafee/mar/agent/query/linux",
16464.                   "enabled" : true
16465.                 }, {
16466.                   "catalogVersion" : 230233,
16467.                   "dbVersion" : 2,
16468.                   "id" : "5a1a45c9e4b0401274ab7141",
16469.                   "name" : "macos",
16470.                   "topic" : "/mcafee/mar/agent/query/macos",
16471.                   "enabled" : true
16472.                 } ],
16473.                 "platformSettings" : [ {
16474.                   "platform" : {
16475.                     "catalogVersion" : 230233,
16476.                     "dbVersion" : 2,
16477.                     "id" : "58efec8ee4b0c390d69a8e0e",
16478.                     "name" : "windows",
16479.                     "topic" : "/mcafee/mar/agent/query/windows",
16480.                     "enabled" : true
16481.                   },
16482.                   "utf8Sensitive" : false
16483.                 }, {
16484.                   "platform" : {
16485.                     "catalogVersion" : 230233,
16486.                     "dbVersion" : 2,
16487.                     "id" : "58efec8ee4b0c390d69a8e0f",
16488.                     "name" : "linux",
16489.                     "topic" : "/mcafee/mar/agent/query/linux",
16490.                     "enabled" : true
16491.                   },
16492.                   "utf8Sensitive" : false
16493.                 }, {
16494.                   "platform" : {
16495.                     "catalogVersion" : 230233,
16496.                     "dbVersion" : 2,
16497.                     "id" : "5a1a45c9e4b0401274ab7141",
16498.                     "name" : "macos",
16499.                     "topic" : "/mcafee/mar/agent/query/macos",
16500.                     "enabled" : true
16501.                   },
16502.                   "utf8Sensitive" : false
16503.                 } ],
16504.                 "itemType" : "BUILTIN",
16505.                 "catalogItems" : [ "COLLECTOR" ]
16506.               },
16507.               "content" : null,
16508.               "arguments" : [ ],
16509.               "utf8Sensitive" : false
16510.             }, {
16511.               "platform" : {
16512.                 "catalogVersion" : 230233,
16513.                 "dbVersion" : 2,
16514.                 "id" : "58efec8ee4b0c390d69a8e0e",
16515.                 "name" : "windows",
16516.                 "topic" : "/mcafee/mar/agent/query/windows",
16517.                 "enabled" : true
16518.               },
16519.               "capability" : {
16520.                 "catalogVersion" : 230233,
16521.                 "dbVersion" : 2,
16522.                 "id" : "58efec8ee4b0c390d69a8e20",
16523.                 "name" : "CurrentFlow",
16524.                 "description" : "Gets current network information",
16525.                 "module" : "NetworkFlow",
16526.                 "function" : "CurrentFlow",
16527.                 "contentEnabled" : false,
16528.                 "arguments" : [ ],
16529.                 "outputs" : [ ],
16530.                 "formatArgs" : { },
16531.                 "format" : "BIN",
16532.                 "platforms" : [ {
16533.                   "catalogVersion" : 230233,
16534.                   "dbVersion" : 2,
16535.                   "id" : "58efec8ee4b0c390d69a8e0e",
16536.                   "name" : "windows",
16537.                   "topic" : "/mcafee/mar/agent/query/windows",
16538.                   "enabled" : true
16539.                 }, {
16540.                   "catalogVersion" : 230233,
16541.                   "dbVersion" : 2,
16542.                   "id" : "58efec8ee4b0c390d69a8e0f",
16543.                   "name" : "linux",
16544.                   "topic" : "/mcafee/mar/agent/query/linux",
16545.                   "enabled" : true
16546.                 }, {
16547.                   "catalogVersion" : 230233,
16548.                   "dbVersion" : 2,
16549.                   "id" : "5a1a45c9e4b0401274ab7141",
16550.                   "name" : "macos",
16551.                   "topic" : "/mcafee/mar/agent/query/macos",
16552.                   "enabled" : true
16553.                 } ],
16554.                 "platformSettings" : [ {
16555.                   "platform" : {
16556.                     "catalogVersion" : 230233,
16557.                     "dbVersion" : 2,
16558.                     "id" : "58efec8ee4b0c390d69a8e0e",
16559.                     "name" : "windows",
16560.                     "topic" : "/mcafee/mar/agent/query/windows",
16561.                     "enabled" : true
16562.                   },
16563.                   "utf8Sensitive" : false
16564.                 }, {
16565.                   "platform" : {
16566.                     "catalogVersion" : 230233,
16567.                     "dbVersion" : 2,
16568.                     "id" : "58efec8ee4b0c390d69a8e0f",
16569.                     "name" : "linux",
16570.                     "topic" : "/mcafee/mar/agent/query/linux",
16571.                     "enabled" : true
16572.                   },
16573.                   "utf8Sensitive" : false
16574.                 }, {
16575.                   "platform" : {
16576.                     "catalogVersion" : 230233,
16577.                     "dbVersion" : 2,
16578.                     "id" : "5a1a45c9e4b0401274ab7141",
16579.                     "name" : "macos",
16580.                     "topic" : "/mcafee/mar/agent/query/macos",
16581.                     "enabled" : true
16582.                   },
16583.                   "utf8Sensitive" : false
16584.                 } ],
16585.                 "itemType" : "BUILTIN",
16586.                 "catalogItems" : [ "COLLECTOR" ]
16587.               },
16588.               "content" : null,
16589.               "arguments" : [ ],
16590.               "utf8Sensitive" : false
16591.             }, {
16592.               "platform" : {
16593.                 "catalogVersion" : 230233,
16594.                 "dbVersion" : 2,
16595.                 "id" : "5a1a45c9e4b0401274ab7141",
16596.                 "name" : "macos",
16597.                 "topic" : "/mcafee/mar/agent/query/macos",
16598.                 "enabled" : true
16599.               },
16600.               "capability" : {
16601.                 "catalogVersion" : 230233,
16602.                 "dbVersion" : 2,
16603.                 "id" : "58efec8ee4b0c390d69a8e20",
16604.                 "name" : "CurrentFlow",
16605.                 "description" : "Gets current network information",
16606.                 "module" : "NetworkFlow",
16607.                 "function" : "CurrentFlow",
16608.                 "contentEnabled" : false,
16609.                 "arguments" : [ ],
16610.                 "outputs" : [ ],
16611.                 "formatArgs" : { },
16612.                 "format" : "BIN",
16613.                 "platforms" : [ {
16614.                   "catalogVersion" : 230233,
16615.                   "dbVersion" : 2,
16616.                   "id" : "58efec8ee4b0c390d69a8e0e",
16617.                   "name" : "windows",
16618.                   "topic" : "/mcafee/mar/agent/query/windows",
16619.                   "enabled" : true
16620.                 }, {
16621.                   "catalogVersion" : 230233,
16622.                   "dbVersion" : 2,
16623.                   "id" : "58efec8ee4b0c390d69a8e0f",
16624.                   "name" : "linux",
16625.                   "topic" : "/mcafee/mar/agent/query/linux",
16626.                   "enabled" : true
16627.                 }, {
16628.                   "catalogVersion" : 230233,
16629.                   "dbVersion" : 2,
16630.                   "id" : "5a1a45c9e4b0401274ab7141",
16631.                   "name" : "macos",
16632.                   "topic" : "/mcafee/mar/agent/query/macos",
16633.                   "enabled" : true
16634.                 } ],
16635.                 "platformSettings" : [ {
16636.                   "platform" : {
16637.                     "catalogVersion" : 230233,
16638.                     "dbVersion" : 2,
16639.                     "id" : "58efec8ee4b0c390d69a8e0e",
16640.                     "name" : "windows",
16641.                     "topic" : "/mcafee/mar/agent/query/windows",
16642.                     "enabled" : true
16643.                   },
16644.                   "utf8Sensitive" : false
16645.                 }, {
16646.                   "platform" : {
16647.                     "catalogVersion" : 230233,
16648.                     "dbVersion" : 2,
16649.                     "id" : "58efec8ee4b0c390d69a8e0f",
16650.                     "name" : "linux",
16651.                     "topic" : "/mcafee/mar/agent/query/linux",
16652.                     "enabled" : true
16653.                   },
16654.                   "utf8Sensitive" : false
16655.                 }, {
16656.                   "platform" : {
16657.                     "catalogVersion" : 230233,
16658.                     "dbVersion" : 2,
16659.                     "id" : "5a1a45c9e4b0401274ab7141",
16660.                     "name" : "macos",
16661.                     "topic" : "/mcafee/mar/agent/query/macos",
16662.                     "enabled" : true
16663.                   },
16664.                   "utf8Sensitive" : false
16665.                 } ],
16666.                 "itemType" : "BUILTIN",
16667.                 "catalogItems" : [ "COLLECTOR" ]
16668.               },
16669.               "content" : null,
16670.               "arguments" : [ ],
16671.               "utf8Sensitive" : false
16672.             } ],
16673.             "timeout" : 60,
16674.             "outputs" : [ {
16675.               "id" : "58efec8ee4b0c390d69a8e98",
16676.               "name" : "local_ip",
16677.               "type" : "IPV4IPV6",
16678.               "byDefault" : true,
16679.               "sequence" : 1
16680.             }, {
16681.               "id" : "58efec8ee4b0c390d69a8e99",
16682.               "name" : "local_port",
16683.               "type" : "NUMBER",
16684.               "byDefault" : true,
16685.               "sequence" : 2
16686.             }, {
16687.               "id" : "58efec8ee4b0c390d69a8e9a",
16688.               "name" : "remote_ip",
16689.               "type" : "IPV4IPV6",
16690.               "byDefault" : true,
16691.               "sequence" : 3
16692.             }, {
16693.               "id" : "58efec8ee4b0c390d69a8e9b",
16694.               "name" : "remote_port",
16695.               "type" : "NUMBER",
16696.               "byDefault" : true,
16697.               "sequence" : 4
16698.             }, {
16699.               "id" : "58efec8ee4b0c390d69a8e9c",
16700.               "name" : "status",
16701.               "type" : "STRING",
16702.               "byDefault" : true,
16703.               "sequence" : 5
16704.             }, {
16705.               "id" : "58efec8ee4b0c390d69a8e9d",
16706.               "name" : "proto",
16707.               "type" : "STRING",
16708.               "byDefault" : true,
16709.               "sequence" : 6
16710.             }, {
16711.               "id" : "58efec8ee4b0c390d69a8e9e",
16712.               "name" : "process_id",
16713.               "type" : "NUMBER",
16714.               "byDefault" : false,
16715.               "sequence" : 7
16716.             }, {
16717.               "id" : "58efec8ee4b0c390d69a8e9f",
16718.               "name" : "process",
16719.               "type" : "STRING",
16720.               "byDefault" : true,
16721.               "sequence" : 8
16722.             }, {
16723.               "id" : "58efec8ee4b0c390d69a8ea0",
16724.               "name" : "user",
16725.               "type" : "STRING",
16726.               "byDefault" : true,
16727.               "sequence" : 9
16728.             }, {
16729.               "id" : "58efec8ee4b0c390d69a8ea1",
16730.               "name" : "user_id",
16731.               "type" : "STRING",
16732.               "byDefault" : false,
16733.               "sequence" : 10
16734.             }, {
16735.               "id" : "58efec8ee4b0c390d69a8ea2",
16736.               "name" : "md5",
16737.               "type" : "STRING",
16738.               "byDefault" : false,
16739.               "sequence" : 11
16740.             }, {
16741.               "id" : "58efec8ee4b0c390d69a8ea3",
16742.               "name" : "sha1",
16743.               "type" : "STRING",
16744.               "byDefault" : false,
16745.               "sequence" : 12
16746.             }, {
16747.               "id" : "5a1a45cbe4b0401274ab7192",
16748.               "name" : "sha256",
16749.               "type" : "STRING",
16750.               "byDefault" : false,
16751.               "sequence" : 13
16752.             } ]
16753.           }
16754.         }, {
16755.           "output" : {
16756.             "id" : "58efec8ee4b0c390d69a8e9c",
16757.             "name" : "status",
16758.             "type" : "STRING",
16759.             "byDefault" : true,
16760.             "sequence" : 5
16761.           },
16762.           "operator" : "EQUALS",
16763.           "value" : "ESTABLISHED",
16764.           "negated" : false,
16765.           "collector" : {
16766.             "catalogVersion" : 230233,
16767.             "dbVersion" : 2,
16768.             "id" : "58efec8ee4b0c390d69a8ea4",
16769.             "name" : "CurrentFlow",
16770.             "description" : "Shows the current network flow",
16771.             "type" : "BUILTIN",
16772.             "contents" : [ {
16773.               "platform" : {
16774.                 "catalogVersion" : 230233,
16775.                 "dbVersion" : 2,
16776.                 "id" : "58efec8ee4b0c390d69a8e0f",
16777.                 "name" : "linux",
16778.                 "topic" : "/mcafee/mar/agent/query/linux",
16779.                 "enabled" : true
16780.               },
16781.               "capability" : {
16782.                 "catalogVersion" : 230233,
16783.                 "dbVersion" : 2,
16784.                 "id" : "58efec8ee4b0c390d69a8e20",
16785.                 "name" : "CurrentFlow",
16786.                 "description" : "Gets current network information",
16787.                 "module" : "NetworkFlow",
16788.                 "function" : "CurrentFlow",
16789.                 "contentEnabled" : false,
16790.                 "arguments" : [ ],
16791.                 "outputs" : [ ],
16792.                 "formatArgs" : { },
16793.                 "format" : "BIN",
16794.                 "platforms" : [ {
16795.                   "catalogVersion" : 230233,
16796.                   "dbVersion" : 2,
16797.                   "id" : "58efec8ee4b0c390d69a8e0e",
16798.                   "name" : "windows",
16799.                   "topic" : "/mcafee/mar/agent/query/windows",
16800.                   "enabled" : true
16801.                 }, {
16802.                   "catalogVersion" : 230233,
16803.                   "dbVersion" : 2,
16804.                   "id" : "58efec8ee4b0c390d69a8e0f",
16805.                   "name" : "linux",
16806.                   "topic" : "/mcafee/mar/agent/query/linux",
16807.                   "enabled" : true
16808.                 }, {
16809.                   "catalogVersion" : 230233,
16810.                   "dbVersion" : 2,
16811.                   "id" : "5a1a45c9e4b0401274ab7141",
16812.                   "name" : "macos",
16813.                   "topic" : "/mcafee/mar/agent/query/macos",
16814.                   "enabled" : true
16815.                 } ],
16816.                 "platformSettings" : [ {
16817.                   "platform" : {
16818.                     "catalogVersion" : 230233,
16819.                     "dbVersion" : 2,
16820.                     "id" : "58efec8ee4b0c390d69a8e0e",
16821.                     "name" : "windows",
16822.                     "topic" : "/mcafee/mar/agent/query/windows",
16823.                     "enabled" : true
16824.                   },
16825.                   "utf8Sensitive" : false
16826.                 }, {
16827.                   "platform" : {
16828.                     "catalogVersion" : 230233,
16829.                     "dbVersion" : 2,
16830.                     "id" : "58efec8ee4b0c390d69a8e0f",
16831.                     "name" : "linux",
16832.                     "topic" : "/mcafee/mar/agent/query/linux",
16833.                     "enabled" : true
16834.                   },
16835.                   "utf8Sensitive" : false
16836.                 }, {
16837.                   "platform" : {
16838.                     "catalogVersion" : 230233,
16839.                     "dbVersion" : 2,
16840.                     "id" : "5a1a45c9e4b0401274ab7141",
16841.                     "name" : "macos",
16842.                     "topic" : "/mcafee/mar/agent/query/macos",
16843.                     "enabled" : true
16844.                   },
16845.                   "utf8Sensitive" : false
16846.                 } ],
16847.                 "itemType" : "BUILTIN",
16848.                 "catalogItems" : [ "COLLECTOR" ]
16849.               },
16850.               "content" : null,
16851.               "arguments" : [ ],
16852.               "utf8Sensitive" : false
16853.             }, {
16854.               "platform" : {
16855.                 "catalogVersion" : 230233,
16856.                 "dbVersion" : 2,
16857.                 "id" : "58efec8ee4b0c390d69a8e0e",
16858.                 "name" : "windows",
16859.                 "topic" : "/mcafee/mar/agent/query/windows",
16860.                 "enabled" : true
16861.               },
16862.               "capability" : {
16863.                 "catalogVersion" : 230233,
16864.                 "dbVersion" : 2,
16865.                 "id" : "58efec8ee4b0c390d69a8e20",
16866.                 "name" : "CurrentFlow",
16867.                 "description" : "Gets current network information",
16868.                 "module" : "NetworkFlow",
16869.                 "function" : "CurrentFlow",
16870.                 "contentEnabled" : false,
16871.                 "arguments" : [ ],
16872.                 "outputs" : [ ],
16873.                 "formatArgs" : { },
16874.                 "format" : "BIN",
16875.                 "platforms" : [ {
16876.                   "catalogVersion" : 230233,
16877.                   "dbVersion" : 2,
16878.                   "id" : "58efec8ee4b0c390d69a8e0e",
16879.                   "name" : "windows",
16880.                   "topic" : "/mcafee/mar/agent/query/windows",
16881.                   "enabled" : true
16882.                 }, {
16883.                   "catalogVersion" : 230233,
16884.                   "dbVersion" : 2,
16885.                   "id" : "58efec8ee4b0c390d69a8e0f",
16886.                   "name" : "linux",
16887.                   "topic" : "/mcafee/mar/agent/query/linux",
16888.                   "enabled" : true
16889.                 }, {
16890.                   "catalogVersion" : 230233,
16891.                   "dbVersion" : 2,
16892.                   "id" : "5a1a45c9e4b0401274ab7141",
16893.                   "name" : "macos",
16894.                   "topic" : "/mcafee/mar/agent/query/macos",
16895.                   "enabled" : true
16896.                 } ],
16897.                 "platformSettings" : [ {
16898.                   "platform" : {
16899.                     "catalogVersion" : 230233,
16900.                     "dbVersion" : 2,
16901.                     "id" : "58efec8ee4b0c390d69a8e0e",
16902.                     "name" : "windows",
16903.                     "topic" : "/mcafee/mar/agent/query/windows",
16904.                     "enabled" : true
16905.                   },
16906.                   "utf8Sensitive" : false
16907.                 }, {
16908.                   "platform" : {
16909.                     "catalogVersion" : 230233,
16910.                     "dbVersion" : 2,
16911.                     "id" : "58efec8ee4b0c390d69a8e0f",
16912.                     "name" : "linux",
16913.                     "topic" : "/mcafee/mar/agent/query/linux",
16914.                     "enabled" : true
16915.                   },
16916.                   "utf8Sensitive" : false
16917.                 }, {
16918.                   "platform" : {
16919.                     "catalogVersion" : 230233,
16920.                     "dbVersion" : 2,
16921.                     "id" : "5a1a45c9e4b0401274ab7141",
16922.                     "name" : "macos",
16923.                     "topic" : "/mcafee/mar/agent/query/macos",
16924.                     "enabled" : true
16925.                   },
16926.                   "utf8Sensitive" : false
16927.                 } ],
16928.                 "itemType" : "BUILTIN",
16929.                 "catalogItems" : [ "COLLECTOR" ]
16930.               },
16931.               "content" : null,
16932.               "arguments" : [ ],
16933.               "utf8Sensitive" : false
16934.             }, {
16935.               "platform" : {
16936.                 "catalogVersion" : 230233,
16937.                 "dbVersion" : 2,
16938.                 "id" : "5a1a45c9e4b0401274ab7141",
16939.                 "name" : "macos",
16940.                 "topic" : "/mcafee/mar/agent/query/macos",
16941.                 "enabled" : true
16942.               },
16943.               "capability" : {
16944.                 "catalogVersion" : 230233,
16945.                 "dbVersion" : 2,
16946.                 "id" : "58efec8ee4b0c390d69a8e20",
16947.                 "name" : "CurrentFlow",
16948.                 "description" : "Gets current network information",
16949.                 "module" : "NetworkFlow",
16950.                 "function" : "CurrentFlow",
16951.                 "contentEnabled" : false,
16952.                 "arguments" : [ ],
16953.                 "outputs" : [ ],
16954.                 "formatArgs" : { },
16955.                 "format" : "BIN",
16956.                 "platforms" : [ {
16957.                   "catalogVersion" : 230233,
16958.                   "dbVersion" : 2,
16959.                   "id" : "58efec8ee4b0c390d69a8e0e",
16960.                   "name" : "windows",
16961.                   "topic" : "/mcafee/mar/agent/query/windows",
16962.                   "enabled" : true
16963.                 }, {
16964.                   "catalogVersion" : 230233,
16965.                   "dbVersion" : 2,
16966.                   "id" : "58efec8ee4b0c390d69a8e0f",
16967.                   "name" : "linux",
16968.                   "topic" : "/mcafee/mar/agent/query/linux",
16969.                   "enabled" : true
16970.                 }, {
16971.                   "catalogVersion" : 230233,
16972.                   "dbVersion" : 2,
16973.                   "id" : "5a1a45c9e4b0401274ab7141",
16974.                   "name" : "macos",
16975.                   "topic" : "/mcafee/mar/agent/query/macos",
16976.                   "enabled" : true
16977.                 } ],
16978.                 "platformSettings" : [ {
16979.                   "platform" : {
16980.                     "catalogVersion" : 230233,
16981.                     "dbVersion" : 2,
16982.                     "id" : "58efec8ee4b0c390d69a8e0e",
16983.                     "name" : "windows",
16984.                     "topic" : "/mcafee/mar/agent/query/windows",
16985.                     "enabled" : true
16986.                   },
16987.                   "utf8Sensitive" : false
16988.                 }, {
16989.                   "platform" : {
16990.                     "catalogVersion" : 230233,
16991.                     "dbVersion" : 2,
16992.                     "id" : "58efec8ee4b0c390d69a8e0f",
16993.                     "name" : "linux",
16994.                     "topic" : "/mcafee/mar/agent/query/linux",
16995.                     "enabled" : true
16996.                   },
16997.                   "utf8Sensitive" : false
16998.                 }, {
16999.                   "platform" : {
17000.                     "catalogVersion" : 230233,
17001.                     "dbVersion" : 2,
17002.                     "id" : "5a1a45c9e4b0401274ab7141",
17003.                     "name" : "macos",
17004.                     "topic" : "/mcafee/mar/agent/query/macos",
17005.                     "enabled" : true
17006.                   },
17007.                   "utf8Sensitive" : false
17008.                 } ],
17009.                 "itemType" : "BUILTIN",
17010.                 "catalogItems" : [ "COLLECTOR" ]
17011.               },
17012.               "content" : null,
17013.               "arguments" : [ ],
17014.               "utf8Sensitive" : false
17015.             } ],
17016.             "timeout" : 60,
17017.             "outputs" : [ {
17018.               "id" : "58efec8ee4b0c390d69a8e98",
17019.               "name" : "local_ip",
17020.               "type" : "IPV4IPV6",
17021.               "byDefault" : true,
17022.               "sequence" : 1
17023.             }, {
17024.               "id" : "58efec8ee4b0c390d69a8e99",
17025.               "name" : "local_port",
17026.               "type" : "NUMBER",
17027.               "byDefault" : true,
17028.               "sequence" : 2
17029.             }, {
17030.               "id" : "58efec8ee4b0c390d69a8e9a",
17031.               "name" : "remote_ip",
17032.               "type" : "IPV4IPV6",
17033.               "byDefault" : true,
17034.               "sequence" : 3
17035.             }, {
17036.               "id" : "58efec8ee4b0c390d69a8e9b",
17037.               "name" : "remote_port",
17038.               "type" : "NUMBER",
17039.               "byDefault" : true,
17040.               "sequence" : 4
17041.             }, {
17042.               "id" : "58efec8ee4b0c390d69a8e9c",
17043.               "name" : "status",
17044.               "type" : "STRING",
17045.               "byDefault" : true,
17046.               "sequence" : 5
17047.             }, {
17048.               "id" : "58efec8ee4b0c390d69a8e9d",
17049.               "name" : "proto",
17050.               "type" : "STRING",
17051.               "byDefault" : true,
17052.               "sequence" : 6
17053.             }, {
17054.               "id" : "58efec8ee4b0c390d69a8e9e",
17055.               "name" : "process_id",
17056.               "type" : "NUMBER",
17057.               "byDefault" : false,
17058.               "sequence" : 7
17059.             }, {
17060.               "id" : "58efec8ee4b0c390d69a8e9f",
17061.               "name" : "process",
17062.               "type" : "STRING",
17063.               "byDefault" : true,
17064.               "sequence" : 8
17065.             }, {
17066.               "id" : "58efec8ee4b0c390d69a8ea0",
17067.               "name" : "user",
17068.               "type" : "STRING",
17069.               "byDefault" : true,
17070.               "sequence" : 9
17071.             }, {
17072.               "id" : "58efec8ee4b0c390d69a8ea1",
17073.               "name" : "user_id",
17074.               "type" : "STRING",
17075.               "byDefault" : false,
17076.               "sequence" : 10
17077.             }, {
17078.               "id" : "58efec8ee4b0c390d69a8ea2",
17079.               "name" : "md5",
17080.               "type" : "STRING",
17081.               "byDefault" : false,
17082.               "sequence" : 11
17083.             }, {
17084.               "id" : "58efec8ee4b0c390d69a8ea3",
17085.               "name" : "sha1",
17086.               "type" : "STRING",
17087.               "byDefault" : false,
17088.               "sequence" : 12
17089.             }, {
17090.               "id" : "5a1a45cbe4b0401274ab7192",
17091.               "name" : "sha256",
17092.               "type" : "STRING",
17093.               "byDefault" : false,
17094.               "sequence" : 13
17095.             } ]
17096.           }
17097.         }, {
17098.           "output" : {
17099.             "id" : "58efec8ee4b0c390d69a8e9a",
17100.             "name" : "remote_ip",
17101.             "type" : "IPV4IPV6",
17102.             "byDefault" : true,
17103.             "sequence" : 3
17104.           },
17105.           "operator" : "CONTAINS",
17106.           "value" : "172.16.33.0/24",
17107.           "negated" : true,
17108.           "collector" : {
17109.             "catalogVersion" : 230233,
17110.             "dbVersion" : 2,
17111.             "id" : "58efec8ee4b0c390d69a8ea4",
17112.             "name" : "CurrentFlow",
17113.             "description" : "Shows the current network flow",
17114.             "type" : "BUILTIN",
17115.             "contents" : [ {
17116.               "platform" : {
17117.                 "catalogVersion" : 230233,
17118.                 "dbVersion" : 2,
17119.                 "id" : "58efec8ee4b0c390d69a8e0f",
17120.                 "name" : "linux",
17121.                 "topic" : "/mcafee/mar/agent/query/linux",
17122.                 "enabled" : true
17123.               },
17124.               "capability" : {
17125.                 "catalogVersion" : 230233,
17126.                 "dbVersion" : 2,
17127.                 "id" : "58efec8ee4b0c390d69a8e20",
17128.                 "name" : "CurrentFlow",
17129.                 "description" : "Gets current network information",
17130.                 "module" : "NetworkFlow",
17131.                 "function" : "CurrentFlow",
17132.                 "contentEnabled" : false,
17133.                 "arguments" : [ ],
17134.                 "outputs" : [ ],
17135.                 "formatArgs" : { },
17136.                 "format" : "BIN",
17137.                 "platforms" : [ {
17138.                   "catalogVersion" : 230233,
17139.                   "dbVersion" : 2,
17140.                   "id" : "58efec8ee4b0c390d69a8e0e",
17141.                   "name" : "windows",
17142.                   "topic" : "/mcafee/mar/agent/query/windows",
17143.                   "enabled" : true
17144.                 }, {
17145.                   "catalogVersion" : 230233,
17146.                   "dbVersion" : 2,
17147.                   "id" : "58efec8ee4b0c390d69a8e0f",
17148.                   "name" : "linux",
17149.                   "topic" : "/mcafee/mar/agent/query/linux",
17150.                   "enabled" : true
17151.                 }, {
17152.                   "catalogVersion" : 230233,
17153.                   "dbVersion" : 2,
17154.                   "id" : "5a1a45c9e4b0401274ab7141",
17155.                   "name" : "macos",
17156.                   "topic" : "/mcafee/mar/agent/query/macos",
17157.                   "enabled" : true
17158.                 } ],
17159.                 "platformSettings" : [ {
17160.                   "platform" : {
17161.                     "catalogVersion" : 230233,
17162.                     "dbVersion" : 2,
17163.                     "id" : "58efec8ee4b0c390d69a8e0e",
17164.                     "name" : "windows",
17165.                     "topic" : "/mcafee/mar/agent/query/windows",
17166.                     "enabled" : true
17167.                   },
17168.                   "utf8Sensitive" : false
17169.                 }, {
17170.                   "platform" : {
17171.                     "catalogVersion" : 230233,
17172.                     "dbVersion" : 2,
17173.                     "id" : "58efec8ee4b0c390d69a8e0f",
17174.                     "name" : "linux",
17175.                     "topic" : "/mcafee/mar/agent/query/linux",
17176.                     "enabled" : true
17177.                   },
17178.                   "utf8Sensitive" : false
17179.                 }, {
17180.                   "platform" : {
17181.                     "catalogVersion" : 230233,
17182.                     "dbVersion" : 2,
17183.                     "id" : "5a1a45c9e4b0401274ab7141",
17184.                     "name" : "macos",
17185.                     "topic" : "/mcafee/mar/agent/query/macos",
17186.                     "enabled" : true
17187.                   },
17188.                   "utf8Sensitive" : false
17189.                 } ],
17190.                 "itemType" : "BUILTIN",
17191.                 "catalogItems" : [ "COLLECTOR" ]
17192.               },
17193.               "content" : null,
17194.               "arguments" : [ ],
17195.               "utf8Sensitive" : false
17196.             }, {
17197.               "platform" : {
17198.                 "catalogVersion" : 230233,
17199.                 "dbVersion" : 2,
17200.                 "id" : "58efec8ee4b0c390d69a8e0e",
17201.                 "name" : "windows",
17202.                 "topic" : "/mcafee/mar/agent/query/windows",
17203.                 "enabled" : true
17204.               },
17205.               "capability" : {
17206.                 "catalogVersion" : 230233,
17207.                 "dbVersion" : 2,
17208.                 "id" : "58efec8ee4b0c390d69a8e20",
17209.                 "name" : "CurrentFlow",
17210.                 "description" : "Gets current network information",
17211.                 "module" : "NetworkFlow",
17212.                 "function" : "CurrentFlow",
17213.                 "contentEnabled" : false,
17214.                 "arguments" : [ ],
17215.                 "outputs" : [ ],
17216.                 "formatArgs" : { },
17217.                 "format" : "BIN",
17218.                 "platforms" : [ {
17219.                   "catalogVersion" : 230233,
17220.                   "dbVersion" : 2,
17221.                   "id" : "58efec8ee4b0c390d69a8e0e",
17222.                   "name" : "windows",
17223.                   "topic" : "/mcafee/mar/agent/query/windows",
17224.                   "enabled" : true
17225.                 }, {
17226.                   "catalogVersion" : 230233,
17227.                   "dbVersion" : 2,
17228.                   "id" : "58efec8ee4b0c390d69a8e0f",
17229.                   "name" : "linux",
17230.                   "topic" : "/mcafee/mar/agent/query/linux",
17231.                   "enabled" : true
17232.                 }, {
17233.                   "catalogVersion" : 230233,
17234.                   "dbVersion" : 2,
17235.                   "id" : "5a1a45c9e4b0401274ab7141",
17236.                   "name" : "macos",
17237.                   "topic" : "/mcafee/mar/agent/query/macos",
17238.                   "enabled" : true
17239.                 } ],
17240.                 "platformSettings" : [ {
17241.                   "platform" : {
17242.                     "catalogVersion" : 230233,
17243.                     "dbVersion" : 2,
17244.                     "id" : "58efec8ee4b0c390d69a8e0e",
17245.                     "name" : "windows",
17246.                     "topic" : "/mcafee/mar/agent/query/windows",
17247.                     "enabled" : true
17248.                   },
17249.                   "utf8Sensitive" : false
17250.                 }, {
17251.                   "platform" : {
17252.                     "catalogVersion" : 230233,
17253.                     "dbVersion" : 2,
17254.                     "id" : "58efec8ee4b0c390d69a8e0f",
17255.                     "name" : "linux",
17256.                     "topic" : "/mcafee/mar/agent/query/linux",
17257.                     "enabled" : true
17258.                   },
17259.                   "utf8Sensitive" : false
17260.                 }, {
17261.                   "platform" : {
17262.                     "catalogVersion" : 230233,
17263.                     "dbVersion" : 2,
17264.                     "id" : "5a1a45c9e4b0401274ab7141",
17265.                     "name" : "macos",
17266.                     "topic" : "/mcafee/mar/agent/query/macos",
17267.                     "enabled" : true
17268.                   },
17269.                   "utf8Sensitive" : false
17270.                 } ],
17271.                 "itemType" : "BUILTIN",
17272.                 "catalogItems" : [ "COLLECTOR" ]
17273.               },
17274.               "content" : null,
17275.               "arguments" : [ ],
17276.               "utf8Sensitive" : false
17277.             }, {
17278.               "platform" : {
17279.                 "catalogVersion" : 230233,
17280.                 "dbVersion" : 2,
17281.                 "id" : "5a1a45c9e4b0401274ab7141",
17282.                 "name" : "macos",
17283.                 "topic" : "/mcafee/mar/agent/query/macos",
17284.                 "enabled" : true
17285.               },
17286.               "capability" : {
17287.                 "catalogVersion" : 230233,
17288.                 "dbVersion" : 2,
17289.                 "id" : "58efec8ee4b0c390d69a8e20",
17290.                 "name" : "CurrentFlow",
17291.                 "description" : "Gets current network information",
17292.                 "module" : "NetworkFlow",
17293.                 "function" : "CurrentFlow",
17294.                 "contentEnabled" : false,
17295.                 "arguments" : [ ],
17296.                 "outputs" : [ ],
17297.                 "formatArgs" : { },
17298.                 "format" : "BIN",
17299.                 "platforms" : [ {
17300.                   "catalogVersion" : 230233,
17301.                   "dbVersion" : 2,
17302.                   "id" : "58efec8ee4b0c390d69a8e0e",
17303.                   "name" : "windows",
17304.                   "topic" : "/mcafee/mar/agent/query/windows",
17305.                   "enabled" : true
17306.                 }, {
17307.                   "catalogVersion" : 230233,
17308.                   "dbVersion" : 2,
17309.                   "id" : "58efec8ee4b0c390d69a8e0f",
17310.                   "name" : "linux",
17311.                   "topic" : "/mcafee/mar/agent/query/linux",
17312.                   "enabled" : true
17313.                 }, {
17314.                   "catalogVersion" : 230233,
17315.                   "dbVersion" : 2,
17316.                   "id" : "5a1a45c9e4b0401274ab7141",
17317.                   "name" : "macos",
17318.                   "topic" : "/mcafee/mar/agent/query/macos",
17319.                   "enabled" : true
17320.                 } ],
17321.                 "platformSettings" : [ {
17322.                   "platform" : {
17323.                     "catalogVersion" : 230233,
17324.                     "dbVersion" : 2,
17325.                     "id" : "58efec8ee4b0c390d69a8e0e",
17326.                     "name" : "windows",
17327.                     "topic" : "/mcafee/mar/agent/query/windows",
17328.                     "enabled" : true
17329.                   },
17330.                   "utf8Sensitive" : false
17331.                 }, {
17332.                   "platform" : {
17333.                     "catalogVersion" : 230233,
17334.                     "dbVersion" : 2,
17335.                     "id" : "58efec8ee4b0c390d69a8e0f",
17336.                     "name" : "linux",
17337.                     "topic" : "/mcafee/mar/agent/query/linux",
17338.                     "enabled" : true
17339.                   },
17340.                   "utf8Sensitive" : false
17341.                 }, {
17342.                   "platform" : {
17343.                     "catalogVersion" : 230233,
17344.                     "dbVersion" : 2,
17345.                     "id" : "5a1a45c9e4b0401274ab7141",
17346.                     "name" : "macos",
17347.                     "topic" : "/mcafee/mar/agent/query/macos",
17348.                     "enabled" : true
17349.                   },
17350.                   "utf8Sensitive" : false
17351.                 } ],
17352.                 "itemType" : "BUILTIN",
17353.                 "catalogItems" : [ "COLLECTOR" ]
17354.               },
17355.               "content" : null,
17356.               "arguments" : [ ],
17357.               "utf8Sensitive" : false
17358.             } ],
17359.             "timeout" : 60,
17360.             "outputs" : [ {
17361.               "id" : "58efec8ee4b0c390d69a8e98",
17362.               "name" : "local_ip",
17363.               "type" : "IPV4IPV6",
17364.               "byDefault" : true,
17365.               "sequence" : 1
17366.             }, {
17367.               "id" : "58efec8ee4b0c390d69a8e99",
17368.               "name" : "local_port",
17369.               "type" : "NUMBER",
17370.               "byDefault" : true,
17371.               "sequence" : 2
17372.             }, {
17373.               "id" : "58efec8ee4b0c390d69a8e9a",
17374.               "name" : "remote_ip",
17375.               "type" : "IPV4IPV6",
17376.               "byDefault" : true,
17377.               "sequence" : 3
17378.             }, {
17379.               "id" : "58efec8ee4b0c390d69a8e9b",
17380.               "name" : "remote_port",
17381.               "type" : "NUMBER",
17382.               "byDefault" : true,
17383.               "sequence" : 4
17384.             }, {
17385.               "id" : "58efec8ee4b0c390d69a8e9c",
17386.               "name" : "status",
17387.               "type" : "STRING",
17388.               "byDefault" : true,
17389.               "sequence" : 5
17390.             }, {
17391.               "id" : "58efec8ee4b0c390d69a8e9d",
17392.               "name" : "proto",
17393.               "type" : "STRING",
17394.               "byDefault" : true,
17395.               "sequence" : 6
17396.             }, {
17397.               "id" : "58efec8ee4b0c390d69a8e9e",
17398.               "name" : "process_id",
17399.               "type" : "NUMBER",
17400.               "byDefault" : false,
17401.               "sequence" : 7
17402.             }, {
17403.               "id" : "58efec8ee4b0c390d69a8e9f",
17404.               "name" : "process",
17405.               "type" : "STRING",
17406.               "byDefault" : true,
17407.               "sequence" : 8
17408.             }, {
17409.               "id" : "58efec8ee4b0c390d69a8ea0",
17410.               "name" : "user",
17411.               "type" : "STRING",
17412.               "byDefault" : true,
17413.               "sequence" : 9
17414.             }, {
17415.               "id" : "58efec8ee4b0c390d69a8ea1",
17416.               "name" : "user_id",
17417.               "type" : "STRING",
17418.               "byDefault" : false,
17419.               "sequence" : 10
17420.             }, {
17421.               "id" : "58efec8ee4b0c390d69a8ea2",
17422.               "name" : "md5",
17423.               "type" : "STRING",
17424.               "byDefault" : false,
17425.               "sequence" : 11
17426.             }, {
17427.               "id" : "58efec8ee4b0c390d69a8ea3",
17428.               "name" : "sha1",
17429.               "type" : "STRING",
17430.               "byDefault" : false,
17431.               "sequence" : 12
17432.             }, {
17433.               "id" : "5a1a45cbe4b0401274ab7192",
17434.               "name" : "sha256",
17435.               "type" : "STRING",
17436.               "byDefault" : false,
17437.               "sequence" : 13
17438.             } ]
17439.           }
17440.         }, {
17441.           "output" : {
17442.             "id" : "58efec8ee4b0c390d69a8e9a",
17443.             "name" : "remote_ip",
17444.             "type" : "IPV4IPV6",
17445.             "byDefault" : true,
17446.             "sequence" : 3
17447.           },
17448.           "operator" : "EQUALS",
17449.           "value" : "127.0.0.1",
17450.           "negated" : true,
17451.           "collector" : {
17452.             "catalogVersion" : 230233,
17453.             "dbVersion" : 2,
17454.             "id" : "58efec8ee4b0c390d69a8ea4",
17455.             "name" : "CurrentFlow",
17456.             "description" : "Shows the current network flow",
17457.             "type" : "BUILTIN",
17458.             "contents" : [ {
17459.               "platform" : {
17460.                 "catalogVersion" : 230233,
17461.                 "dbVersion" : 2,
17462.                 "id" : "58efec8ee4b0c390d69a8e0f",
17463.                 "name" : "linux",
17464.                 "topic" : "/mcafee/mar/agent/query/linux",
17465.                 "enabled" : true
17466.               },
17467.               "capability" : {
17468.                 "catalogVersion" : 230233,
17469.                 "dbVersion" : 2,
17470.                 "id" : "58efec8ee4b0c390d69a8e20",
17471.                 "name" : "CurrentFlow",
17472.                 "description" : "Gets current network information",
17473.                 "module" : "NetworkFlow",
17474.                 "function" : "CurrentFlow",
17475.                 "contentEnabled" : false,
17476.                 "arguments" : [ ],
17477.                 "outputs" : [ ],
17478.                 "formatArgs" : { },
17479.                 "format" : "BIN",
17480.                 "platforms" : [ {
17481.                   "catalogVersion" : 230233,
17482.                   "dbVersion" : 2,
17483.                   "id" : "58efec8ee4b0c390d69a8e0e",
17484.                   "name" : "windows",
17485.                   "topic" : "/mcafee/mar/agent/query/windows",
17486.                   "enabled" : true
17487.                 }, {
17488.                   "catalogVersion" : 230233,
17489.                   "dbVersion" : 2,
17490.                   "id" : "58efec8ee4b0c390d69a8e0f",
17491.                   "name" : "linux",
17492.                   "topic" : "/mcafee/mar/agent/query/linux",
17493.                   "enabled" : true
17494.                 }, {
17495.                   "catalogVersion" : 230233,
17496.                   "dbVersion" : 2,
17497.                   "id" : "5a1a45c9e4b0401274ab7141",
17498.                   "name" : "macos",
17499.                   "topic" : "/mcafee/mar/agent/query/macos",
17500.                   "enabled" : true
17501.                 } ],
17502.                 "platformSettings" : [ {
17503.                   "platform" : {
17504.                     "catalogVersion" : 230233,
17505.                     "dbVersion" : 2,
17506.                     "id" : "58efec8ee4b0c390d69a8e0e",
17507.                     "name" : "windows",
17508.                     "topic" : "/mcafee/mar/agent/query/windows",
17509.                     "enabled" : true
17510.                   },
17511.                   "utf8Sensitive" : false
17512.                 }, {
17513.                   "platform" : {
17514.                     "catalogVersion" : 230233,
17515.                     "dbVersion" : 2,
17516.                     "id" : "58efec8ee4b0c390d69a8e0f",
17517.                     "name" : "linux",
17518.                     "topic" : "/mcafee/mar/agent/query/linux",
17519.                     "enabled" : true
17520.                   },
17521.                   "utf8Sensitive" : false
17522.                 }, {
17523.                   "platform" : {
17524.                     "catalogVersion" : 230233,
17525.                     "dbVersion" : 2,
17526.                     "id" : "5a1a45c9e4b0401274ab7141",
17527.                     "name" : "macos",
17528.                     "topic" : "/mcafee/mar/agent/query/macos",
17529.                     "enabled" : true
17530.                   },
17531.                   "utf8Sensitive" : false
17532.                 } ],
17533.                 "itemType" : "BUILTIN",
17534.                 "catalogItems" : [ "COLLECTOR" ]
17535.               },
17536.               "content" : null,
17537.               "arguments" : [ ],
17538.               "utf8Sensitive" : false
17539.             }, {
17540.               "platform" : {
17541.                 "catalogVersion" : 230233,
17542.                 "dbVersion" : 2,
17543.                 "id" : "58efec8ee4b0c390d69a8e0e",
17544.                 "name" : "windows",
17545.                 "topic" : "/mcafee/mar/agent/query/windows",
17546.                 "enabled" : true
17547.               },
17548.               "capability" : {
17549.                 "catalogVersion" : 230233,
17550.                 "dbVersion" : 2,
17551.                 "id" : "58efec8ee4b0c390d69a8e20",
17552.                 "name" : "CurrentFlow",
17553.                 "description" : "Gets current network information",
17554.                 "module" : "NetworkFlow",
17555.                 "function" : "CurrentFlow",
17556.                 "contentEnabled" : false,
17557.                 "arguments" : [ ],
17558.                 "outputs" : [ ],
17559.                 "formatArgs" : { },
17560.                 "format" : "BIN",
17561.                 "platforms" : [ {
17562.                   "catalogVersion" : 230233,
17563.                   "dbVersion" : 2,
17564.                   "id" : "58efec8ee4b0c390d69a8e0e",
17565.                   "name" : "windows",
17566.                   "topic" : "/mcafee/mar/agent/query/windows",
17567.                   "enabled" : true
17568.                 }, {
17569.                   "catalogVersion" : 230233,
17570.                   "dbVersion" : 2,
17571.                   "id" : "58efec8ee4b0c390d69a8e0f",
17572.                   "name" : "linux",
17573.                   "topic" : "/mcafee/mar/agent/query/linux",
17574.                   "enabled" : true
17575.                 }, {
17576.                   "catalogVersion" : 230233,
17577.                   "dbVersion" : 2,
17578.                   "id" : "5a1a45c9e4b0401274ab7141",
17579.                   "name" : "macos",
17580.                   "topic" : "/mcafee/mar/agent/query/macos",
17581.                   "enabled" : true
17582.                 } ],
17583.                 "platformSettings" : [ {
17584.                   "platform" : {
17585.                     "catalogVersion" : 230233,
17586.                     "dbVersion" : 2,
17587.                     "id" : "58efec8ee4b0c390d69a8e0e",
17588.                     "name" : "windows",
17589.                     "topic" : "/mcafee/mar/agent/query/windows",
17590.                     "enabled" : true
17591.                   },
17592.                   "utf8Sensitive" : false
17593.                 }, {
17594.                   "platform" : {
17595.                     "catalogVersion" : 230233,
17596.                     "dbVersion" : 2,
17597.                     "id" : "58efec8ee4b0c390d69a8e0f",
17598.                     "name" : "linux",
17599.                     "topic" : "/mcafee/mar/agent/query/linux",
17600.                     "enabled" : true
17601.                   },
17602.                   "utf8Sensitive" : false
17603.                 }, {
17604.                   "platform" : {
17605.                     "catalogVersion" : 230233,
17606.                     "dbVersion" : 2,
17607.                     "id" : "5a1a45c9e4b0401274ab7141",
17608.                     "name" : "macos",
17609.                     "topic" : "/mcafee/mar/agent/query/macos",
17610.                     "enabled" : true
17611.                   },
17612.                   "utf8Sensitive" : false
17613.                 } ],
17614.                 "itemType" : "BUILTIN",
17615.                 "catalogItems" : [ "COLLECTOR" ]
17616.               },
17617.               "content" : null,
17618.               "arguments" : [ ],
17619.               "utf8Sensitive" : false
17620.             }, {
17621.               "platform" : {
17622.                 "catalogVersion" : 230233,
17623.                 "dbVersion" : 2,
17624.                 "id" : "5a1a45c9e4b0401274ab7141",
17625.                 "name" : "macos",
17626.                 "topic" : "/mcafee/mar/agent/query/macos",
17627.                 "enabled" : true
17628.               },
17629.               "capability" : {
17630.                 "catalogVersion" : 230233,
17631.                 "dbVersion" : 2,
17632.                 "id" : "58efec8ee4b0c390d69a8e20",
17633.                 "name" : "CurrentFlow",
17634.                 "description" : "Gets current network information",
17635.                 "module" : "NetworkFlow",
17636.                 "function" : "CurrentFlow",
17637.                 "contentEnabled" : false,
17638.                 "arguments" : [ ],
17639.                 "outputs" : [ ],
17640.                 "formatArgs" : { },
17641.                 "format" : "BIN",
17642.                 "platforms" : [ {
17643.                   "catalogVersion" : 230233,
17644.                   "dbVersion" : 2,
17645.                   "id" : "58efec8ee4b0c390d69a8e0e",
17646.                   "name" : "windows",
17647.                   "topic" : "/mcafee/mar/agent/query/windows",
17648.                   "enabled" : true
17649.                 }, {
17650.                   "catalogVersion" : 230233,
17651.                   "dbVersion" : 2,
17652.                   "id" : "58efec8ee4b0c390d69a8e0f",
17653.                   "name" : "linux",
17654.                   "topic" : "/mcafee/mar/agent/query/linux",
17655.                   "enabled" : true
17656.                 }, {
17657.                   "catalogVersion" : 230233,
17658.                   "dbVersion" : 2,
17659.                   "id" : "5a1a45c9e4b0401274ab7141",
17660.                   "name" : "macos",
17661.                   "topic" : "/mcafee/mar/agent/query/macos",
17662.                   "enabled" : true
17663.                 } ],
17664.                 "platformSettings" : [ {
17665.                   "platform" : {
17666.                     "catalogVersion" : 230233,
17667.                     "dbVersion" : 2,
17668.                     "id" : "58efec8ee4b0c390d69a8e0e",
17669.                     "name" : "windows",
17670.                     "topic" : "/mcafee/mar/agent/query/windows",
17671.                     "enabled" : true
17672.                   },
17673.                   "utf8Sensitive" : false
17674.                 }, {
17675.                   "platform" : {
17676.                     "catalogVersion" : 230233,
17677.                     "dbVersion" : 2,
17678.                     "id" : "58efec8ee4b0c390d69a8e0f",
17679.                     "name" : "linux",
17680.                     "topic" : "/mcafee/mar/agent/query/linux",
17681.                     "enabled" : true
17682.                   },
17683.                   "utf8Sensitive" : false
17684.                 }, {
17685.                   "platform" : {
17686.                     "catalogVersion" : 230233,
17687.                     "dbVersion" : 2,
17688.                     "id" : "5a1a45c9e4b0401274ab7141",
17689.                     "name" : "macos",
17690.                     "topic" : "/mcafee/mar/agent/query/macos",
17691.                     "enabled" : true
17692.                   },
17693.                   "utf8Sensitive" : false
17694.                 } ],
17695.                 "itemType" : "BUILTIN",
17696.                 "catalogItems" : [ "COLLECTOR" ]
17697.               },
17698.               "content" : null,
17699.               "arguments" : [ ],
17700.               "utf8Sensitive" : false
17701.             } ],
17702.             "timeout" : 60,
17703.             "outputs" : [ {
17704.               "id" : "58efec8ee4b0c390d69a8e98",
17705.               "name" : "local_ip",
17706.               "type" : "IPV4IPV6",
17707.               "byDefault" : true,
17708.               "sequence" : 1
17709.             }, {
17710.               "id" : "58efec8ee4b0c390d69a8e99",
17711.               "name" : "local_port",
17712.               "type" : "NUMBER",
17713.               "byDefault" : true,
17714.               "sequence" : 2
17715.             }, {
17716.               "id" : "58efec8ee4b0c390d69a8e9a",
17717.               "name" : "remote_ip",
17718.               "type" : "IPV4IPV6",
17719.               "byDefault" : true,
17720.               "sequence" : 3
17721.             }, {
17722.               "id" : "58efec8ee4b0c390d69a8e9b",
17723.               "name" : "remote_port",
17724.               "type" : "NUMBER",
17725.               "byDefault" : true,
17726.               "sequence" : 4
17727.             }, {
17728.               "id" : "58efec8ee4b0c390d69a8e9c",
17729.               "name" : "status",
17730.               "type" : "STRING",
17731.               "byDefault" : true,
17732.               "sequence" : 5
17733.             }, {
17734.               "id" : "58efec8ee4b0c390d69a8e9d",
17735.               "name" : "proto",
17736.               "type" : "STRING",
17737.               "byDefault" : true,
17738.               "sequence" : 6
17739.             }, {
17740.               "id" : "58efec8ee4b0c390d69a8e9e",
17741.               "name" : "process_id",
17742.               "type" : "NUMBER",
17743.               "byDefault" : false,
17744.               "sequence" : 7
17745.             }, {
17746.               "id" : "58efec8ee4b0c390d69a8e9f",
17747.               "name" : "process",
17748.               "type" : "STRING",
17749.               "byDefault" : true,
17750.               "sequence" : 8
17751.             }, {
17752.               "id" : "58efec8ee4b0c390d69a8ea0",
17753.               "name" : "user",
17754.               "type" : "STRING",
17755.               "byDefault" : true,
17756.               "sequence" : 9
17757.             }, {
17758.               "id" : "58efec8ee4b0c390d69a8ea1",
17759.               "name" : "user_id",
17760.               "type" : "STRING",
17761.               "byDefault" : false,
17762.               "sequence" : 10
17763.             }, {
17764.               "id" : "58efec8ee4b0c390d69a8ea2",
17765.               "name" : "md5",
17766.               "type" : "STRING",
17767.               "byDefault" : false,
17768.               "sequence" : 11
17769.             }, {
17770.               "id" : "58efec8ee4b0c390d69a8ea3",
17771.               "name" : "sha1",
17772.               "type" : "STRING",
17773.               "byDefault" : false,
17774.               "sequence" : 12
17775.             }, {
17776.               "id" : "5a1a45cbe4b0401274ab7192",
17777.               "name" : "sha256",
17778.               "type" : "STRING",
17779.               "byDefault" : false,
17780.               "sequence" : 13
17781.             } ]
17782.           }
17783.         }, {
17784.           "output" : {
17785.             "id" : "58efec8ee4b0c390d69a8e9a",
17786.             "name" : "remote_ip",
17787.             "type" : "IPV4IPV6",
17788.             "byDefault" : true,
17789.             "sequence" : 3
17790.           },
17791.           "operator" : "CONTAINS",
17792.           "value" : "172.16.34.0/24",
17793.           "negated" : true,
17794.           "collector" : {
17795.             "catalogVersion" : 230233,
17796.             "dbVersion" : 2,
17797.             "id" : "58efec8ee4b0c390d69a8ea4",
17798.             "name" : "CurrentFlow",
17799.             "description" : "Shows the current network flow",
17800.             "type" : "BUILTIN",
17801.             "contents" : [ {
17802.               "platform" : {
17803.                 "catalogVersion" : 230233,
17804.                 "dbVersion" : 2,
17805.                 "id" : "58efec8ee4b0c390d69a8e0f",
17806.                 "name" : "linux",
17807.                 "topic" : "/mcafee/mar/agent/query/linux",
17808.                 "enabled" : true
17809.               },
17810.               "capability" : {
17811.                 "catalogVersion" : 230233,
17812.                 "dbVersion" : 2,
17813.                 "id" : "58efec8ee4b0c390d69a8e20",
17814.                 "name" : "CurrentFlow",
17815.                 "description" : "Gets current network information",
17816.                 "module" : "NetworkFlow",
17817.                 "function" : "CurrentFlow",
17818.                 "contentEnabled" : false,
17819.                 "arguments" : [ ],
17820.                 "outputs" : [ ],
17821.                 "formatArgs" : { },
17822.                 "format" : "BIN",
17823.                 "platforms" : [ {
17824.                   "catalogVersion" : 230233,
17825.                   "dbVersion" : 2,
17826.                   "id" : "58efec8ee4b0c390d69a8e0e",
17827.                   "name" : "windows",
17828.                   "topic" : "/mcafee/mar/agent/query/windows",
17829.                   "enabled" : true
17830.                 }, {
17831.                   "catalogVersion" : 230233,
17832.                   "dbVersion" : 2,
17833.                   "id" : "58efec8ee4b0c390d69a8e0f",
17834.                   "name" : "linux",
17835.                   "topic" : "/mcafee/mar/agent/query/linux",
17836.                   "enabled" : true
17837.                 }, {
17838.                   "catalogVersion" : 230233,
17839.                   "dbVersion" : 2,
17840.                   "id" : "5a1a45c9e4b0401274ab7141",
17841.                   "name" : "macos",
17842.                   "topic" : "/mcafee/mar/agent/query/macos",
17843.                   "enabled" : true
17844.                 } ],
17845.                 "platformSettings" : [ {
17846.                   "platform" : {
17847.                     "catalogVersion" : 230233,
17848.                     "dbVersion" : 2,
17849.                     "id" : "58efec8ee4b0c390d69a8e0e",
17850.                     "name" : "windows",
17851.                     "topic" : "/mcafee/mar/agent/query/windows",
17852.                     "enabled" : true
17853.                   },
17854.                   "utf8Sensitive" : false
17855.                 }, {
17856.                   "platform" : {
17857.                     "catalogVersion" : 230233,
17858.                     "dbVersion" : 2,
17859.                     "id" : "58efec8ee4b0c390d69a8e0f",
17860.                     "name" : "linux",
17861.                     "topic" : "/mcafee/mar/agent/query/linux",
17862.                     "enabled" : true
17863.                   },
17864.                   "utf8Sensitive" : false
17865.                 }, {
17866.                   "platform" : {
17867.                     "catalogVersion" : 230233,
17868.                     "dbVersion" : 2,
17869.                     "id" : "5a1a45c9e4b0401274ab7141",
17870.                     "name" : "macos",
17871.                     "topic" : "/mcafee/mar/agent/query/macos",
17872.                     "enabled" : true
17873.                   },
17874.                   "utf8Sensitive" : false
17875.                 } ],
17876.                 "itemType" : "BUILTIN",
17877.                 "catalogItems" : [ "COLLECTOR" ]
17878.               },
17879.               "content" : null,
17880.               "arguments" : [ ],
17881.               "utf8Sensitive" : false
17882.             }, {
17883.               "platform" : {
17884.                 "catalogVersion" : 230233,
17885.                 "dbVersion" : 2,
17886.                 "id" : "58efec8ee4b0c390d69a8e0e",
17887.                 "name" : "windows",
17888.                 "topic" : "/mcafee/mar/agent/query/windows",
17889.                 "enabled" : true
17890.               },
17891.               "capability" : {
17892.                 "catalogVersion" : 230233,
17893.                 "dbVersion" : 2,
17894.                 "id" : "58efec8ee4b0c390d69a8e20",
17895.                 "name" : "CurrentFlow",
17896.                 "description" : "Gets current network information",
17897.                 "module" : "NetworkFlow",
17898.                 "function" : "CurrentFlow",
17899.                 "contentEnabled" : false,
17900.                 "arguments" : [ ],
17901.                 "outputs" : [ ],
17902.                 "formatArgs" : { },
17903.                 "format" : "BIN",
17904.                 "platforms" : [ {
17905.                   "catalogVersion" : 230233,
17906.                   "dbVersion" : 2,
17907.                   "id" : "58efec8ee4b0c390d69a8e0e",
17908.                   "name" : "windows",
17909.                   "topic" : "/mcafee/mar/agent/query/windows",
17910.                   "enabled" : true
17911.                 }, {
17912.                   "catalogVersion" : 230233,
17913.                   "dbVersion" : 2,
17914.                   "id" : "58efec8ee4b0c390d69a8e0f",
17915.                   "name" : "linux",
17916.                   "topic" : "/mcafee/mar/agent/query/linux",
17917.                   "enabled" : true
17918.                 }, {
17919.                   "catalogVersion" : 230233,
17920.                   "dbVersion" : 2,
17921.                   "id" : "5a1a45c9e4b0401274ab7141",
17922.                   "name" : "macos",
17923.                   "topic" : "/mcafee/mar/agent/query/macos",
17924.                   "enabled" : true
17925.                 } ],
17926.                 "platformSettings" : [ {
17927.                   "platform" : {
17928.                     "catalogVersion" : 230233,
17929.                     "dbVersion" : 2,
17930.                     "id" : "58efec8ee4b0c390d69a8e0e",
17931.                     "name" : "windows",
17932.                     "topic" : "/mcafee/mar/agent/query/windows",
17933.                     "enabled" : true
17934.                   },
17935.                   "utf8Sensitive" : false
17936.                 }, {
17937.                   "platform" : {
17938.                     "catalogVersion" : 230233,
17939.                     "dbVersion" : 2,
17940.                     "id" : "58efec8ee4b0c390d69a8e0f",
17941.                     "name" : "linux",
17942.                     "topic" : "/mcafee/mar/agent/query/linux",
17943.                     "enabled" : true
17944.                   },
17945.                   "utf8Sensitive" : false
17946.                 }, {
17947.                   "platform" : {
17948.                     "catalogVersion" : 230233,
17949.                     "dbVersion" : 2,
17950.                     "id" : "5a1a45c9e4b0401274ab7141",
17951.                     "name" : "macos",
17952.                     "topic" : "/mcafee/mar/agent/query/macos",
17953.                     "enabled" : true
17954.                   },
17955.                   "utf8Sensitive" : false
17956.                 } ],
17957.                 "itemType" : "BUILTIN",
17958.                 "catalogItems" : [ "COLLECTOR" ]
17959.               },
17960.               "content" : null,
17961.               "arguments" : [ ],
17962.               "utf8Sensitive" : false
17963.             }, {
17964.               "platform" : {
17965.                 "catalogVersion" : 230233,
17966.                 "dbVersion" : 2,
17967.                 "id" : "5a1a45c9e4b0401274ab7141",
17968.                 "name" : "macos",
17969.                 "topic" : "/mcafee/mar/agent/query/macos",
17970.                 "enabled" : true
17971.               },
17972.               "capability" : {
17973.                 "catalogVersion" : 230233,
17974.                 "dbVersion" : 2,
17975.                 "id" : "58efec8ee4b0c390d69a8e20",
17976.                 "name" : "CurrentFlow",
17977.                 "description" : "Gets current network information",
17978.                 "module" : "NetworkFlow",
17979.                 "function" : "CurrentFlow",
17980.                 "contentEnabled" : false,
17981.                 "arguments" : [ ],
17982.                 "outputs" : [ ],
17983.                 "formatArgs" : { },
17984.                 "format" : "BIN",
17985.                 "platforms" : [ {
17986.                   "catalogVersion" : 230233,
17987.                   "dbVersion" : 2,
17988.                   "id" : "58efec8ee4b0c390d69a8e0e",
17989.                   "name" : "windows",
17990.                   "topic" : "/mcafee/mar/agent/query/windows",
17991.                   "enabled" : true
17992.                 }, {
17993.                   "catalogVersion" : 230233,
17994.                   "dbVersion" : 2,
17995.                   "id" : "58efec8ee4b0c390d69a8e0f",
17996.                   "name" : "linux",
17997.                   "topic" : "/mcafee/mar/agent/query/linux",
17998.                   "enabled" : true
17999.                 }, {
18000.                   "catalogVersion" : 230233,
18001.                   "dbVersion" : 2,
18002.                   "id" : "5a1a45c9e4b0401274ab7141",
18003.                   "name" : "macos",
18004.                   "topic" : "/mcafee/mar/agent/query/macos",
18005.                   "enabled" : true
18006.                 } ],
18007.                 "platformSettings" : [ {
18008.                   "platform" : {
18009.                     "catalogVersion" : 230233,
18010.                     "dbVersion" : 2,
18011.                     "id" : "58efec8ee4b0c390d69a8e0e",
18012.                     "name" : "windows",
18013.                     "topic" : "/mcafee/mar/agent/query/windows",
18014.                     "enabled" : true
18015.                   },
18016.                   "utf8Sensitive" : false
18017.                 }, {
18018.                   "platform" : {
18019.                     "catalogVersion" : 230233,
18020.                     "dbVersion" : 2,
18021.                     "id" : "58efec8ee4b0c390d69a8e0f",
18022.                     "name" : "linux",
18023.                     "topic" : "/mcafee/mar/agent/query/linux",
18024.                     "enabled" : true
18025.                   },
18026.                   "utf8Sensitive" : false
18027.                 }, {
18028.                   "platform" : {
18029.                     "catalogVersion" : 230233,
18030.                     "dbVersion" : 2,
18031.                     "id" : "5a1a45c9e4b0401274ab7141",
18032.                     "name" : "macos",
18033.                     "topic" : "/mcafee/mar/agent/query/macos",
18034.                     "enabled" : true
18035.                   },
18036.                   "utf8Sensitive" : false
18037.                 } ],
18038.                 "itemType" : "BUILTIN",
18039.                 "catalogItems" : [ "COLLECTOR" ]
18040.               },
18041.               "content" : null,
18042.               "arguments" : [ ],
18043.               "utf8Sensitive" : false
18044.             } ],
18045.             "timeout" : 60,
18046.             "outputs" : [ {
18047.               "id" : "58efec8ee4b0c390d69a8e98",
18048.               "name" : "local_ip",
18049.               "type" : "IPV4IPV6",
18050.               "byDefault" : true,
18051.               "sequence" : 1
18052.             }, {
18053.               "id" : "58efec8ee4b0c390d69a8e99",
18054.               "name" : "local_port",
18055.               "type" : "NUMBER",
18056.               "byDefault" : true,
18057.               "sequence" : 2
18058.             }, {
18059.               "id" : "58efec8ee4b0c390d69a8e9a",
18060.               "name" : "remote_ip",
18061.               "type" : "IPV4IPV6",
18062.               "byDefault" : true,
18063.               "sequence" : 3
18064.             }, {
18065.               "id" : "58efec8ee4b0c390d69a8e9b",
18066.               "name" : "remote_port",
18067.               "type" : "NUMBER",
18068.               "byDefault" : true,
18069.               "sequence" : 4
18070.             }, {
18071.               "id" : "58efec8ee4b0c390d69a8e9c",
18072.               "name" : "status",
18073.               "type" : "STRING",
18074.               "byDefault" : true,
18075.               "sequence" : 5
18076.             }, {
18077.               "id" : "58efec8ee4b0c390d69a8e9d",
18078.               "name" : "proto",
18079.               "type" : "STRING",
18080.               "byDefault" : true,
18081.               "sequence" : 6
18082.             }, {
18083.               "id" : "58efec8ee4b0c390d69a8e9e",
18084.               "name" : "process_id",
18085.               "type" : "NUMBER",
18086.               "byDefault" : false,
18087.               "sequence" : 7
18088.             }, {
18089.               "id" : "58efec8ee4b0c390d69a8e9f",
18090.               "name" : "process",
18091.               "type" : "STRING",
18092.               "byDefault" : true,
18093.               "sequence" : 8
18094.             }, {
18095.               "id" : "58efec8ee4b0c390d69a8ea0",
18096.               "name" : "user",
18097.               "type" : "STRING",
18098.               "byDefault" : true,
18099.               "sequence" : 9
18100.             }, {
18101.               "id" : "58efec8ee4b0c390d69a8ea1",
18102.               "name" : "user_id",
18103.               "type" : "STRING",
18104.               "byDefault" : false,
18105.               "sequence" : 10
18106.             }, {
18107.               "id" : "58efec8ee4b0c390d69a8ea2",
18108.               "name" : "md5",
18109.               "type" : "STRING",
18110.               "byDefault" : false,
18111.               "sequence" : 11
18112.             }, {
18113.               "id" : "58efec8ee4b0c390d69a8ea3",
18114.               "name" : "sha1",
18115.               "type" : "STRING",
18116.               "byDefault" : false,
18117.               "sequence" : 12
18118.             }, {
18119.               "id" : "5a1a45cbe4b0401274ab7192",
18120.               "name" : "sha256",
18121.               "type" : "STRING",
18122.               "byDefault" : false,
18123.               "sequence" : 13
18124.             } ]
18125.           }
18126.         }, {
18127.           "output" : {
18128.             "id" : "58efec8ee4b0c390d69a8e9a",
18129.             "name" : "remote_ip",
18130.             "type" : "IPV4IPV6",
18131.             "byDefault" : true,
18132.             "sequence" : 3
18133.           },
18134.           "operator" : "CONTAINS",
18135.           "value" : "::1",
18136.           "negated" : true,
18137.           "collector" : {
18138.             "catalogVersion" : 230233,
18139.             "dbVersion" : 2,
18140.             "id" : "58efec8ee4b0c390d69a8ea4",
18141.             "name" : "CurrentFlow",
18142.             "description" : "Shows the current network flow",
18143.             "type" : "BUILTIN",
18144.             "contents" : [ {
18145.               "platform" : {
18146.                 "catalogVersion" : 230233,
18147.                 "dbVersion" : 2,
18148.                 "id" : "58efec8ee4b0c390d69a8e0f",
18149.                 "name" : "linux",
18150.                 "topic" : "/mcafee/mar/agent/query/linux",
18151.                 "enabled" : true
18152.               },
18153.               "capability" : {
18154.                 "catalogVersion" : 230233,
18155.                 "dbVersion" : 2,
18156.                 "id" : "58efec8ee4b0c390d69a8e20",
18157.                 "name" : "CurrentFlow",
18158.                 "description" : "Gets current network information",
18159.                 "module" : "NetworkFlow",
18160.                 "function" : "CurrentFlow",
18161.                 "contentEnabled" : false,
18162.                 "arguments" : [ ],
18163.                 "outputs" : [ ],
18164.                 "formatArgs" : { },
18165.                 "format" : "BIN",
18166.                 "platforms" : [ {
18167.                   "catalogVersion" : 230233,
18168.                   "dbVersion" : 2,
18169.                   "id" : "58efec8ee4b0c390d69a8e0e",
18170.                   "name" : "windows",
18171.                   "topic" : "/mcafee/mar/agent/query/windows",
18172.                   "enabled" : true
18173.                 }, {
18174.                   "catalogVersion" : 230233,
18175.                   "dbVersion" : 2,
18176.                   "id" : "58efec8ee4b0c390d69a8e0f",
18177.                   "name" : "linux",
18178.                   "topic" : "/mcafee/mar/agent/query/linux",
18179.                   "enabled" : true
18180.                 }, {
18181.                   "catalogVersion" : 230233,
18182.                   "dbVersion" : 2,
18183.                   "id" : "5a1a45c9e4b0401274ab7141",
18184.                   "name" : "macos",
18185.                   "topic" : "/mcafee/mar/agent/query/macos",
18186.                   "enabled" : true
18187.                 } ],
18188.                 "platformSettings" : [ {
18189.                   "platform" : {
18190.                     "catalogVersion" : 230233,
18191.                     "dbVersion" : 2,
18192.                     "id" : "58efec8ee4b0c390d69a8e0e",
18193.                     "name" : "windows",
18194.                     "topic" : "/mcafee/mar/agent/query/windows",
18195.                     "enabled" : true
18196.                   },
18197.                   "utf8Sensitive" : false
18198.                 }, {
18199.                   "platform" : {
18200.                     "catalogVersion" : 230233,
18201.                     "dbVersion" : 2,
18202.                     "id" : "58efec8ee4b0c390d69a8e0f",
18203.                     "name" : "linux",
18204.                     "topic" : "/mcafee/mar/agent/query/linux",
18205.                     "enabled" : true
18206.                   },
18207.                   "utf8Sensitive" : false
18208.                 }, {
18209.                   "platform" : {
18210.                     "catalogVersion" : 230233,
18211.                     "dbVersion" : 2,
18212.                     "id" : "5a1a45c9e4b0401274ab7141",
18213.                     "name" : "macos",
18214.                     "topic" : "/mcafee/mar/agent/query/macos",
18215.                     "enabled" : true
18216.                   },
18217.                   "utf8Sensitive" : false
18218.                 } ],
18219.                 "itemType" : "BUILTIN",
18220.                 "catalogItems" : [ "COLLECTOR" ]
18221.               },
18222.               "content" : null,
18223.               "arguments" : [ ],
18224.               "utf8Sensitive" : false
18225.             }, {
18226.               "platform" : {
18227.                 "catalogVersion" : 230233,
18228.                 "dbVersion" : 2,
18229.                 "id" : "58efec8ee4b0c390d69a8e0e",
18230.                 "name" : "windows",
18231.                 "topic" : "/mcafee/mar/agent/query/windows",
18232.                 "enabled" : true
18233.               },
18234.               "capability" : {
18235.                 "catalogVersion" : 230233,
18236.                 "dbVersion" : 2,
18237.                 "id" : "58efec8ee4b0c390d69a8e20",
18238.                 "name" : "CurrentFlow",
18239.                 "description" : "Gets current network information",
18240.                 "module" : "NetworkFlow",
18241.                 "function" : "CurrentFlow",
18242.                 "contentEnabled" : false,
18243.                 "arguments" : [ ],
18244.                 "outputs" : [ ],
18245.                 "formatArgs" : { },
18246.                 "format" : "BIN",
18247.                 "platforms" : [ {
18248.                   "catalogVersion" : 230233,
18249.                   "dbVersion" : 2,
18250.                   "id" : "58efec8ee4b0c390d69a8e0e",
18251.                   "name" : "windows",
18252.                   "topic" : "/mcafee/mar/agent/query/windows",
18253.                   "enabled" : true
18254.                 }, {
18255.                   "catalogVersion" : 230233,
18256.                   "dbVersion" : 2,
18257.                   "id" : "58efec8ee4b0c390d69a8e0f",
18258.                   "name" : "linux",
18259.                   "topic" : "/mcafee/mar/agent/query/linux",
18260.                   "enabled" : true
18261.                 }, {
18262.                   "catalogVersion" : 230233,
18263.                   "dbVersion" : 2,
18264.                   "id" : "5a1a45c9e4b0401274ab7141",
18265.                   "name" : "macos",
18266.                   "topic" : "/mcafee/mar/agent/query/macos",
18267.                   "enabled" : true
18268.                 } ],
18269.                 "platformSettings" : [ {
18270.                   "platform" : {
18271.                     "catalogVersion" : 230233,
18272.                     "dbVersion" : 2,
18273.                     "id" : "58efec8ee4b0c390d69a8e0e",
18274.                     "name" : "windows",
18275.                     "topic" : "/mcafee/mar/agent/query/windows",
18276.                     "enabled" : true
18277.                   },
18278.                   "utf8Sensitive" : false
18279.                 }, {
18280.                   "platform" : {
18281.                     "catalogVersion" : 230233,
18282.                     "dbVersion" : 2,
18283.                     "id" : "58efec8ee4b0c390d69a8e0f",
18284.                     "name" : "linux",
18285.                     "topic" : "/mcafee/mar/agent/query/linux",
18286.                     "enabled" : true
18287.                   },
18288.                   "utf8Sensitive" : false
18289.                 }, {
18290.                   "platform" : {
18291.                     "catalogVersion" : 230233,
18292.                     "dbVersion" : 2,
18293.                     "id" : "5a1a45c9e4b0401274ab7141",
18294.                     "name" : "macos",
18295.                     "topic" : "/mcafee/mar/agent/query/macos",
18296.                     "enabled" : true
18297.                   },
18298.                   "utf8Sensitive" : false
18299.                 } ],
18300.                 "itemType" : "BUILTIN",
18301.                 "catalogItems" : [ "COLLECTOR" ]
18302.               },
18303.               "content" : null,
18304.               "arguments" : [ ],
18305.               "utf8Sensitive" : false
18306.             }, {
18307.               "platform" : {
18308.                 "catalogVersion" : 230233,
18309.                 "dbVersion" : 2,
18310.                 "id" : "5a1a45c9e4b0401274ab7141",
18311.                 "name" : "macos",
18312.                 "topic" : "/mcafee/mar/agent/query/macos",
18313.                 "enabled" : true
18314.               },
18315.               "capability" : {
18316.                 "catalogVersion" : 230233,
18317.                 "dbVersion" : 2,
18318.                 "id" : "58efec8ee4b0c390d69a8e20",
18319.                 "name" : "CurrentFlow",
18320.                 "description" : "Gets current network information",
18321.                 "module" : "NetworkFlow",
18322.                 "function" : "CurrentFlow",
18323.                 "contentEnabled" : false,
18324.                 "arguments" : [ ],
18325.                 "outputs" : [ ],
18326.                 "formatArgs" : { },
18327.                 "format" : "BIN",
18328.                 "platforms" : [ {
18329.                   "catalogVersion" : 230233,
18330.                   "dbVersion" : 2,
18331.                   "id" : "58efec8ee4b0c390d69a8e0e",
18332.                   "name" : "windows",
18333.                   "topic" : "/mcafee/mar/agent/query/windows",
18334.                   "enabled" : true
18335.                 }, {
18336.                   "catalogVersion" : 230233,
18337.                   "dbVersion" : 2,
18338.                   "id" : "58efec8ee4b0c390d69a8e0f",
18339.                   "name" : "linux",
18340.                   "topic" : "/mcafee/mar/agent/query/linux",
18341.                   "enabled" : true
18342.                 }, {
18343.                   "catalogVersion" : 230233,
18344.                   "dbVersion" : 2,
18345.                   "id" : "5a1a45c9e4b0401274ab7141",
18346.                   "name" : "macos",
18347.                   "topic" : "/mcafee/mar/agent/query/macos",
18348.                   "enabled" : true
18349.                 } ],
18350.                 "platformSettings" : [ {
18351.                   "platform" : {
18352.                     "catalogVersion" : 230233,
18353.                     "dbVersion" : 2,
18354.                     "id" : "58efec8ee4b0c390d69a8e0e",
18355.                     "name" : "windows",
18356.                     "topic" : "/mcafee/mar/agent/query/windows",
18357.                     "enabled" : true
18358.                   },
18359.                   "utf8Sensitive" : false
18360.                 }, {
18361.                   "platform" : {
18362.                     "catalogVersion" : 230233,
18363.                     "dbVersion" : 2,
18364.                     "id" : "58efec8ee4b0c390d69a8e0f",
18365.                     "name" : "linux",
18366.                     "topic" : "/mcafee/mar/agent/query/linux",
18367.                     "enabled" : true
18368.                   },
18369.                   "utf8Sensitive" : false
18370.                 }, {
18371.                   "platform" : {
18372.                     "catalogVersion" : 230233,
18373.                     "dbVersion" : 2,
18374.                     "id" : "5a1a45c9e4b0401274ab7141",
18375.                     "name" : "macos",
18376.                     "topic" : "/mcafee/mar/agent/query/macos",
18377.                     "enabled" : true
18378.                   },
18379.                   "utf8Sensitive" : false
18380.                 } ],
18381.                 "itemType" : "BUILTIN",
18382.                 "catalogItems" : [ "COLLECTOR" ]
18383.               },
18384.               "content" : null,
18385.               "arguments" : [ ],
18386.               "utf8Sensitive" : false
18387.             } ],
18388.             "timeout" : 60,
18389.             "outputs" : [ {
18390.               "id" : "58efec8ee4b0c390d69a8e98",
18391.               "name" : "local_ip",
18392.               "type" : "IPV4IPV6",
18393.               "byDefault" : true,
18394.               "sequence" : 1
18395.             }, {
18396.               "id" : "58efec8ee4b0c390d69a8e99",
18397.               "name" : "local_port",
18398.               "type" : "NUMBER",
18399.               "byDefault" : true,
18400.               "sequence" : 2
18401.             }, {
18402.               "id" : "58efec8ee4b0c390d69a8e9a",
18403.               "name" : "remote_ip",
18404.               "type" : "IPV4IPV6",
18405.               "byDefault" : true,
18406.               "sequence" : 3
18407.             }, {
18408.               "id" : "58efec8ee4b0c390d69a8e9b",
18409.               "name" : "remote_port",
18410.               "type" : "NUMBER",
18411.               "byDefault" : true,
18412.               "sequence" : 4
18413.             }, {
18414.               "id" : "58efec8ee4b0c390d69a8e9c",
18415.               "name" : "status",
18416.               "type" : "STRING",
18417.               "byDefault" : true,
18418.               "sequence" : 5
18419.             }, {
18420.               "id" : "58efec8ee4b0c390d69a8e9d",
18421.               "name" : "proto",
18422.               "type" : "STRING",
18423.               "byDefault" : true,
18424.               "sequence" : 6
18425.             }, {
18426.               "id" : "58efec8ee4b0c390d69a8e9e",
18427.               "name" : "process_id",
18428.               "type" : "NUMBER",
18429.               "byDefault" : false,
18430.               "sequence" : 7
18431.             }, {
18432.               "id" : "58efec8ee4b0c390d69a8e9f",
18433.               "name" : "process",
18434.               "type" : "STRING",
18435.               "byDefault" : true,
18436.               "sequence" : 8
18437.             }, {
18438.               "id" : "58efec8ee4b0c390d69a8ea0",
18439.               "name" : "user",
18440.               "type" : "STRING",
18441.               "byDefault" : true,
18442.               "sequence" : 9
18443.             }, {
18444.               "id" : "58efec8ee4b0c390d69a8ea1",
18445.               "name" : "user_id",
18446.               "type" : "STRING",
18447.               "byDefault" : false,
18448.               "sequence" : 10
18449.             }, {
18450.               "id" : "58efec8ee4b0c390d69a8ea2",
18451.               "name" : "md5",
18452.               "type" : "STRING",
18453.               "byDefault" : false,
18454.               "sequence" : 11
18455.             }, {
18456.               "id" : "58efec8ee4b0c390d69a8ea3",
18457.               "name" : "sha1",
18458.               "type" : "STRING",
18459.               "byDefault" : false,
18460.               "sequence" : 12
18461.             }, {
18462.               "id" : "5a1a45cbe4b0401274ab7192",
18463.               "name" : "sha256",
18464.               "type" : "STRING",
18465.               "byDefault" : false,
18466.               "sequence" : 13
18467.             } ]
18468.           }
18469.         } ]
18470.       } ]
18471.     },
18472.     "running" : false,
18473.     "createdAt" : 1530900630336,
18474.     "executedAt" : null,
18475.     "status" : "CREATED",
18476.     "ttl" : 60000,
18477.     "startTime" : null,
18478.     "endpointPermission" : null,
18479.     "maGuidsTarget" : null,
18480.     "expectedHostResponses" : 0
18481.   },
18482.   "type" : "com.intel.mar.model.search.Search"
18483. }, {
18484.   "item" : {
18485.     "catalogVersion" : 1,
18486.     "dbVersion" : 2,
18487.     "id" : "5b3fb096e4b0cbe06dd67323",
18488.     "name" : "Test search",
18489.     "description" : "",
18490.     "type" : null,
18491.     "expression" : null,
18492.     "temporal" : false,
18493.     "invalid" : false,
18494.     "aggregated" : true,
18495.     "projections" : [ {
18496.       "collector" : {
18497.         "catalogVersion" : 230233,
18498.         "dbVersion" : 2,
18499.         "id" : "58efec8ee4b0c390d69a8ec5",
18500.         "name" : "HostInfo",
18501.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
18502.         "type" : "BUILTIN",
18503.         "contents" : [ {
18504.           "platform" : {
18505.             "catalogVersion" : 230233,
18506.             "dbVersion" : 2,
18507.             "id" : "58efec8ee4b0c390d69a8e0f",
18508.             "name" : "linux",
18509.             "topic" : "/mcafee/mar/agent/query/linux",
18510.             "enabled" : true
18511.           },
18512.           "capability" : {
18513.             "catalogVersion" : 230233,
18514.             "dbVersion" : 2,
18515.             "id" : "58efec8ee4b0c390d69a8e14",
18516.             "name" : "Bash Script",
18517.             "description" : "Executes Bash script on target client",
18518.             "module" : "SystemRuntime",
18519.             "function" : "executeBash",
18520.             "contentEnabled" : true,
18521.             "arguments" : [ ],
18522.             "outputs" : [ ],
18523.             "formatArgs" : {
18524.               "hasHeaders" : false,
18525.               "delimiter" : ","
18526.             },
18527.             "format" : "CSV",
18528.             "platforms" : [ {
18529.               "catalogVersion" : 230233,
18530.               "dbVersion" : 2,
18531.               "id" : "58efec8ee4b0c390d69a8e0f",
18532.               "name" : "linux",
18533.               "topic" : "/mcafee/mar/agent/query/linux",
18534.               "enabled" : true
18535.             }, {
18536.               "catalogVersion" : 230233,
18537.               "dbVersion" : 2,
18538.               "id" : "5a1a45c9e4b0401274ab7141",
18539.               "name" : "macos",
18540.               "topic" : "/mcafee/mar/agent/query/macos",
18541.               "enabled" : true
18542.             } ],
18543.             "platformSettings" : [ {
18544.               "platform" : {
18545.                 "catalogVersion" : 230233,
18546.                 "dbVersion" : 2,
18547.                 "id" : "58efec8ee4b0c390d69a8e0f",
18548.                 "name" : "linux",
18549.                 "topic" : "/mcafee/mar/agent/query/linux",
18550.                 "enabled" : true
18551.               },
18552.               "utf8Sensitive" : false
18553.             }, {
18554.               "platform" : {
18555.                 "catalogVersion" : 230233,
18556.                 "dbVersion" : 2,
18557.                 "id" : "5a1a45c9e4b0401274ab7141",
18558.                 "name" : "macos",
18559.                 "topic" : "/mcafee/mar/agent/query/macos",
18560.                 "enabled" : true
18561.               },
18562.               "utf8Sensitive" : false
18563.             } ],
18564.             "itemType" : "CUSTOM",
18565.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
18566.           },
18567.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
18568.           "arguments" : [ ],
18569.           "utf8Sensitive" : false
18570.         }, {
18571.           "platform" : {
18572.             "catalogVersion" : 230233,
18573.             "dbVersion" : 2,
18574.             "id" : "58efec8ee4b0c390d69a8e0e",
18575.             "name" : "windows",
18576.             "topic" : "/mcafee/mar/agent/query/windows",
18577.             "enabled" : true
18578.           },
18579.           "capability" : {
18580.             "catalogVersion" : 230233,
18581.             "dbVersion" : 2,
18582.             "id" : "58efec8ee4b0c390d69a8e12",
18583.             "name" : "Visual Basic Script",
18584.             "description" : "Executes VBS script on target client",
18585.             "module" : "SystemRuntime",
18586.             "function" : "executeVBS",
18587.             "contentEnabled" : true,
18588.             "arguments" : [ ],
18589.             "outputs" : [ ],
18590.             "formatArgs" : {
18591.               "hasHeaders" : false,
18592.               "delimiter" : ","
18593.             },
18594.             "format" : "CSV",
18595.             "platforms" : [ {
18596.               "catalogVersion" : 230233,
18597.               "dbVersion" : 2,
18598.               "id" : "58efec8ee4b0c390d69a8e0e",
18599.               "name" : "windows",
18600.               "topic" : "/mcafee/mar/agent/query/windows",
18601.               "enabled" : true
18602.             } ],
18603.             "platformSettings" : [ {
18604.               "platform" : {
18605.                 "catalogVersion" : 230233,
18606.                 "dbVersion" : 2,
18607.                 "id" : "58efec8ee4b0c390d69a8e0e",
18608.                 "name" : "windows",
18609.                 "topic" : "/mcafee/mar/agent/query/windows",
18610.                 "enabled" : true
18611.               },
18612.               "utf8Sensitive" : false
18613.             } ],
18614.             "itemType" : "CUSTOM",
18615.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
18616.           },
18617.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
18618.           "arguments" : [ ],
18619.           "utf8Sensitive" : false
18620.         }, {
18621.           "platform" : {
18622.             "catalogVersion" : 230233,
18623.             "dbVersion" : 2,
18624.             "id" : "5a1a45c9e4b0401274ab7141",
18625.             "name" : "macos",
18626.             "topic" : "/mcafee/mar/agent/query/macos",
18627.             "enabled" : true
18628.           },
18629.           "capability" : {
18630.             "catalogVersion" : 230233,
18631.             "dbVersion" : 2,
18632.             "id" : "5a1a45cae4b0401274ab7183",
18633.             "name" : "HostInfo SysInfo",
18634.             "description" : "Shows Hostname, 1st IP Address and OS version",
18635.             "module" : "SysInfo",
18636.             "function" : "HostInfo",
18637.             "contentEnabled" : false,
18638.             "arguments" : [ ],
18639.             "outputs" : [ ],
18640.             "formatArgs" : { },
18641.             "format" : "BIN",
18642.             "platforms" : [ {
18643.               "catalogVersion" : 230233,
18644.               "dbVersion" : 2,
18645.               "id" : "5a1a45c9e4b0401274ab7141",
18646.               "name" : "macos",
18647.               "topic" : "/mcafee/mar/agent/query/macos",
18648.               "enabled" : true
18649.             } ],
18650.             "platformSettings" : [ {
18651.               "platform" : {
18652.                 "catalogVersion" : 230233,
18653.                 "dbVersion" : 2,
18654.                 "id" : "5a1a45c9e4b0401274ab7141",
18655.                 "name" : "macos",
18656.                 "topic" : "/mcafee/mar/agent/query/macos",
18657.                 "enabled" : true
18658.               },
18659.               "utf8Sensitive" : false
18660.             } ],
18661.             "itemType" : "BUILTIN",
18662.             "catalogItems" : [ "COLLECTOR" ]
18663.           },
18664.           "content" : null,
18665.           "arguments" : [ ],
18666.           "utf8Sensitive" : false
18667.         } ],
18668.         "timeout" : 60,
18669.         "outputs" : [ {
18670.           "id" : "58efec8ee4b0c390d69a8ec2",
18671.           "name" : "hostname",
18672.           "type" : "STRING",
18673.           "byDefault" : false,
18674.           "sequence" : 1
18675.         }, {
18676.           "id" : "58efec8ee4b0c390d69a8ec3",
18677.           "name" : "ip_address",
18678.           "type" : "IPV4IPV6",
18679.           "byDefault" : false,
18680.           "sequence" : 2
18681.         }, {
18682.           "id" : "58efec8ee4b0c390d69a8ec4",
18683.           "name" : "os",
18684.           "type" : "STRING",
18685.           "byDefault" : false,
18686.           "sequence" : 3
18687.         }, {
18688.           "id" : "5b3f9b64e4b0dfaf321a6346",
18689.           "name" : "connection_status",
18690.           "type" : "STRING",
18691.           "byDefault" : false,
18692.           "sequence" : 4
18693.         }, {
18694.           "id" : "5b3f9b64e4b0dfaf321a6347",
18695.           "name" : "platform",
18696.           "type" : "STRING",
18697.           "byDefault" : false,
18698.           "sequence" : 5
18699.         } ]
18700.       },
18701.       "sequence" : "1",
18702.       "output" : [ ]
18703.     }, {
18704.       "collector" : {
18705.         "catalogVersion" : 230233,
18706.         "dbVersion" : 2,
18707.         "id" : "58efec8ee4b0c390d69a8e97",
18708.         "name" : "NetworkFlow",
18709.         "description" : "Shows the network flow",
18710.         "type" : "BUILTIN",
18711.         "contents" : [ {
18712.           "platform" : {
18713.             "catalogVersion" : 230233,
18714.             "dbVersion" : 2,
18715.             "id" : "58efec8ee4b0c390d69a8e0f",
18716.             "name" : "linux",
18717.             "topic" : "/mcafee/mar/agent/query/linux",
18718.             "enabled" : true
18719.           },
18720.           "capability" : {
18721.             "catalogVersion" : 230233,
18722.             "dbVersion" : 2,
18723.             "id" : "58efec8ee4b0c390d69a8e1f",
18724.             "name" : "NetworkFlow",
18725.             "description" : "Gets flow information",
18726.             "module" : "NetworkFlow",
18727.             "function" : "FindFlow",
18728.             "contentEnabled" : false,
18729.             "arguments" : [ ],
18730.             "outputs" : [ ],
18731.             "formatArgs" : { },
18732.             "format" : "BIN",
18733.             "platforms" : [ {
18734.               "catalogVersion" : 230233,
18735.               "dbVersion" : 2,
18736.               "id" : "58efec8ee4b0c390d69a8e0e",
18737.               "name" : "windows",
18738.               "topic" : "/mcafee/mar/agent/query/windows",
18739.               "enabled" : true
18740.             }, {
18741.               "catalogVersion" : 230233,
18742.               "dbVersion" : 2,
18743.               "id" : "58efec8ee4b0c390d69a8e0f",
18744.               "name" : "linux",
18745.               "topic" : "/mcafee/mar/agent/query/linux",
18746.               "enabled" : true
18747.             }, {
18748.               "catalogVersion" : 230233,
18749.               "dbVersion" : 2,
18750.               "id" : "5a1a45c9e4b0401274ab7141",
18751.               "name" : "macos",
18752.               "topic" : "/mcafee/mar/agent/query/macos",
18753.               "enabled" : true
18754.             } ],
18755.             "platformSettings" : [ {
18756.               "platform" : {
18757.                 "catalogVersion" : 230233,
18758.                 "dbVersion" : 2,
18759.                 "id" : "58efec8ee4b0c390d69a8e0e",
18760.                 "name" : "windows",
18761.                 "topic" : "/mcafee/mar/agent/query/windows",
18762.                 "enabled" : true
18763.               },
18764.               "utf8Sensitive" : false
18765.             }, {
18766.               "platform" : {
18767.                 "catalogVersion" : 230233,
18768.                 "dbVersion" : 2,
18769.                 "id" : "58efec8ee4b0c390d69a8e0f",
18770.                 "name" : "linux",
18771.                 "topic" : "/mcafee/mar/agent/query/linux",
18772.                 "enabled" : true
18773.               },
18774.               "utf8Sensitive" : false
18775.             }, {
18776.               "platform" : {
18777.                 "catalogVersion" : 230233,
18778.                 "dbVersion" : 2,
18779.                 "id" : "5a1a45c9e4b0401274ab7141",
18780.                 "name" : "macos",
18781.                 "topic" : "/mcafee/mar/agent/query/macos",
18782.                 "enabled" : true
18783.               },
18784.               "utf8Sensitive" : false
18785.             } ],
18786.             "itemType" : "BUILTIN",
18787.             "catalogItems" : [ "COLLECTOR" ]
18788.           },
18789.           "content" : null,
18790.           "arguments" : [ ],
18791.           "utf8Sensitive" : false
18792.         }, {
18793.           "platform" : {
18794.             "catalogVersion" : 230233,
18795.             "dbVersion" : 2,
18796.             "id" : "58efec8ee4b0c390d69a8e0e",
18797.             "name" : "windows",
18798.             "topic" : "/mcafee/mar/agent/query/windows",
18799.             "enabled" : true
18800.           },
18801.           "capability" : {
18802.             "catalogVersion" : 230233,
18803.             "dbVersion" : 2,
18804.             "id" : "58efec8ee4b0c390d69a8e1f",
18805.             "name" : "NetworkFlow",
18806.             "description" : "Gets flow information",
18807.             "module" : "NetworkFlow",
18808.             "function" : "FindFlow",
18809.             "contentEnabled" : false,
18810.             "arguments" : [ ],
18811.             "outputs" : [ ],
18812.             "formatArgs" : { },
18813.             "format" : "BIN",
18814.             "platforms" : [ {
18815.               "catalogVersion" : 230233,
18816.               "dbVersion" : 2,
18817.               "id" : "58efec8ee4b0c390d69a8e0e",
18818.               "name" : "windows",
18819.               "topic" : "/mcafee/mar/agent/query/windows",
18820.               "enabled" : true
18821.             }, {
18822.               "catalogVersion" : 230233,
18823.               "dbVersion" : 2,
18824.               "id" : "58efec8ee4b0c390d69a8e0f",
18825.               "name" : "linux",
18826.               "topic" : "/mcafee/mar/agent/query/linux",
18827.               "enabled" : true
18828.             }, {
18829.               "catalogVersion" : 230233,
18830.               "dbVersion" : 2,
18831.               "id" : "5a1a45c9e4b0401274ab7141",
18832.               "name" : "macos",
18833.               "topic" : "/mcafee/mar/agent/query/macos",
18834.               "enabled" : true
18835.             } ],
18836.             "platformSettings" : [ {
18837.               "platform" : {
18838.                 "catalogVersion" : 230233,
18839.                 "dbVersion" : 2,
18840.                 "id" : "58efec8ee4b0c390d69a8e0e",
18841.                 "name" : "windows",
18842.                 "topic" : "/mcafee/mar/agent/query/windows",
18843.                 "enabled" : true
18844.               },
18845.               "utf8Sensitive" : false
18846.             }, {
18847.               "platform" : {
18848.                 "catalogVersion" : 230233,
18849.                 "dbVersion" : 2,
18850.                 "id" : "58efec8ee4b0c390d69a8e0f",
18851.                 "name" : "linux",
18852.                 "topic" : "/mcafee/mar/agent/query/linux",
18853.                 "enabled" : true
18854.               },
18855.               "utf8Sensitive" : false
18856.             }, {
18857.               "platform" : {
18858.                 "catalogVersion" : 230233,
18859.                 "dbVersion" : 2,
18860.                 "id" : "5a1a45c9e4b0401274ab7141",
18861.                 "name" : "macos",
18862.                 "topic" : "/mcafee/mar/agent/query/macos",
18863.                 "enabled" : true
18864.               },
18865.               "utf8Sensitive" : false
18866.             } ],
18867.             "itemType" : "BUILTIN",
18868.             "catalogItems" : [ "COLLECTOR" ]
18869.           },
18870.           "content" : null,
18871.           "arguments" : [ ],
18872.           "utf8Sensitive" : false
18873.         }, {
18874.           "platform" : {
18875.             "catalogVersion" : 230233,
18876.             "dbVersion" : 2,
18877.             "id" : "5a1a45c9e4b0401274ab7141",
18878.             "name" : "macos",
18879.             "topic" : "/mcafee/mar/agent/query/macos",
18880.             "enabled" : true
18881.           },
18882.           "capability" : {
18883.             "catalogVersion" : 230233,
18884.             "dbVersion" : 2,
18885.             "id" : "58efec8ee4b0c390d69a8e1f",
18886.             "name" : "NetworkFlow",
18887.             "description" : "Gets flow information",
18888.             "module" : "NetworkFlow",
18889.             "function" : "FindFlow",
18890.             "contentEnabled" : false,
18891.             "arguments" : [ ],
18892.             "outputs" : [ ],
18893.             "formatArgs" : { },
18894.             "format" : "BIN",
18895.             "platforms" : [ {
18896.               "catalogVersion" : 230233,
18897.               "dbVersion" : 2,
18898.               "id" : "58efec8ee4b0c390d69a8e0e",
18899.               "name" : "windows",
18900.               "topic" : "/mcafee/mar/agent/query/windows",
18901.               "enabled" : true
18902.             }, {
18903.               "catalogVersion" : 230233,
18904.               "dbVersion" : 2,
18905.               "id" : "58efec8ee4b0c390d69a8e0f",
18906.               "name" : "linux",
18907.               "topic" : "/mcafee/mar/agent/query/linux",
18908.               "enabled" : true
18909.             }, {
18910.               "catalogVersion" : 230233,
18911.               "dbVersion" : 2,
18912.               "id" : "5a1a45c9e4b0401274ab7141",
18913.               "name" : "macos",
18914.               "topic" : "/mcafee/mar/agent/query/macos",
18915.               "enabled" : true
18916.             } ],
18917.             "platformSettings" : [ {
18918.               "platform" : {
18919.                 "catalogVersion" : 230233,
18920.                 "dbVersion" : 2,
18921.                 "id" : "58efec8ee4b0c390d69a8e0e",
18922.                 "name" : "windows",
18923.                 "topic" : "/mcafee/mar/agent/query/windows",
18924.                 "enabled" : true
18925.               },
18926.               "utf8Sensitive" : false
18927.             }, {
18928.               "platform" : {
18929.                 "catalogVersion" : 230233,
18930.                 "dbVersion" : 2,
18931.                 "id" : "58efec8ee4b0c390d69a8e0f",
18932.                 "name" : "linux",
18933.                 "topic" : "/mcafee/mar/agent/query/linux",
18934.                 "enabled" : true
18935.               },
18936.               "utf8Sensitive" : false
18937.             }, {
18938.               "platform" : {
18939.                 "catalogVersion" : 230233,
18940.                 "dbVersion" : 2,
18941.                 "id" : "5a1a45c9e4b0401274ab7141",
18942.                 "name" : "macos",
18943.                 "topic" : "/mcafee/mar/agent/query/macos",
18944.                 "enabled" : true
18945.               },
18946.               "utf8Sensitive" : false
18947.             } ],
18948.             "itemType" : "BUILTIN",
18949.             "catalogItems" : [ "COLLECTOR" ]
18950.           },
18951.           "content" : null,
18952.           "arguments" : [ ],
18953.           "utf8Sensitive" : false
18954.         } ],
18955.         "timeout" : 60,
18956.         "outputs" : [ {
18957.           "id" : "58efec8ee4b0c390d69a8e85",
18958.           "name" : "time",
18959.           "type" : "DATE",
18960.           "byDefault" : true,
18961.           "sequence" : 1
18962.         }, {
18963.           "id" : "58efec8ee4b0c390d69a8e86",
18964.           "name" : "direction",
18965.           "type" : "STRING",
18966.           "byDefault" : true,
18967.           "sequence" : 2
18968.         }, {
18969.           "id" : "58efec8ee4b0c390d69a8e87",
18970.           "name" : "src_ip",
18971.           "type" : "IPV4IPV6",
18972.           "byDefault" : true,
18973.           "sequence" : 3
18974.         }, {
18975.           "id" : "58efec8ee4b0c390d69a8e88",
18976.           "name" : "src_port",
18977.           "type" : "NUMBER",
18978.           "byDefault" : true,
18979.           "sequence" : 4
18980.         }, {
18981.           "id" : "58efec8ee4b0c390d69a8e89",
18982.           "name" : "dst_ip",
18983.           "type" : "IPV4IPV6",
18984.           "byDefault" : true,
18985.           "sequence" : 5
18986.         }, {
18987.           "id" : "58efec8ee4b0c390d69a8e8a",
18988.           "name" : "dst_port",
18989.           "type" : "NUMBER",
18990.           "byDefault" : true,
18991.           "sequence" : 6
18992.         }, {
18993.           "id" : "58efec8ee4b0c390d69a8e8b",
18994.           "name" : "status",
18995.           "type" : "STRING",
18996.           "byDefault" : true,
18997.           "sequence" : 7
18998.         }, {
18999.           "id" : "58efec8ee4b0c390d69a8e8c",
19000.           "name" : "proto",
19001.           "type" : "STRING",
19002.           "byDefault" : true,
19003.           "sequence" : 8
19004.         }, {
19005.           "id" : "58efec8ee4b0c390d69a8e8d",
19006.           "name" : "ip_class",
19007.           "type" : "NUMBER",
19008.           "byDefault" : false,
19009.           "sequence" : 9
19010.         }, {
19011.           "id" : "58efec8ee4b0c390d69a8e8e",
19012.           "name" : "seq_number",
19013.           "type" : "NUMBER",
19014.           "byDefault" : false,
19015.           "sequence" : 10
19016.         }, {
19017.           "id" : "58efec8ee4b0c390d69a8e8f",
19018.           "name" : "src_mac",
19019.           "type" : "STRING",
19020.           "byDefault" : false,
19021.           "sequence" : 11
19022.         }, {
19023.           "id" : "58efec8ee4b0c390d69a8e90",
19024.           "name" : "dst_mac",
19025.           "type" : "STRING",
19026.           "byDefault" : false,
19027.           "sequence" : 12
19028.         }, {
19029.           "id" : "58efec8ee4b0c390d69a8e91",
19030.           "name" : "process",
19031.           "type" : "STRING",
19032.           "byDefault" : true,
19033.           "sequence" : 13
19034.         }, {
19035.           "id" : "58efec8ee4b0c390d69a8e92",
19036.           "name" : "process_id",
19037.           "type" : "NUMBER",
19038.           "byDefault" : false,
19039.           "sequence" : 14
19040.         }, {
19041.           "id" : "58efec8ee4b0c390d69a8e93",
19042.           "name" : "md5",
19043.           "type" : "STRING",
19044.           "byDefault" : false,
19045.           "sequence" : 15
19046.         }, {
19047.           "id" : "58efec8ee4b0c390d69a8e94",
19048.           "name" : "sha1",
19049.           "type" : "STRING",
19050.           "byDefault" : false,
19051.           "sequence" : 16
19052.         }, {
19053.           "id" : "58efec8ee4b0c390d69a8e95",
19054.           "name" : "user",
19055.           "type" : "STRING",
19056.           "byDefault" : true,
19057.           "sequence" : 17
19058.         }, {
19059.           "id" : "58efec8ee4b0c390d69a8e96",
19060.           "name" : "user_id",
19061.           "type" : "STRING",
19062.           "byDefault" : false,
19063.           "sequence" : 18
19064.         }, {
19065.           "id" : "5a1a45cbe4b0401274ab7191",
19066.           "name" : "sha256",
19067.           "type" : "STRING",
19068.           "byDefault" : false,
19069.           "sequence" : 19
19070.         } ]
19071.       },
19072.       "sequence" : "2",
19073.       "output" : [ {
19074.         "id" : "58efec8ee4b0c390d69a8e87",
19075.         "name" : "src_ip",
19076.         "type" : "IPV4IPV6",
19077.         "byDefault" : true,
19078.         "sequence" : 3
19079.       }, {
19080.         "id" : "58efec8ee4b0c390d69a8e89",
19081.         "name" : "dst_ip",
19082.         "type" : "IPV4IPV6",
19083.         "byDefault" : true,
19084.         "sequence" : 5
19085.       }, {
19086.         "id" : "58efec8ee4b0c390d69a8e88",
19087.         "name" : "src_port",
19088.         "type" : "NUMBER",
19089.         "byDefault" : true,
19090.         "sequence" : 4
19091.       }, {
19092.         "id" : "58efec8ee4b0c390d69a8e8a",
19093.         "name" : "dst_port",
19094.         "type" : "NUMBER",
19095.         "byDefault" : true,
19096.         "sequence" : 6
19097.       }, {
19098.         "id" : "58efec8ee4b0c390d69a8e8d",
19099.         "name" : "ip_class",
19100.         "type" : "NUMBER",
19101.         "byDefault" : false,
19102.         "sequence" : 9
19103.       }, {
19104.         "id" : "58efec8ee4b0c390d69a8e86",
19105.         "name" : "direction",
19106.         "type" : "STRING",
19107.         "byDefault" : true,
19108.         "sequence" : 2
19109.       }, {
19110.         "id" : "58efec8ee4b0c390d69a8e8b",
19111.         "name" : "status",
19112.         "type" : "STRING",
19113.         "byDefault" : true,
19114.         "sequence" : 7
19115.       }, {
19116.         "id" : "58efec8ee4b0c390d69a8e8c",
19117.         "name" : "proto",
19118.         "type" : "STRING",
19119.         "byDefault" : true,
19120.         "sequence" : 8
19121.       }, {
19122.         "id" : "58efec8ee4b0c390d69a8e95",
19123.         "name" : "user",
19124.         "type" : "STRING",
19125.         "byDefault" : true,
19126.         "sequence" : 17
19127.       } ]
19128.     } ],
19129.     "disjunction" : {
19130.       "conjunctions" : [ {
19131.         "terms" : [ {
19132.           "output" : {
19133.             "id" : "58efec8ee4b0c390d69a8ec2",
19134.             "name" : "hostname",
19135.             "type" : "STRING",
19136.             "byDefault" : false,
19137.             "sequence" : 1
19138.           },
19139.           "operator" : "EQUALS",
19140.           "value" : "WIN72",
19141.           "negated" : false,
19142.           "collector" : {
19143.             "catalogVersion" : 230233,
19144.             "dbVersion" : 2,
19145.             "id" : "58efec8ee4b0c390d69a8ec5",
19146.             "name" : "HostInfo",
19147.             "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
19148.             "type" : "BUILTIN",
19149.             "contents" : [ {
19150.               "platform" : {
19151.                 "catalogVersion" : 230233,
19152.                 "dbVersion" : 2,
19153.                 "id" : "58efec8ee4b0c390d69a8e0f",
19154.                 "name" : "linux",
19155.                 "topic" : "/mcafee/mar/agent/query/linux",
19156.                 "enabled" : true
19157.               },
19158.               "capability" : {
19159.                 "catalogVersion" : 230233,
19160.                 "dbVersion" : 2,
19161.                 "id" : "58efec8ee4b0c390d69a8e14",
19162.                 "name" : "Bash Script",
19163.                 "description" : "Executes Bash script on target client",
19164.                 "module" : "SystemRuntime",
19165.                 "function" : "executeBash",
19166.                 "contentEnabled" : true,
19167.                 "arguments" : [ ],
19168.                 "outputs" : [ ],
19169.                 "formatArgs" : {
19170.                   "hasHeaders" : false,
19171.                   "delimiter" : ","
19172.                 },
19173.                 "format" : "CSV",
19174.                 "platforms" : [ {
19175.                   "catalogVersion" : 230233,
19176.                   "dbVersion" : 2,
19177.                   "id" : "58efec8ee4b0c390d69a8e0f",
19178.                   "name" : "linux",
19179.                   "topic" : "/mcafee/mar/agent/query/linux",
19180.                   "enabled" : true
19181.                 }, {
19182.                   "catalogVersion" : 230233,
19183.                   "dbVersion" : 2,
19184.                   "id" : "5a1a45c9e4b0401274ab7141",
19185.                   "name" : "macos",
19186.                   "topic" : "/mcafee/mar/agent/query/macos",
19187.                   "enabled" : true
19188.                 } ],
19189.                 "platformSettings" : [ {
19190.                   "platform" : {
19191.                     "catalogVersion" : 230233,
19192.                     "dbVersion" : 2,
19193.                     "id" : "58efec8ee4b0c390d69a8e0f",
19194.                     "name" : "linux",
19195.                     "topic" : "/mcafee/mar/agent/query/linux",
19196.                     "enabled" : true
19197.                   },
19198.                   "utf8Sensitive" : false
19199.                 }, {
19200.                   "platform" : {
19201.                     "catalogVersion" : 230233,
19202.                     "dbVersion" : 2,
19203.                     "id" : "5a1a45c9e4b0401274ab7141",
19204.                     "name" : "macos",
19205.                     "topic" : "/mcafee/mar/agent/query/macos",
19206.                     "enabled" : true
19207.                   },
19208.                   "utf8Sensitive" : false
19209.                 } ],
19210.                 "itemType" : "CUSTOM",
19211.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
19212.               },
19213.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
19214.               "arguments" : [ ],
19215.               "utf8Sensitive" : false
19216.             }, {
19217.               "platform" : {
19218.                 "catalogVersion" : 230233,
19219.                 "dbVersion" : 2,
19220.                 "id" : "58efec8ee4b0c390d69a8e0e",
19221.                 "name" : "windows",
19222.                 "topic" : "/mcafee/mar/agent/query/windows",
19223.                 "enabled" : true
19224.               },
19225.               "capability" : {
19226.                 "catalogVersion" : 230233,
19227.                 "dbVersion" : 2,
19228.                 "id" : "58efec8ee4b0c390d69a8e12",
19229.                 "name" : "Visual Basic Script",
19230.                 "description" : "Executes VBS script on target client",
19231.                 "module" : "SystemRuntime",
19232.                 "function" : "executeVBS",
19233.                 "contentEnabled" : true,
19234.                 "arguments" : [ ],
19235.                 "outputs" : [ ],
19236.                 "formatArgs" : {
19237.                   "hasHeaders" : false,
19238.                   "delimiter" : ","
19239.                 },
19240.                 "format" : "CSV",
19241.                 "platforms" : [ {
19242.                   "catalogVersion" : 230233,
19243.                   "dbVersion" : 2,
19244.                   "id" : "58efec8ee4b0c390d69a8e0e",
19245.                   "name" : "windows",
19246.                   "topic" : "/mcafee/mar/agent/query/windows",
19247.                   "enabled" : true
19248.                 } ],
19249.                 "platformSettings" : [ {
19250.                   "platform" : {
19251.                     "catalogVersion" : 230233,
19252.                     "dbVersion" : 2,
19253.                     "id" : "58efec8ee4b0c390d69a8e0e",
19254.                     "name" : "windows",
19255.                     "topic" : "/mcafee/mar/agent/query/windows",
19256.                     "enabled" : true
19257.                   },
19258.                   "utf8Sensitive" : false
19259.                 } ],
19260.                 "itemType" : "CUSTOM",
19261.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
19262.               },
19263.               "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
19264.               "arguments" : [ ],
19265.               "utf8Sensitive" : false
19266.             }, {
19267.               "platform" : {
19268.                 "catalogVersion" : 230233,
19269.                 "dbVersion" : 2,
19270.                 "id" : "5a1a45c9e4b0401274ab7141",
19271.                 "name" : "macos",
19272.                 "topic" : "/mcafee/mar/agent/query/macos",
19273.                 "enabled" : true
19274.               },
19275.               "capability" : {
19276.                 "catalogVersion" : 230233,
19277.                 "dbVersion" : 2,
19278.                 "id" : "5a1a45cae4b0401274ab7183",
19279.                 "name" : "HostInfo SysInfo",
19280.                 "description" : "Shows Hostname, 1st IP Address and OS version",
19281.                 "module" : "SysInfo",
19282.                 "function" : "HostInfo",
19283.                 "contentEnabled" : false,
19284.                 "arguments" : [ ],
19285.                 "outputs" : [ ],
19286.                 "formatArgs" : { },
19287.                 "format" : "BIN",
19288.                 "platforms" : [ {
19289.                   "catalogVersion" : 230233,
19290.                   "dbVersion" : 2,
19291.                   "id" : "5a1a45c9e4b0401274ab7141",
19292.                   "name" : "macos",
19293.                   "topic" : "/mcafee/mar/agent/query/macos",
19294.                   "enabled" : true
19295.                 } ],
19296.                 "platformSettings" : [ {
19297.                   "platform" : {
19298.                     "catalogVersion" : 230233,
19299.                     "dbVersion" : 2,
19300.                     "id" : "5a1a45c9e4b0401274ab7141",
19301.                     "name" : "macos",
19302.                     "topic" : "/mcafee/mar/agent/query/macos",
19303.                     "enabled" : true
19304.                   },
19305.                   "utf8Sensitive" : false
19306.                 } ],
19307.                 "itemType" : "BUILTIN",
19308.                 "catalogItems" : [ "COLLECTOR" ]
19309.               },
19310.               "content" : null,
19311.               "arguments" : [ ],
19312.               "utf8Sensitive" : false
19313.             } ],
19314.             "timeout" : 60,
19315.             "outputs" : [ {
19316.               "id" : "58efec8ee4b0c390d69a8ec2",
19317.               "name" : "hostname",
19318.               "type" : "STRING",
19319.               "byDefault" : false,
19320.               "sequence" : 1
19321.             }, {
19322.               "id" : "58efec8ee4b0c390d69a8ec3",
19323.               "name" : "ip_address",
19324.               "type" : "IPV4IPV6",
19325.               "byDefault" : false,
19326.               "sequence" : 2
19327.             }, {
19328.               "id" : "58efec8ee4b0c390d69a8ec4",
19329.               "name" : "os",
19330.               "type" : "STRING",
19331.               "byDefault" : false,
19332.               "sequence" : 3
19333.             }, {
19334.               "id" : "5b3f9b64e4b0dfaf321a6346",
19335.               "name" : "connection_status",
19336.               "type" : "STRING",
19337.               "byDefault" : false,
19338.               "sequence" : 4
19339.             }, {
19340.               "id" : "5b3f9b64e4b0dfaf321a6347",
19341.               "name" : "platform",
19342.               "type" : "STRING",
19343.               "byDefault" : false,
19344.               "sequence" : 5
19345.             } ]
19346.           }
19347.         }, {
19348.           "output" : {
19349.             "id" : "58efec8ee4b0c390d69a8e85",
19350.             "name" : "time",
19351.             "type" : "DATE",
19352.             "byDefault" : true,
19353.             "sequence" : 1
19354.           },
19355.           "operator" : "AFTER",
19356.           "value" : "2017-10-30 20:00:00",
19357.           "negated" : false,
19358.           "collector" : {
19359.             "catalogVersion" : 230233,
19360.             "dbVersion" : 2,
19361.             "id" : "58efec8ee4b0c390d69a8e97",
19362.             "name" : "NetworkFlow",
19363.             "description" : "Shows the network flow",
19364.             "type" : "BUILTIN",
19365.             "contents" : [ {
19366.               "platform" : {
19367.                 "catalogVersion" : 230233,
19368.                 "dbVersion" : 2,
19369.                 "id" : "58efec8ee4b0c390d69a8e0f",
19370.                 "name" : "linux",
19371.                 "topic" : "/mcafee/mar/agent/query/linux",
19372.                 "enabled" : true
19373.               },
19374.               "capability" : {
19375.                 "catalogVersion" : 230233,
19376.                 "dbVersion" : 2,
19377.                 "id" : "58efec8ee4b0c390d69a8e1f",
19378.                 "name" : "NetworkFlow",
19379.                 "description" : "Gets flow information",
19380.                 "module" : "NetworkFlow",
19381.                 "function" : "FindFlow",
19382.                 "contentEnabled" : false,
19383.                 "arguments" : [ ],
19384.                 "outputs" : [ ],
19385.                 "formatArgs" : { },
19386.                 "format" : "BIN",
19387.                 "platforms" : [ {
19388.                   "catalogVersion" : 230233,
19389.                   "dbVersion" : 2,
19390.                   "id" : "58efec8ee4b0c390d69a8e0e",
19391.                   "name" : "windows",
19392.                   "topic" : "/mcafee/mar/agent/query/windows",
19393.                   "enabled" : true
19394.                 }, {
19395.                   "catalogVersion" : 230233,
19396.                   "dbVersion" : 2,
19397.                   "id" : "58efec8ee4b0c390d69a8e0f",
19398.                   "name" : "linux",
19399.                   "topic" : "/mcafee/mar/agent/query/linux",
19400.                   "enabled" : true
19401.                 }, {
19402.                   "catalogVersion" : 230233,
19403.                   "dbVersion" : 2,
19404.                   "id" : "5a1a45c9e4b0401274ab7141",
19405.                   "name" : "macos",
19406.                   "topic" : "/mcafee/mar/agent/query/macos",
19407.                   "enabled" : true
19408.                 } ],
19409.                 "platformSettings" : [ {
19410.                   "platform" : {
19411.                     "catalogVersion" : 230233,
19412.                     "dbVersion" : 2,
19413.                     "id" : "58efec8ee4b0c390d69a8e0e",
19414.                     "name" : "windows",
19415.                     "topic" : "/mcafee/mar/agent/query/windows",
19416.                     "enabled" : true
19417.                   },
19418.                   "utf8Sensitive" : false
19419.                 }, {
19420.                   "platform" : {
19421.                     "catalogVersion" : 230233,
19422.                     "dbVersion" : 2,
19423.                     "id" : "58efec8ee4b0c390d69a8e0f",
19424.                     "name" : "linux",
19425.                     "topic" : "/mcafee/mar/agent/query/linux",
19426.                     "enabled" : true
19427.                   },
19428.                   "utf8Sensitive" : false
19429.                 }, {
19430.                   "platform" : {
19431.                     "catalogVersion" : 230233,
19432.                     "dbVersion" : 2,
19433.                     "id" : "5a1a45c9e4b0401274ab7141",
19434.                     "name" : "macos",
19435.                     "topic" : "/mcafee/mar/agent/query/macos",
19436.                     "enabled" : true
19437.                   },
19438.                   "utf8Sensitive" : false
19439.                 } ],
19440.                 "itemType" : "BUILTIN",
19441.                 "catalogItems" : [ "COLLECTOR" ]
19442.               },
19443.               "content" : null,
19444.               "arguments" : [ ],
19445.               "utf8Sensitive" : false
19446.             }, {
19447.               "platform" : {
19448.                 "catalogVersion" : 230233,
19449.                 "dbVersion" : 2,
19450.                 "id" : "58efec8ee4b0c390d69a8e0e",
19451.                 "name" : "windows",
19452.                 "topic" : "/mcafee/mar/agent/query/windows",
19453.                 "enabled" : true
19454.               },
19455.               "capability" : {
19456.                 "catalogVersion" : 230233,
19457.                 "dbVersion" : 2,
19458.                 "id" : "58efec8ee4b0c390d69a8e1f",
19459.                 "name" : "NetworkFlow",
19460.                 "description" : "Gets flow information",
19461.                 "module" : "NetworkFlow",
19462.                 "function" : "FindFlow",
19463.                 "contentEnabled" : false,
19464.                 "arguments" : [ ],
19465.                 "outputs" : [ ],
19466.                 "formatArgs" : { },
19467.                 "format" : "BIN",
19468.                 "platforms" : [ {
19469.                   "catalogVersion" : 230233,
19470.                   "dbVersion" : 2,
19471.                   "id" : "58efec8ee4b0c390d69a8e0e",
19472.                   "name" : "windows",
19473.                   "topic" : "/mcafee/mar/agent/query/windows",
19474.                   "enabled" : true
19475.                 }, {
19476.                   "catalogVersion" : 230233,
19477.                   "dbVersion" : 2,
19478.                   "id" : "58efec8ee4b0c390d69a8e0f",
19479.                   "name" : "linux",
19480.                   "topic" : "/mcafee/mar/agent/query/linux",
19481.                   "enabled" : true
19482.                 }, {
19483.                   "catalogVersion" : 230233,
19484.                   "dbVersion" : 2,
19485.                   "id" : "5a1a45c9e4b0401274ab7141",
19486.                   "name" : "macos",
19487.                   "topic" : "/mcafee/mar/agent/query/macos",
19488.                   "enabled" : true
19489.                 } ],
19490.                 "platformSettings" : [ {
19491.                   "platform" : {
19492.                     "catalogVersion" : 230233,
19493.                     "dbVersion" : 2,
19494.                     "id" : "58efec8ee4b0c390d69a8e0e",
19495.                     "name" : "windows",
19496.                     "topic" : "/mcafee/mar/agent/query/windows",
19497.                     "enabled" : true
19498.                   },
19499.                   "utf8Sensitive" : false
19500.                 }, {
19501.                   "platform" : {
19502.                     "catalogVersion" : 230233,
19503.                     "dbVersion" : 2,
19504.                     "id" : "58efec8ee4b0c390d69a8e0f",
19505.                     "name" : "linux",
19506.                     "topic" : "/mcafee/mar/agent/query/linux",
19507.                     "enabled" : true
19508.                   },
19509.                   "utf8Sensitive" : false
19510.                 }, {
19511.                   "platform" : {
19512.                     "catalogVersion" : 230233,
19513.                     "dbVersion" : 2,
19514.                     "id" : "5a1a45c9e4b0401274ab7141",
19515.                     "name" : "macos",
19516.                     "topic" : "/mcafee/mar/agent/query/macos",
19517.                     "enabled" : true
19518.                   },
19519.                   "utf8Sensitive" : false
19520.                 } ],
19521.                 "itemType" : "BUILTIN",
19522.                 "catalogItems" : [ "COLLECTOR" ]
19523.               },
19524.               "content" : null,
19525.               "arguments" : [ ],
19526.               "utf8Sensitive" : false
19527.             }, {
19528.               "platform" : {
19529.                 "catalogVersion" : 230233,
19530.                 "dbVersion" : 2,
19531.                 "id" : "5a1a45c9e4b0401274ab7141",
19532.                 "name" : "macos",
19533.                 "topic" : "/mcafee/mar/agent/query/macos",
19534.                 "enabled" : true
19535.               },
19536.               "capability" : {
19537.                 "catalogVersion" : 230233,
19538.                 "dbVersion" : 2,
19539.                 "id" : "58efec8ee4b0c390d69a8e1f",
19540.                 "name" : "NetworkFlow",
19541.                 "description" : "Gets flow information",
19542.                 "module" : "NetworkFlow",
19543.                 "function" : "FindFlow",
19544.                 "contentEnabled" : false,
19545.                 "arguments" : [ ],
19546.                 "outputs" : [ ],
19547.                 "formatArgs" : { },
19548.                 "format" : "BIN",
19549.                 "platforms" : [ {
19550.                   "catalogVersion" : 230233,
19551.                   "dbVersion" : 2,
19552.                   "id" : "58efec8ee4b0c390d69a8e0e",
19553.                   "name" : "windows",
19554.                   "topic" : "/mcafee/mar/agent/query/windows",
19555.                   "enabled" : true
19556.                 }, {
19557.                   "catalogVersion" : 230233,
19558.                   "dbVersion" : 2,
19559.                   "id" : "58efec8ee4b0c390d69a8e0f",
19560.                   "name" : "linux",
19561.                   "topic" : "/mcafee/mar/agent/query/linux",
19562.                   "enabled" : true
19563.                 }, {
19564.                   "catalogVersion" : 230233,
19565.                   "dbVersion" : 2,
19566.                   "id" : "5a1a45c9e4b0401274ab7141",
19567.                   "name" : "macos",
19568.                   "topic" : "/mcafee/mar/agent/query/macos",
19569.                   "enabled" : true
19570.                 } ],
19571.                 "platformSettings" : [ {
19572.                   "platform" : {
19573.                     "catalogVersion" : 230233,
19574.                     "dbVersion" : 2,
19575.                     "id" : "58efec8ee4b0c390d69a8e0e",
19576.                     "name" : "windows",
19577.                     "topic" : "/mcafee/mar/agent/query/windows",
19578.                     "enabled" : true
19579.                   },
19580.                   "utf8Sensitive" : false
19581.                 }, {
19582.                   "platform" : {
19583.                     "catalogVersion" : 230233,
19584.                     "dbVersion" : 2,
19585.                     "id" : "58efec8ee4b0c390d69a8e0f",
19586.                     "name" : "linux",
19587.                     "topic" : "/mcafee/mar/agent/query/linux",
19588.                     "enabled" : true
19589.                   },
19590.                   "utf8Sensitive" : false
19591.                 }, {
19592.                   "platform" : {
19593.                     "catalogVersion" : 230233,
19594.                     "dbVersion" : 2,
19595.                     "id" : "5a1a45c9e4b0401274ab7141",
19596.                     "name" : "macos",
19597.                     "topic" : "/mcafee/mar/agent/query/macos",
19598.                     "enabled" : true
19599.                   },
19600.                   "utf8Sensitive" : false
19601.                 } ],
19602.                 "itemType" : "BUILTIN",
19603.                 "catalogItems" : [ "COLLECTOR" ]
19604.               },
19605.               "content" : null,
19606.               "arguments" : [ ],
19607.               "utf8Sensitive" : false
19608.             } ],
19609.             "timeout" : 60,
19610.             "outputs" : [ {
19611.               "id" : "58efec8ee4b0c390d69a8e85",
19612.               "name" : "time",
19613.               "type" : "DATE",
19614.               "byDefault" : true,
19615.               "sequence" : 1
19616.             }, {
19617.               "id" : "58efec8ee4b0c390d69a8e86",
19618.               "name" : "direction",
19619.               "type" : "STRING",
19620.               "byDefault" : true,
19621.               "sequence" : 2
19622.             }, {
19623.               "id" : "58efec8ee4b0c390d69a8e87",
19624.               "name" : "src_ip",
19625.               "type" : "IPV4IPV6",
19626.               "byDefault" : true,
19627.               "sequence" : 3
19628.             }, {
19629.               "id" : "58efec8ee4b0c390d69a8e88",
19630.               "name" : "src_port",
19631.               "type" : "NUMBER",
19632.               "byDefault" : true,
19633.               "sequence" : 4
19634.             }, {
19635.               "id" : "58efec8ee4b0c390d69a8e89",
19636.               "name" : "dst_ip",
19637.               "type" : "IPV4IPV6",
19638.               "byDefault" : true,
19639.               "sequence" : 5
19640.             }, {
19641.               "id" : "58efec8ee4b0c390d69a8e8a",
19642.               "name" : "dst_port",
19643.               "type" : "NUMBER",
19644.               "byDefault" : true,
19645.               "sequence" : 6
19646.             }, {
19647.               "id" : "58efec8ee4b0c390d69a8e8b",
19648.               "name" : "status",
19649.               "type" : "STRING",
19650.               "byDefault" : true,
19651.               "sequence" : 7
19652.             }, {
19653.               "id" : "58efec8ee4b0c390d69a8e8c",
19654.               "name" : "proto",
19655.               "type" : "STRING",
19656.               "byDefault" : true,
19657.               "sequence" : 8
19658.             }, {
19659.               "id" : "58efec8ee4b0c390d69a8e8d",
19660.               "name" : "ip_class",
19661.               "type" : "NUMBER",
19662.               "byDefault" : false,
19663.               "sequence" : 9
19664.             }, {
19665.               "id" : "58efec8ee4b0c390d69a8e8e",
19666.               "name" : "seq_number",
19667.               "type" : "NUMBER",
19668.               "byDefault" : false,
19669.               "sequence" : 10
19670.             }, {
19671.               "id" : "58efec8ee4b0c390d69a8e8f",
19672.               "name" : "src_mac",
19673.               "type" : "STRING",
19674.               "byDefault" : false,
19675.               "sequence" : 11
19676.             }, {
19677.               "id" : "58efec8ee4b0c390d69a8e90",
19678.               "name" : "dst_mac",
19679.               "type" : "STRING",
19680.               "byDefault" : false,
19681.               "sequence" : 12
19682.             }, {
19683.               "id" : "58efec8ee4b0c390d69a8e91",
19684.               "name" : "process",
19685.               "type" : "STRING",
19686.               "byDefault" : true,
19687.               "sequence" : 13
19688.             }, {
19689.               "id" : "58efec8ee4b0c390d69a8e92",
19690.               "name" : "process_id",
19691.               "type" : "NUMBER",
19692.               "byDefault" : false,
19693.               "sequence" : 14
19694.             }, {
19695.               "id" : "58efec8ee4b0c390d69a8e93",
19696.               "name" : "md5",
19697.               "type" : "STRING",
19698.               "byDefault" : false,
19699.               "sequence" : 15
19700.             }, {
19701.               "id" : "58efec8ee4b0c390d69a8e94",
19702.               "name" : "sha1",
19703.               "type" : "STRING",
19704.               "byDefault" : false,
19705.               "sequence" : 16
19706.             }, {
19707.               "id" : "58efec8ee4b0c390d69a8e95",
19708.               "name" : "user",
19709.               "type" : "STRING",
19710.               "byDefault" : true,
19711.               "sequence" : 17
19712.             }, {
19713.               "id" : "58efec8ee4b0c390d69a8e96",
19714.               "name" : "user_id",
19715.               "type" : "STRING",
19716.               "byDefault" : false,
19717.               "sequence" : 18
19718.             }, {
19719.               "id" : "5a1a45cbe4b0401274ab7191",
19720.               "name" : "sha256",
19721.               "type" : "STRING",
19722.               "byDefault" : false,
19723.               "sequence" : 19
19724.             } ]
19725.           }
19726.         }, {
19727.           "output" : {
19728.             "id" : "58efec8ee4b0c390d69a8e85",
19729.             "name" : "time",
19730.             "type" : "DATE",
19731.             "byDefault" : true,
19732.             "sequence" : 1
19733.           },
19734.           "operator" : "BEFORE",
19735.           "value" : "2017-10-30 20:10:00",
19736.           "negated" : false,
19737.           "collector" : {
19738.             "catalogVersion" : 230233,
19739.             "dbVersion" : 2,
19740.             "id" : "58efec8ee4b0c390d69a8e97",
19741.             "name" : "NetworkFlow",
19742.             "description" : "Shows the network flow",
19743.             "type" : "BUILTIN",
19744.             "contents" : [ {
19745.               "platform" : {
19746.                 "catalogVersion" : 230233,
19747.                 "dbVersion" : 2,
19748.                 "id" : "58efec8ee4b0c390d69a8e0f",
19749.                 "name" : "linux",
19750.                 "topic" : "/mcafee/mar/agent/query/linux",
19751.                 "enabled" : true
19752.               },
19753.               "capability" : {
19754.                 "catalogVersion" : 230233,
19755.                 "dbVersion" : 2,
19756.                 "id" : "58efec8ee4b0c390d69a8e1f",
19757.                 "name" : "NetworkFlow",
19758.                 "description" : "Gets flow information",
19759.                 "module" : "NetworkFlow",
19760.                 "function" : "FindFlow",
19761.                 "contentEnabled" : false,
19762.                 "arguments" : [ ],
19763.                 "outputs" : [ ],
19764.                 "formatArgs" : { },
19765.                 "format" : "BIN",
19766.                 "platforms" : [ {
19767.                   "catalogVersion" : 230233,
19768.                   "dbVersion" : 2,
19769.                   "id" : "58efec8ee4b0c390d69a8e0e",
19770.                   "name" : "windows",
19771.                   "topic" : "/mcafee/mar/agent/query/windows",
19772.                   "enabled" : true
19773.                 }, {
19774.                   "catalogVersion" : 230233,
19775.                   "dbVersion" : 2,
19776.                   "id" : "58efec8ee4b0c390d69a8e0f",
19777.                   "name" : "linux",
19778.                   "topic" : "/mcafee/mar/agent/query/linux",
19779.                   "enabled" : true
19780.                 }, {
19781.                   "catalogVersion" : 230233,
19782.                   "dbVersion" : 2,
19783.                   "id" : "5a1a45c9e4b0401274ab7141",
19784.                   "name" : "macos",
19785.                   "topic" : "/mcafee/mar/agent/query/macos",
19786.                   "enabled" : true
19787.                 } ],
19788.                 "platformSettings" : [ {
19789.                   "platform" : {
19790.                     "catalogVersion" : 230233,
19791.                     "dbVersion" : 2,
19792.                     "id" : "58efec8ee4b0c390d69a8e0e",
19793.                     "name" : "windows",
19794.                     "topic" : "/mcafee/mar/agent/query/windows",
19795.                     "enabled" : true
19796.                   },
19797.                   "utf8Sensitive" : false
19798.                 }, {
19799.                   "platform" : {
19800.                     "catalogVersion" : 230233,
19801.                     "dbVersion" : 2,
19802.                     "id" : "58efec8ee4b0c390d69a8e0f",
19803.                     "name" : "linux",
19804.                     "topic" : "/mcafee/mar/agent/query/linux",
19805.                     "enabled" : true
19806.                   },
19807.                   "utf8Sensitive" : false
19808.                 }, {
19809.                   "platform" : {
19810.                     "catalogVersion" : 230233,
19811.                     "dbVersion" : 2,
19812.                     "id" : "5a1a45c9e4b0401274ab7141",
19813.                     "name" : "macos",
19814.                     "topic" : "/mcafee/mar/agent/query/macos",
19815.                     "enabled" : true
19816.                   },
19817.                   "utf8Sensitive" : false
19818.                 } ],
19819.                 "itemType" : "BUILTIN",
19820.                 "catalogItems" : [ "COLLECTOR" ]
19821.               },
19822.               "content" : null,
19823.               "arguments" : [ ],
19824.               "utf8Sensitive" : false
19825.             }, {
19826.               "platform" : {
19827.                 "catalogVersion" : 230233,
19828.                 "dbVersion" : 2,
19829.                 "id" : "58efec8ee4b0c390d69a8e0e",
19830.                 "name" : "windows",
19831.                 "topic" : "/mcafee/mar/agent/query/windows",
19832.                 "enabled" : true
19833.               },
19834.               "capability" : {
19835.                 "catalogVersion" : 230233,
19836.                 "dbVersion" : 2,
19837.                 "id" : "58efec8ee4b0c390d69a8e1f",
19838.                 "name" : "NetworkFlow",
19839.                 "description" : "Gets flow information",
19840.                 "module" : "NetworkFlow",
19841.                 "function" : "FindFlow",
19842.                 "contentEnabled" : false,
19843.                 "arguments" : [ ],
19844.                 "outputs" : [ ],
19845.                 "formatArgs" : { },
19846.                 "format" : "BIN",
19847.                 "platforms" : [ {
19848.                   "catalogVersion" : 230233,
19849.                   "dbVersion" : 2,
19850.                   "id" : "58efec8ee4b0c390d69a8e0e",
19851.                   "name" : "windows",
19852.                   "topic" : "/mcafee/mar/agent/query/windows",
19853.                   "enabled" : true
19854.                 }, {
19855.                   "catalogVersion" : 230233,
19856.                   "dbVersion" : 2,
19857.                   "id" : "58efec8ee4b0c390d69a8e0f",
19858.                   "name" : "linux",
19859.                   "topic" : "/mcafee/mar/agent/query/linux",
19860.                   "enabled" : true
19861.                 }, {
19862.                   "catalogVersion" : 230233,
19863.                   "dbVersion" : 2,
19864.                   "id" : "5a1a45c9e4b0401274ab7141",
19865.                   "name" : "macos",
19866.                   "topic" : "/mcafee/mar/agent/query/macos",
19867.                   "enabled" : true
19868.                 } ],
19869.                 "platformSettings" : [ {
19870.                   "platform" : {
19871.                     "catalogVersion" : 230233,
19872.                     "dbVersion" : 2,
19873.                     "id" : "58efec8ee4b0c390d69a8e0e",
19874.                     "name" : "windows",
19875.                     "topic" : "/mcafee/mar/agent/query/windows",
19876.                     "enabled" : true
19877.                   },
19878.                   "utf8Sensitive" : false
19879.                 }, {
19880.                   "platform" : {
19881.                     "catalogVersion" : 230233,
19882.                     "dbVersion" : 2,
19883.                     "id" : "58efec8ee4b0c390d69a8e0f",
19884.                     "name" : "linux",
19885.                     "topic" : "/mcafee/mar/agent/query/linux",
19886.                     "enabled" : true
19887.                   },
19888.                   "utf8Sensitive" : false
19889.                 }, {
19890.                   "platform" : {
19891.                     "catalogVersion" : 230233,
19892.                     "dbVersion" : 2,
19893.                     "id" : "5a1a45c9e4b0401274ab7141",
19894.                     "name" : "macos",
19895.                     "topic" : "/mcafee/mar/agent/query/macos",
19896.                     "enabled" : true
19897.                   },
19898.                   "utf8Sensitive" : false
19899.                 } ],
19900.                 "itemType" : "BUILTIN",
19901.                 "catalogItems" : [ "COLLECTOR" ]
19902.               },
19903.               "content" : null,
19904.               "arguments" : [ ],
19905.               "utf8Sensitive" : false
19906.             }, {
19907.               "platform" : {
19908.                 "catalogVersion" : 230233,
19909.                 "dbVersion" : 2,
19910.                 "id" : "5a1a45c9e4b0401274ab7141",
19911.                 "name" : "macos",
19912.                 "topic" : "/mcafee/mar/agent/query/macos",
19913.                 "enabled" : true
19914.               },
19915.               "capability" : {
19916.                 "catalogVersion" : 230233,
19917.                 "dbVersion" : 2,
19918.                 "id" : "58efec8ee4b0c390d69a8e1f",
19919.                 "name" : "NetworkFlow",
19920.                 "description" : "Gets flow information",
19921.                 "module" : "NetworkFlow",
19922.                 "function" : "FindFlow",
19923.                 "contentEnabled" : false,
19924.                 "arguments" : [ ],
19925.                 "outputs" : [ ],
19926.                 "formatArgs" : { },
19927.                 "format" : "BIN",
19928.                 "platforms" : [ {
19929.                   "catalogVersion" : 230233,
19930.                   "dbVersion" : 2,
19931.                   "id" : "58efec8ee4b0c390d69a8e0e",
19932.                   "name" : "windows",
19933.                   "topic" : "/mcafee/mar/agent/query/windows",
19934.                   "enabled" : true
19935.                 }, {
19936.                   "catalogVersion" : 230233,
19937.                   "dbVersion" : 2,
19938.                   "id" : "58efec8ee4b0c390d69a8e0f",
19939.                   "name" : "linux",
19940.                   "topic" : "/mcafee/mar/agent/query/linux",
19941.                   "enabled" : true
19942.                 }, {
19943.                   "catalogVersion" : 230233,
19944.                   "dbVersion" : 2,
19945.                   "id" : "5a1a45c9e4b0401274ab7141",
19946.                   "name" : "macos",
19947.                   "topic" : "/mcafee/mar/agent/query/macos",
19948.                   "enabled" : true
19949.                 } ],
19950.                 "platformSettings" : [ {
19951.                   "platform" : {
19952.                     "catalogVersion" : 230233,
19953.                     "dbVersion" : 2,
19954.                     "id" : "58efec8ee4b0c390d69a8e0e",
19955.                     "name" : "windows",
19956.                     "topic" : "/mcafee/mar/agent/query/windows",
19957.                     "enabled" : true
19958.                   },
19959.                   "utf8Sensitive" : false
19960.                 }, {
19961.                   "platform" : {
19962.                     "catalogVersion" : 230233,
19963.                     "dbVersion" : 2,
19964.                     "id" : "58efec8ee4b0c390d69a8e0f",
19965.                     "name" : "linux",
19966.                     "topic" : "/mcafee/mar/agent/query/linux",
19967.                     "enabled" : true
19968.                   },
19969.                   "utf8Sensitive" : false
19970.                 }, {
19971.                   "platform" : {
19972.                     "catalogVersion" : 230233,
19973.                     "dbVersion" : 2,
19974.                     "id" : "5a1a45c9e4b0401274ab7141",
19975.                     "name" : "macos",
19976.                     "topic" : "/mcafee/mar/agent/query/macos",
19977.                     "enabled" : true
19978.                   },
19979.                   "utf8Sensitive" : false
19980.                 } ],
19981.                 "itemType" : "BUILTIN",
19982.                 "catalogItems" : [ "COLLECTOR" ]
19983.               },
19984.               "content" : null,
19985.               "arguments" : [ ],
19986.               "utf8Sensitive" : false
19987.             } ],
19988.             "timeout" : 60,
19989.             "outputs" : [ {
19990.               "id" : "58efec8ee4b0c390d69a8e85",
19991.               "name" : "time",
19992.               "type" : "DATE",
19993.               "byDefault" : true,
19994.               "sequence" : 1
19995.             }, {
19996.               "id" : "58efec8ee4b0c390d69a8e86",
19997.               "name" : "direction",
19998.               "type" : "STRING",
19999.               "byDefault" : true,
20000.               "sequence" : 2
20001.             }, {
20002.               "id" : "58efec8ee4b0c390d69a8e87",
20003.               "name" : "src_ip",
20004.               "type" : "IPV4IPV6",
20005.               "byDefault" : true,
20006.               "sequence" : 3
20007.             }, {
20008.               "id" : "58efec8ee4b0c390d69a8e88",
20009.               "name" : "src_port",
20010.               "type" : "NUMBER",
20011.               "byDefault" : true,
20012.               "sequence" : 4
20013.             }, {
20014.               "id" : "58efec8ee4b0c390d69a8e89",
20015.               "name" : "dst_ip",
20016.               "type" : "IPV4IPV6",
20017.               "byDefault" : true,
20018.               "sequence" : 5
20019.             }, {
20020.               "id" : "58efec8ee4b0c390d69a8e8a",
20021.               "name" : "dst_port",
20022.               "type" : "NUMBER",
20023.               "byDefault" : true,
20024.               "sequence" : 6
20025.             }, {
20026.               "id" : "58efec8ee4b0c390d69a8e8b",
20027.               "name" : "status",
20028.               "type" : "STRING",
20029.               "byDefault" : true,
20030.               "sequence" : 7
20031.             }, {
20032.               "id" : "58efec8ee4b0c390d69a8e8c",
20033.               "name" : "proto",
20034.               "type" : "STRING",
20035.               "byDefault" : true,
20036.               "sequence" : 8
20037.             }, {
20038.               "id" : "58efec8ee4b0c390d69a8e8d",
20039.               "name" : "ip_class",
20040.               "type" : "NUMBER",
20041.               "byDefault" : false,
20042.               "sequence" : 9
20043.             }, {
20044.               "id" : "58efec8ee4b0c390d69a8e8e",
20045.               "name" : "seq_number",
20046.               "type" : "NUMBER",
20047.               "byDefault" : false,
20048.               "sequence" : 10
20049.             }, {
20050.               "id" : "58efec8ee4b0c390d69a8e8f",
20051.               "name" : "src_mac",
20052.               "type" : "STRING",
20053.               "byDefault" : false,
20054.               "sequence" : 11
20055.             }, {
20056.               "id" : "58efec8ee4b0c390d69a8e90",
20057.               "name" : "dst_mac",
20058.               "type" : "STRING",
20059.               "byDefault" : false,
20060.               "sequence" : 12
20061.             }, {
20062.               "id" : "58efec8ee4b0c390d69a8e91",
20063.               "name" : "process",
20064.               "type" : "STRING",
20065.               "byDefault" : true,
20066.               "sequence" : 13
20067.             }, {
20068.               "id" : "58efec8ee4b0c390d69a8e92",
20069.               "name" : "process_id",
20070.               "type" : "NUMBER",
20071.               "byDefault" : false,
20072.               "sequence" : 14
20073.             }, {
20074.               "id" : "58efec8ee4b0c390d69a8e93",
20075.               "name" : "md5",
20076.               "type" : "STRING",
20077.               "byDefault" : false,
20078.               "sequence" : 15
20079.             }, {
20080.               "id" : "58efec8ee4b0c390d69a8e94",
20081.               "name" : "sha1",
20082.               "type" : "STRING",
20083.               "byDefault" : false,
20084.               "sequence" : 16
20085.             }, {
20086.               "id" : "58efec8ee4b0c390d69a8e95",
20087.               "name" : "user",
20088.               "type" : "STRING",
20089.               "byDefault" : true,
20090.               "sequence" : 17
20091.             }, {
20092.               "id" : "58efec8ee4b0c390d69a8e96",
20093.               "name" : "user_id",
20094.               "type" : "STRING",
20095.               "byDefault" : false,
20096.               "sequence" : 18
20097.             }, {
20098.               "id" : "5a1a45cbe4b0401274ab7191",
20099.               "name" : "sha256",
20100.               "type" : "STRING",
20101.               "byDefault" : false,
20102.               "sequence" : 19
20103.             } ]
20104.           }
20105.         }, {
20106.           "output" : {
20107.             "id" : "58efec8ee4b0c390d69a8e8d",
20108.             "name" : "ip_class",
20109.             "type" : "NUMBER",
20110.             "byDefault" : false,
20111.             "sequence" : 9
20112.           },
20113.           "operator" : "EQUALS",
20114.           "value" : "0",
20115.           "negated" : false,
20116.           "collector" : {
20117.             "catalogVersion" : 230233,
20118.             "dbVersion" : 2,
20119.             "id" : "58efec8ee4b0c390d69a8e97",
20120.             "name" : "NetworkFlow",
20121.             "description" : "Shows the network flow",
20122.             "type" : "BUILTIN",
20123.             "contents" : [ {
20124.               "platform" : {
20125.                 "catalogVersion" : 230233,
20126.                 "dbVersion" : 2,
20127.                 "id" : "58efec8ee4b0c390d69a8e0f",
20128.                 "name" : "linux",
20129.                 "topic" : "/mcafee/mar/agent/query/linux",
20130.                 "enabled" : true
20131.               },
20132.               "capability" : {
20133.                 "catalogVersion" : 230233,
20134.                 "dbVersion" : 2,
20135.                 "id" : "58efec8ee4b0c390d69a8e1f",
20136.                 "name" : "NetworkFlow",
20137.                 "description" : "Gets flow information",
20138.                 "module" : "NetworkFlow",
20139.                 "function" : "FindFlow",
20140.                 "contentEnabled" : false,
20141.                 "arguments" : [ ],
20142.                 "outputs" : [ ],
20143.                 "formatArgs" : { },
20144.                 "format" : "BIN",
20145.                 "platforms" : [ {
20146.                   "catalogVersion" : 230233,
20147.                   "dbVersion" : 2,
20148.                   "id" : "58efec8ee4b0c390d69a8e0e",
20149.                   "name" : "windows",
20150.                   "topic" : "/mcafee/mar/agent/query/windows",
20151.                   "enabled" : true
20152.                 }, {
20153.                   "catalogVersion" : 230233,
20154.                   "dbVersion" : 2,
20155.                   "id" : "58efec8ee4b0c390d69a8e0f",
20156.                   "name" : "linux",
20157.                   "topic" : "/mcafee/mar/agent/query/linux",
20158.                   "enabled" : true
20159.                 }, {
20160.                   "catalogVersion" : 230233,
20161.                   "dbVersion" : 2,
20162.                   "id" : "5a1a45c9e4b0401274ab7141",
20163.                   "name" : "macos",
20164.                   "topic" : "/mcafee/mar/agent/query/macos",
20165.                   "enabled" : true
20166.                 } ],
20167.                 "platformSettings" : [ {
20168.                   "platform" : {
20169.                     "catalogVersion" : 230233,
20170.                     "dbVersion" : 2,
20171.                     "id" : "58efec8ee4b0c390d69a8e0e",
20172.                     "name" : "windows",
20173.                     "topic" : "/mcafee/mar/agent/query/windows",
20174.                     "enabled" : true
20175.                   },
20176.                   "utf8Sensitive" : false
20177.                 }, {
20178.                   "platform" : {
20179.                     "catalogVersion" : 230233,
20180.                     "dbVersion" : 2,
20181.                     "id" : "58efec8ee4b0c390d69a8e0f",
20182.                     "name" : "linux",
20183.                     "topic" : "/mcafee/mar/agent/query/linux",
20184.                     "enabled" : true
20185.                   },
20186.                   "utf8Sensitive" : false
20187.                 }, {
20188.                   "platform" : {
20189.                     "catalogVersion" : 230233,
20190.                     "dbVersion" : 2,
20191.                     "id" : "5a1a45c9e4b0401274ab7141",
20192.                     "name" : "macos",
20193.                     "topic" : "/mcafee/mar/agent/query/macos",
20194.                     "enabled" : true
20195.                   },
20196.                   "utf8Sensitive" : false
20197.                 } ],
20198.                 "itemType" : "BUILTIN",
20199.                 "catalogItems" : [ "COLLECTOR" ]
20200.               },
20201.               "content" : null,
20202.               "arguments" : [ ],
20203.               "utf8Sensitive" : false
20204.             }, {
20205.               "platform" : {
20206.                 "catalogVersion" : 230233,
20207.                 "dbVersion" : 2,
20208.                 "id" : "58efec8ee4b0c390d69a8e0e",
20209.                 "name" : "windows",
20210.                 "topic" : "/mcafee/mar/agent/query/windows",
20211.                 "enabled" : true
20212.               },
20213.               "capability" : {
20214.                 "catalogVersion" : 230233,
20215.                 "dbVersion" : 2,
20216.                 "id" : "58efec8ee4b0c390d69a8e1f",
20217.                 "name" : "NetworkFlow",
20218.                 "description" : "Gets flow information",
20219.                 "module" : "NetworkFlow",
20220.                 "function" : "FindFlow",
20221.                 "contentEnabled" : false,
20222.                 "arguments" : [ ],
20223.                 "outputs" : [ ],
20224.                 "formatArgs" : { },
20225.                 "format" : "BIN",
20226.                 "platforms" : [ {
20227.                   "catalogVersion" : 230233,
20228.                   "dbVersion" : 2,
20229.                   "id" : "58efec8ee4b0c390d69a8e0e",
20230.                   "name" : "windows",
20231.                   "topic" : "/mcafee/mar/agent/query/windows",
20232.                   "enabled" : true
20233.                 }, {
20234.                   "catalogVersion" : 230233,
20235.                   "dbVersion" : 2,
20236.                   "id" : "58efec8ee4b0c390d69a8e0f",
20237.                   "name" : "linux",
20238.                   "topic" : "/mcafee/mar/agent/query/linux",
20239.                   "enabled" : true
20240.                 }, {
20241.                   "catalogVersion" : 230233,
20242.                   "dbVersion" : 2,
20243.                   "id" : "5a1a45c9e4b0401274ab7141",
20244.                   "name" : "macos",
20245.                   "topic" : "/mcafee/mar/agent/query/macos",
20246.                   "enabled" : true
20247.                 } ],
20248.                 "platformSettings" : [ {
20249.                   "platform" : {
20250.                     "catalogVersion" : 230233,
20251.                     "dbVersion" : 2,
20252.                     "id" : "58efec8ee4b0c390d69a8e0e",
20253.                     "name" : "windows",
20254.                     "topic" : "/mcafee/mar/agent/query/windows",
20255.                     "enabled" : true
20256.                   },
20257.                   "utf8Sensitive" : false
20258.                 }, {
20259.                   "platform" : {
20260.                     "catalogVersion" : 230233,
20261.                     "dbVersion" : 2,
20262.                     "id" : "58efec8ee4b0c390d69a8e0f",
20263.                     "name" : "linux",
20264.                     "topic" : "/mcafee/mar/agent/query/linux",
20265.                     "enabled" : true
20266.                   },
20267.                   "utf8Sensitive" : false
20268.                 }, {
20269.                   "platform" : {
20270.                     "catalogVersion" : 230233,
20271.                     "dbVersion" : 2,
20272.                     "id" : "5a1a45c9e4b0401274ab7141",
20273.                     "name" : "macos",
20274.                     "topic" : "/mcafee/mar/agent/query/macos",
20275.                     "enabled" : true
20276.                   },
20277.                   "utf8Sensitive" : false
20278.                 } ],
20279.                 "itemType" : "BUILTIN",
20280.                 "catalogItems" : [ "COLLECTOR" ]
20281.               },
20282.               "content" : null,
20283.               "arguments" : [ ],
20284.               "utf8Sensitive" : false
20285.             }, {
20286.               "platform" : {
20287.                 "catalogVersion" : 230233,
20288.                 "dbVersion" : 2,
20289.                 "id" : "5a1a45c9e4b0401274ab7141",
20290.                 "name" : "macos",
20291.                 "topic" : "/mcafee/mar/agent/query/macos",
20292.                 "enabled" : true
20293.               },
20294.               "capability" : {
20295.                 "catalogVersion" : 230233,
20296.                 "dbVersion" : 2,
20297.                 "id" : "58efec8ee4b0c390d69a8e1f",
20298.                 "name" : "NetworkFlow",
20299.                 "description" : "Gets flow information",
20300.                 "module" : "NetworkFlow",
20301.                 "function" : "FindFlow",
20302.                 "contentEnabled" : false,
20303.                 "arguments" : [ ],
20304.                 "outputs" : [ ],
20305.                 "formatArgs" : { },
20306.                 "format" : "BIN",
20307.                 "platforms" : [ {
20308.                   "catalogVersion" : 230233,
20309.                   "dbVersion" : 2,
20310.                   "id" : "58efec8ee4b0c390d69a8e0e",
20311.                   "name" : "windows",
20312.                   "topic" : "/mcafee/mar/agent/query/windows",
20313.                   "enabled" : true
20314.                 }, {
20315.                   "catalogVersion" : 230233,
20316.                   "dbVersion" : 2,
20317.                   "id" : "58efec8ee4b0c390d69a8e0f",
20318.                   "name" : "linux",
20319.                   "topic" : "/mcafee/mar/agent/query/linux",
20320.                   "enabled" : true
20321.                 }, {
20322.                   "catalogVersion" : 230233,
20323.                   "dbVersion" : 2,
20324.                   "id" : "5a1a45c9e4b0401274ab7141",
20325.                   "name" : "macos",
20326.                   "topic" : "/mcafee/mar/agent/query/macos",
20327.                   "enabled" : true
20328.                 } ],
20329.                 "platformSettings" : [ {
20330.                   "platform" : {
20331.                     "catalogVersion" : 230233,
20332.                     "dbVersion" : 2,
20333.                     "id" : "58efec8ee4b0c390d69a8e0e",
20334.                     "name" : "windows",
20335.                     "topic" : "/mcafee/mar/agent/query/windows",
20336.                     "enabled" : true
20337.                   },
20338.                   "utf8Sensitive" : false
20339.                 }, {
20340.                   "platform" : {
20341.                     "catalogVersion" : 230233,
20342.                     "dbVersion" : 2,
20343.                     "id" : "58efec8ee4b0c390d69a8e0f",
20344.                     "name" : "linux",
20345.                     "topic" : "/mcafee/mar/agent/query/linux",
20346.                     "enabled" : true
20347.                   },
20348.                   "utf8Sensitive" : false
20349.                 }, {
20350.                   "platform" : {
20351.                     "catalogVersion" : 230233,
20352.                     "dbVersion" : 2,
20353.                     "id" : "5a1a45c9e4b0401274ab7141",
20354.                     "name" : "macos",
20355.                     "topic" : "/mcafee/mar/agent/query/macos",
20356.                     "enabled" : true
20357.                   },
20358.                   "utf8Sensitive" : false
20359.                 } ],
20360.                 "itemType" : "BUILTIN",
20361.                 "catalogItems" : [ "COLLECTOR" ]
20362.               },
20363.               "content" : null,
20364.               "arguments" : [ ],
20365.               "utf8Sensitive" : false
20366.             } ],
20367.             "timeout" : 60,
20368.             "outputs" : [ {
20369.               "id" : "58efec8ee4b0c390d69a8e85",
20370.               "name" : "time",
20371.               "type" : "DATE",
20372.               "byDefault" : true,
20373.               "sequence" : 1
20374.             }, {
20375.               "id" : "58efec8ee4b0c390d69a8e86",
20376.               "name" : "direction",
20377.               "type" : "STRING",
20378.               "byDefault" : true,
20379.               "sequence" : 2
20380.             }, {
20381.               "id" : "58efec8ee4b0c390d69a8e87",
20382.               "name" : "src_ip",
20383.               "type" : "IPV4IPV6",
20384.               "byDefault" : true,
20385.               "sequence" : 3
20386.             }, {
20387.               "id" : "58efec8ee4b0c390d69a8e88",
20388.               "name" : "src_port",
20389.               "type" : "NUMBER",
20390.               "byDefault" : true,
20391.               "sequence" : 4
20392.             }, {
20393.               "id" : "58efec8ee4b0c390d69a8e89",
20394.               "name" : "dst_ip",
20395.               "type" : "IPV4IPV6",
20396.               "byDefault" : true,
20397.               "sequence" : 5
20398.             }, {
20399.               "id" : "58efec8ee4b0c390d69a8e8a",
20400.               "name" : "dst_port",
20401.               "type" : "NUMBER",
20402.               "byDefault" : true,
20403.               "sequence" : 6
20404.             }, {
20405.               "id" : "58efec8ee4b0c390d69a8e8b",
20406.               "name" : "status",
20407.               "type" : "STRING",
20408.               "byDefault" : true,
20409.               "sequence" : 7
20410.             }, {
20411.               "id" : "58efec8ee4b0c390d69a8e8c",
20412.               "name" : "proto",
20413.               "type" : "STRING",
20414.               "byDefault" : true,
20415.               "sequence" : 8
20416.             }, {
20417.               "id" : "58efec8ee4b0c390d69a8e8d",
20418.               "name" : "ip_class",
20419.               "type" : "NUMBER",
20420.               "byDefault" : false,
20421.               "sequence" : 9
20422.             }, {
20423.               "id" : "58efec8ee4b0c390d69a8e8e",
20424.               "name" : "seq_number",
20425.               "type" : "NUMBER",
20426.               "byDefault" : false,
20427.               "sequence" : 10
20428.             }, {
20429.               "id" : "58efec8ee4b0c390d69a8e8f",
20430.               "name" : "src_mac",
20431.               "type" : "STRING",
20432.               "byDefault" : false,
20433.               "sequence" : 11
20434.             }, {
20435.               "id" : "58efec8ee4b0c390d69a8e90",
20436.               "name" : "dst_mac",
20437.               "type" : "STRING",
20438.               "byDefault" : false,
20439.               "sequence" : 12
20440.             }, {
20441.               "id" : "58efec8ee4b0c390d69a8e91",
20442.               "name" : "process",
20443.               "type" : "STRING",
20444.               "byDefault" : true,
20445.               "sequence" : 13
20446.             }, {
20447.               "id" : "58efec8ee4b0c390d69a8e92",
20448.               "name" : "process_id",
20449.               "type" : "NUMBER",
20450.               "byDefault" : false,
20451.               "sequence" : 14
20452.             }, {
20453.               "id" : "58efec8ee4b0c390d69a8e93",
20454.               "name" : "md5",
20455.               "type" : "STRING",
20456.               "byDefault" : false,
20457.               "sequence" : 15
20458.             }, {
20459.               "id" : "58efec8ee4b0c390d69a8e94",
20460.               "name" : "sha1",
20461.               "type" : "STRING",
20462.               "byDefault" : false,
20463.               "sequence" : 16
20464.             }, {
20465.               "id" : "58efec8ee4b0c390d69a8e95",
20466.               "name" : "user",
20467.               "type" : "STRING",
20468.               "byDefault" : true,
20469.               "sequence" : 17
20470.             }, {
20471.               "id" : "58efec8ee4b0c390d69a8e96",
20472.               "name" : "user_id",
20473.               "type" : "STRING",
20474.               "byDefault" : false,
20475.               "sequence" : 18
20476.             }, {
20477.               "id" : "5a1a45cbe4b0401274ab7191",
20478.               "name" : "sha256",
20479.               "type" : "STRING",
20480.               "byDefault" : false,
20481.               "sequence" : 19
20482.             } ]
20483.           }
20484.         }, {
20485.           "output" : {
20486.             "id" : "58efec8ee4b0c390d69a8e89",
20487.             "name" : "dst_ip",
20488.             "type" : "IPV4IPV6",
20489.             "byDefault" : true,
20490.             "sequence" : 5
20491.           },
20492.           "operator" : "CONTAINS",
20493.           "value" : "10.0.0.0/24",
20494.           "negated" : true,
20495.           "collector" : {
20496.             "catalogVersion" : 230233,
20497.             "dbVersion" : 2,
20498.             "id" : "58efec8ee4b0c390d69a8e97",
20499.             "name" : "NetworkFlow",
20500.             "description" : "Shows the network flow",
20501.             "type" : "BUILTIN",
20502.             "contents" : [ {
20503.               "platform" : {
20504.                 "catalogVersion" : 230233,
20505.                 "dbVersion" : 2,
20506.                 "id" : "58efec8ee4b0c390d69a8e0f",
20507.                 "name" : "linux",
20508.                 "topic" : "/mcafee/mar/agent/query/linux",
20509.                 "enabled" : true
20510.               },
20511.               "capability" : {
20512.                 "catalogVersion" : 230233,
20513.                 "dbVersion" : 2,
20514.                 "id" : "58efec8ee4b0c390d69a8e1f",
20515.                 "name" : "NetworkFlow",
20516.                 "description" : "Gets flow information",
20517.                 "module" : "NetworkFlow",
20518.                 "function" : "FindFlow",
20519.                 "contentEnabled" : false,
20520.                 "arguments" : [ ],
20521.                 "outputs" : [ ],
20522.                 "formatArgs" : { },
20523.                 "format" : "BIN",
20524.                 "platforms" : [ {
20525.                   "catalogVersion" : 230233,
20526.                   "dbVersion" : 2,
20527.                   "id" : "58efec8ee4b0c390d69a8e0e",
20528.                   "name" : "windows",
20529.                   "topic" : "/mcafee/mar/agent/query/windows",
20530.                   "enabled" : true
20531.                 }, {
20532.                   "catalogVersion" : 230233,
20533.                   "dbVersion" : 2,
20534.                   "id" : "58efec8ee4b0c390d69a8e0f",
20535.                   "name" : "linux",
20536.                   "topic" : "/mcafee/mar/agent/query/linux",
20537.                   "enabled" : true
20538.                 }, {
20539.                   "catalogVersion" : 230233,
20540.                   "dbVersion" : 2,
20541.                   "id" : "5a1a45c9e4b0401274ab7141",
20542.                   "name" : "macos",
20543.                   "topic" : "/mcafee/mar/agent/query/macos",
20544.                   "enabled" : true
20545.                 } ],
20546.                 "platformSettings" : [ {
20547.                   "platform" : {
20548.                     "catalogVersion" : 230233,
20549.                     "dbVersion" : 2,
20550.                     "id" : "58efec8ee4b0c390d69a8e0e",
20551.                     "name" : "windows",
20552.                     "topic" : "/mcafee/mar/agent/query/windows",
20553.                     "enabled" : true
20554.                   },
20555.                   "utf8Sensitive" : false
20556.                 }, {
20557.                   "platform" : {
20558.                     "catalogVersion" : 230233,
20559.                     "dbVersion" : 2,
20560.                     "id" : "58efec8ee4b0c390d69a8e0f",
20561.                     "name" : "linux",
20562.                     "topic" : "/mcafee/mar/agent/query/linux",
20563.                     "enabled" : true
20564.                   },
20565.                   "utf8Sensitive" : false
20566.                 }, {
20567.                   "platform" : {
20568.                     "catalogVersion" : 230233,
20569.                     "dbVersion" : 2,
20570.                     "id" : "5a1a45c9e4b0401274ab7141",
20571.                     "name" : "macos",
20572.                     "topic" : "/mcafee/mar/agent/query/macos",
20573.                     "enabled" : true
20574.                   },
20575.                   "utf8Sensitive" : false
20576.                 } ],
20577.                 "itemType" : "BUILTIN",
20578.                 "catalogItems" : [ "COLLECTOR" ]
20579.               },
20580.               "content" : null,
20581.               "arguments" : [ ],
20582.               "utf8Sensitive" : false
20583.             }, {
20584.               "platform" : {
20585.                 "catalogVersion" : 230233,
20586.                 "dbVersion" : 2,
20587.                 "id" : "58efec8ee4b0c390d69a8e0e",
20588.                 "name" : "windows",
20589.                 "topic" : "/mcafee/mar/agent/query/windows",
20590.                 "enabled" : true
20591.               },
20592.               "capability" : {
20593.                 "catalogVersion" : 230233,
20594.                 "dbVersion" : 2,
20595.                 "id" : "58efec8ee4b0c390d69a8e1f",
20596.                 "name" : "NetworkFlow",
20597.                 "description" : "Gets flow information",
20598.                 "module" : "NetworkFlow",
20599.                 "function" : "FindFlow",
20600.                 "contentEnabled" : false,
20601.                 "arguments" : [ ],
20602.                 "outputs" : [ ],
20603.                 "formatArgs" : { },
20604.                 "format" : "BIN",
20605.                 "platforms" : [ {
20606.                   "catalogVersion" : 230233,
20607.                   "dbVersion" : 2,
20608.                   "id" : "58efec8ee4b0c390d69a8e0e",
20609.                   "name" : "windows",
20610.                   "topic" : "/mcafee/mar/agent/query/windows",
20611.                   "enabled" : true
20612.                 }, {
20613.                   "catalogVersion" : 230233,
20614.                   "dbVersion" : 2,
20615.                   "id" : "58efec8ee4b0c390d69a8e0f",
20616.                   "name" : "linux",
20617.                   "topic" : "/mcafee/mar/agent/query/linux",
20618.                   "enabled" : true
20619.                 }, {
20620.                   "catalogVersion" : 230233,
20621.                   "dbVersion" : 2,
20622.                   "id" : "5a1a45c9e4b0401274ab7141",
20623.                   "name" : "macos",
20624.                   "topic" : "/mcafee/mar/agent/query/macos",
20625.                   "enabled" : true
20626.                 } ],
20627.                 "platformSettings" : [ {
20628.                   "platform" : {
20629.                     "catalogVersion" : 230233,
20630.                     "dbVersion" : 2,
20631.                     "id" : "58efec8ee4b0c390d69a8e0e",
20632.                     "name" : "windows",
20633.                     "topic" : "/mcafee/mar/agent/query/windows",
20634.                     "enabled" : true
20635.                   },
20636.                   "utf8Sensitive" : false
20637.                 }, {
20638.                   "platform" : {
20639.                     "catalogVersion" : 230233,
20640.                     "dbVersion" : 2,
20641.                     "id" : "58efec8ee4b0c390d69a8e0f",
20642.                     "name" : "linux",
20643.                     "topic" : "/mcafee/mar/agent/query/linux",
20644.                     "enabled" : true
20645.                   },
20646.                   "utf8Sensitive" : false
20647.                 }, {
20648.                   "platform" : {
20649.                     "catalogVersion" : 230233,
20650.                     "dbVersion" : 2,
20651.                     "id" : "5a1a45c9e4b0401274ab7141",
20652.                     "name" : "macos",
20653.                     "topic" : "/mcafee/mar/agent/query/macos",
20654.                     "enabled" : true
20655.                   },
20656.                   "utf8Sensitive" : false
20657.                 } ],
20658.                 "itemType" : "BUILTIN",
20659.                 "catalogItems" : [ "COLLECTOR" ]
20660.               },
20661.               "content" : null,
20662.               "arguments" : [ ],
20663.               "utf8Sensitive" : false
20664.             }, {
20665.               "platform" : {
20666.                 "catalogVersion" : 230233,
20667.                 "dbVersion" : 2,
20668.                 "id" : "5a1a45c9e4b0401274ab7141",
20669.                 "name" : "macos",
20670.                 "topic" : "/mcafee/mar/agent/query/macos",
20671.                 "enabled" : true
20672.               },
20673.               "capability" : {
20674.                 "catalogVersion" : 230233,
20675.                 "dbVersion" : 2,
20676.                 "id" : "58efec8ee4b0c390d69a8e1f",
20677.                 "name" : "NetworkFlow",
20678.                 "description" : "Gets flow information",
20679.                 "module" : "NetworkFlow",
20680.                 "function" : "FindFlow",
20681.                 "contentEnabled" : false,
20682.                 "arguments" : [ ],
20683.                 "outputs" : [ ],
20684.                 "formatArgs" : { },
20685.                 "format" : "BIN",
20686.                 "platforms" : [ {
20687.                   "catalogVersion" : 230233,
20688.                   "dbVersion" : 2,
20689.                   "id" : "58efec8ee4b0c390d69a8e0e",
20690.                   "name" : "windows",
20691.                   "topic" : "/mcafee/mar/agent/query/windows",
20692.                   "enabled" : true
20693.                 }, {
20694.                   "catalogVersion" : 230233,
20695.                   "dbVersion" : 2,
20696.                   "id" : "58efec8ee4b0c390d69a8e0f",
20697.                   "name" : "linux",
20698.                   "topic" : "/mcafee/mar/agent/query/linux",
20699.                   "enabled" : true
20700.                 }, {
20701.                   "catalogVersion" : 230233,
20702.                   "dbVersion" : 2,
20703.                   "id" : "5a1a45c9e4b0401274ab7141",
20704.                   "name" : "macos",
20705.                   "topic" : "/mcafee/mar/agent/query/macos",
20706.                   "enabled" : true
20707.                 } ],
20708.                 "platformSettings" : [ {
20709.                   "platform" : {
20710.                     "catalogVersion" : 230233,
20711.                     "dbVersion" : 2,
20712.                     "id" : "58efec8ee4b0c390d69a8e0e",
20713.                     "name" : "windows",
20714.                     "topic" : "/mcafee/mar/agent/query/windows",
20715.                     "enabled" : true
20716.                   },
20717.                   "utf8Sensitive" : false
20718.                 }, {
20719.                   "platform" : {
20720.                     "catalogVersion" : 230233,
20721.                     "dbVersion" : 2,
20722.                     "id" : "58efec8ee4b0c390d69a8e0f",
20723.                     "name" : "linux",
20724.                     "topic" : "/mcafee/mar/agent/query/linux",
20725.                     "enabled" : true
20726.                   },
20727.                   "utf8Sensitive" : false
20728.                 }, {
20729.                   "platform" : {
20730.                     "catalogVersion" : 230233,
20731.                     "dbVersion" : 2,
20732.                     "id" : "5a1a45c9e4b0401274ab7141",
20733.                     "name" : "macos",
20734.                     "topic" : "/mcafee/mar/agent/query/macos",
20735.                     "enabled" : true
20736.                   },
20737.                   "utf8Sensitive" : false
20738.                 } ],
20739.                 "itemType" : "BUILTIN",
20740.                 "catalogItems" : [ "COLLECTOR" ]
20741.               },
20742.               "content" : null,
20743.               "arguments" : [ ],
20744.               "utf8Sensitive" : false
20745.             } ],
20746.             "timeout" : 60,
20747.             "outputs" : [ {
20748.               "id" : "58efec8ee4b0c390d69a8e85",
20749.               "name" : "time",
20750.               "type" : "DATE",
20751.               "byDefault" : true,
20752.               "sequence" : 1
20753.             }, {
20754.               "id" : "58efec8ee4b0c390d69a8e86",
20755.               "name" : "direction",
20756.               "type" : "STRING",
20757.               "byDefault" : true,
20758.               "sequence" : 2
20759.             }, {
20760.               "id" : "58efec8ee4b0c390d69a8e87",
20761.               "name" : "src_ip",
20762.               "type" : "IPV4IPV6",
20763.               "byDefault" : true,
20764.               "sequence" : 3
20765.             }, {
20766.               "id" : "58efec8ee4b0c390d69a8e88",
20767.               "name" : "src_port",
20768.               "type" : "NUMBER",
20769.               "byDefault" : true,
20770.               "sequence" : 4
20771.             }, {
20772.               "id" : "58efec8ee4b0c390d69a8e89",
20773.               "name" : "dst_ip",
20774.               "type" : "IPV4IPV6",
20775.               "byDefault" : true,
20776.               "sequence" : 5
20777.             }, {
20778.               "id" : "58efec8ee4b0c390d69a8e8a",
20779.               "name" : "dst_port",
20780.               "type" : "NUMBER",
20781.               "byDefault" : true,
20782.               "sequence" : 6
20783.             }, {
20784.               "id" : "58efec8ee4b0c390d69a8e8b",
20785.               "name" : "status",
20786.               "type" : "STRING",
20787.               "byDefault" : true,
20788.               "sequence" : 7
20789.             }, {
20790.               "id" : "58efec8ee4b0c390d69a8e8c",
20791.               "name" : "proto",
20792.               "type" : "STRING",
20793.               "byDefault" : true,
20794.               "sequence" : 8
20795.             }, {
20796.               "id" : "58efec8ee4b0c390d69a8e8d",
20797.               "name" : "ip_class",
20798.               "type" : "NUMBER",
20799.               "byDefault" : false,
20800.               "sequence" : 9
20801.             }, {
20802.               "id" : "58efec8ee4b0c390d69a8e8e",
20803.               "name" : "seq_number",
20804.               "type" : "NUMBER",
20805.               "byDefault" : false,
20806.               "sequence" : 10
20807.             }, {
20808.               "id" : "58efec8ee4b0c390d69a8e8f",
20809.               "name" : "src_mac",
20810.               "type" : "STRING",
20811.               "byDefault" : false,
20812.               "sequence" : 11
20813.             }, {
20814.               "id" : "58efec8ee4b0c390d69a8e90",
20815.               "name" : "dst_mac",
20816.               "type" : "STRING",
20817.               "byDefault" : false,
20818.               "sequence" : 12
20819.             }, {
20820.               "id" : "58efec8ee4b0c390d69a8e91",
20821.               "name" : "process",
20822.               "type" : "STRING",
20823.               "byDefault" : true,
20824.               "sequence" : 13
20825.             }, {
20826.               "id" : "58efec8ee4b0c390d69a8e92",
20827.               "name" : "process_id",
20828.               "type" : "NUMBER",
20829.               "byDefault" : false,
20830.               "sequence" : 14
20831.             }, {
20832.               "id" : "58efec8ee4b0c390d69a8e93",
20833.               "name" : "md5",
20834.               "type" : "STRING",
20835.               "byDefault" : false,
20836.               "sequence" : 15
20837.             }, {
20838.               "id" : "58efec8ee4b0c390d69a8e94",
20839.               "name" : "sha1",
20840.               "type" : "STRING",
20841.               "byDefault" : false,
20842.               "sequence" : 16
20843.             }, {
20844.               "id" : "58efec8ee4b0c390d69a8e95",
20845.               "name" : "user",
20846.               "type" : "STRING",
20847.               "byDefault" : true,
20848.               "sequence" : 17
20849.             }, {
20850.               "id" : "58efec8ee4b0c390d69a8e96",
20851.               "name" : "user_id",
20852.               "type" : "STRING",
20853.               "byDefault" : false,
20854.               "sequence" : 18
20855.             }, {
20856.               "id" : "5a1a45cbe4b0401274ab7191",
20857.               "name" : "sha256",
20858.               "type" : "STRING",
20859.               "byDefault" : false,
20860.               "sequence" : 19
20861.             } ]
20862.           }
20863.         } ]
20864.       } ]
20865.     },
20866.     "running" : false,
20867.     "createdAt" : 1530900630369,
20868.     "executedAt" : null,
20869.     "status" : "CREATED",
20870.     "ttl" : 60000,
20871.     "startTime" : null,
20872.     "endpointPermission" : null,
20873.     "maGuidsTarget" : null,
20874.     "expectedHostResponses" : 0
20875.   },
20876.   "type" : "com.intel.mar.model.search.Search"
20877. }, {
20878.   "item" : {
20879.     "catalogVersion" : 1,
20880.     "dbVersion" : 2,
20881.     "id" : "5b3fb096e4b0cbe06dd67324",
20882.     "name" : "UNUSUAL BEHAVIOR - Files created and deleted same day",
20883.     "description" : "**Change dates!\nThough not always and indicator of wrongdoing, potentially evidence of evasion",
20884.     "type" : null,
20885.     "expression" : "Files full_name, created_at, deleted_at where Files created_at after \"2015-10-11\" and Files deleted_at after \"2015-10-11\" ",
20886.     "temporal" : false,
20887.     "invalid" : false,
20888.     "aggregated" : true,
20889.     "projections" : [ {
20890.       "collector" : {
20891.         "catalogVersion" : 230233,
20892.         "dbVersion" : 2,
20893.         "id" : "58efec8ee4b0c390d69a8e84",
20894.         "name" : "Files",
20895.         "description" : "Shows the existing files",
20896.         "type" : "BUILTIN",
20897.         "contents" : [ {
20898.           "platform" : {
20899.             "catalogVersion" : 230233,
20900.             "dbVersion" : 2,
20901.             "id" : "58efec8ee4b0c390d69a8e0f",
20902.             "name" : "linux",
20903.             "topic" : "/mcafee/mar/agent/query/linux",
20904.             "enabled" : true
20905.           },
20906.           "capability" : {
20907.             "catalogVersion" : 230233,
20908.             "dbVersion" : 2,
20909.             "id" : "58efec8ee4b0c390d69a8e15",
20910.             "name" : "Files",
20911.             "description" : "Gets the list of files",
20912.             "module" : "FileHashing",
20913.             "function" : "FindFiles",
20914.             "contentEnabled" : false,
20915.             "arguments" : [ ],
20916.             "outputs" : [ ],
20917.             "formatArgs" : { },
20918.             "format" : "BIN",
20919.             "platforms" : [ {
20920.               "catalogVersion" : 230233,
20921.               "dbVersion" : 2,
20922.               "id" : "58efec8ee4b0c390d69a8e0e",
20923.               "name" : "windows",
20924.               "topic" : "/mcafee/mar/agent/query/windows",
20925.               "enabled" : true
20926.             }, {
20927.               "catalogVersion" : 230233,
20928.               "dbVersion" : 2,
20929.               "id" : "58efec8ee4b0c390d69a8e0f",
20930.               "name" : "linux",
20931.               "topic" : "/mcafee/mar/agent/query/linux",
20932.               "enabled" : true
20933.             }, {
20934.               "catalogVersion" : 230233,
20935.               "dbVersion" : 2,
20936.               "id" : "5a1a45c9e4b0401274ab7141",
20937.               "name" : "macos",
20938.               "topic" : "/mcafee/mar/agent/query/macos",
20939.               "enabled" : true
20940.             } ],
20941.             "platformSettings" : [ {
20942.               "platform" : {
20943.                 "catalogVersion" : 230233,
20944.                 "dbVersion" : 2,
20945.                 "id" : "58efec8ee4b0c390d69a8e0e",
20946.                 "name" : "windows",
20947.                 "topic" : "/mcafee/mar/agent/query/windows",
20948.                 "enabled" : true
20949.               },
20950.               "utf8Sensitive" : false
20951.             }, {
20952.               "platform" : {
20953.                 "catalogVersion" : 230233,
20954.                 "dbVersion" : 2,
20955.                 "id" : "58efec8ee4b0c390d69a8e0f",
20956.                 "name" : "linux",
20957.                 "topic" : "/mcafee/mar/agent/query/linux",
20958.                 "enabled" : true
20959.               },
20960.               "utf8Sensitive" : false
20961.             }, {
20962.               "platform" : {
20963.                 "catalogVersion" : 230233,
20964.                 "dbVersion" : 2,
20965.                 "id" : "5a1a45c9e4b0401274ab7141",
20966.                 "name" : "macos",
20967.                 "topic" : "/mcafee/mar/agent/query/macos",
20968.                 "enabled" : true
20969.               },
20970.               "utf8Sensitive" : false
20971.             } ],
20972.             "itemType" : "BUILTIN",
20973.             "catalogItems" : [ "COLLECTOR" ]
20974.           },
20975.           "content" : null,
20976.           "arguments" : [ ],
20977.           "utf8Sensitive" : false
20978.         }, {
20979.           "platform" : {
20980.             "catalogVersion" : 230233,
20981.             "dbVersion" : 2,
20982.             "id" : "58efec8ee4b0c390d69a8e0e",
20983.             "name" : "windows",
20984.             "topic" : "/mcafee/mar/agent/query/windows",
20985.             "enabled" : true
20986.           },
20987.           "capability" : {
20988.             "catalogVersion" : 230233,
20989.             "dbVersion" : 2,
20990.             "id" : "58efec8ee4b0c390d69a8e15",
20991.             "name" : "Files",
20992.             "description" : "Gets the list of files",
20993.             "module" : "FileHashing",
20994.             "function" : "FindFiles",
20995.             "contentEnabled" : false,
20996.             "arguments" : [ ],
20997.             "outputs" : [ ],
20998.             "formatArgs" : { },
20999.             "format" : "BIN",
21000.             "platforms" : [ {
21001.               "catalogVersion" : 230233,
21002.               "dbVersion" : 2,
21003.               "id" : "58efec8ee4b0c390d69a8e0e",
21004.               "name" : "windows",
21005.               "topic" : "/mcafee/mar/agent/query/windows",
21006.               "enabled" : true
21007.             }, {
21008.               "catalogVersion" : 230233,
21009.               "dbVersion" : 2,
21010.               "id" : "58efec8ee4b0c390d69a8e0f",
21011.               "name" : "linux",
21012.               "topic" : "/mcafee/mar/agent/query/linux",
21013.               "enabled" : true
21014.             }, {
21015.               "catalogVersion" : 230233,
21016.               "dbVersion" : 2,
21017.               "id" : "5a1a45c9e4b0401274ab7141",
21018.               "name" : "macos",
21019.               "topic" : "/mcafee/mar/agent/query/macos",
21020.               "enabled" : true
21021.             } ],
21022.             "platformSettings" : [ {
21023.               "platform" : {
21024.                 "catalogVersion" : 230233,
21025.                 "dbVersion" : 2,
21026.                 "id" : "58efec8ee4b0c390d69a8e0e",
21027.                 "name" : "windows",
21028.                 "topic" : "/mcafee/mar/agent/query/windows",
21029.                 "enabled" : true
21030.               },
21031.               "utf8Sensitive" : false
21032.             }, {
21033.               "platform" : {
21034.                 "catalogVersion" : 230233,
21035.                 "dbVersion" : 2,
21036.                 "id" : "58efec8ee4b0c390d69a8e0f",
21037.                 "name" : "linux",
21038.                 "topic" : "/mcafee/mar/agent/query/linux",
21039.                 "enabled" : true
21040.               },
21041.               "utf8Sensitive" : false
21042.             }, {
21043.               "platform" : {
21044.                 "catalogVersion" : 230233,
21045.                 "dbVersion" : 2,
21046.                 "id" : "5a1a45c9e4b0401274ab7141",
21047.                 "name" : "macos",
21048.                 "topic" : "/mcafee/mar/agent/query/macos",
21049.                 "enabled" : true
21050.               },
21051.               "utf8Sensitive" : false
21052.             } ],
21053.             "itemType" : "BUILTIN",
21054.             "catalogItems" : [ "COLLECTOR" ]
21055.           },
21056.           "content" : null,
21057.           "arguments" : [ ],
21058.           "utf8Sensitive" : false
21059.         }, {
21060.           "platform" : {
21061.             "catalogVersion" : 230233,
21062.             "dbVersion" : 2,
21063.             "id" : "5a1a45c9e4b0401274ab7141",
21064.             "name" : "macos",
21065.             "topic" : "/mcafee/mar/agent/query/macos",
21066.             "enabled" : true
21067.           },
21068.           "capability" : {
21069.             "catalogVersion" : 230233,
21070.             "dbVersion" : 2,
21071.             "id" : "58efec8ee4b0c390d69a8e15",
21072.             "name" : "Files",
21073.             "description" : "Gets the list of files",
21074.             "module" : "FileHashing",
21075.             "function" : "FindFiles",
21076.             "contentEnabled" : false,
21077.             "arguments" : [ ],
21078.             "outputs" : [ ],
21079.             "formatArgs" : { },
21080.             "format" : "BIN",
21081.             "platforms" : [ {
21082.               "catalogVersion" : 230233,
21083.               "dbVersion" : 2,
21084.               "id" : "58efec8ee4b0c390d69a8e0e",
21085.               "name" : "windows",
21086.               "topic" : "/mcafee/mar/agent/query/windows",
21087.               "enabled" : true
21088.             }, {
21089.               "catalogVersion" : 230233,
21090.               "dbVersion" : 2,
21091.               "id" : "58efec8ee4b0c390d69a8e0f",
21092.               "name" : "linux",
21093.               "topic" : "/mcafee/mar/agent/query/linux",
21094.               "enabled" : true
21095.             }, {
21096.               "catalogVersion" : 230233,
21097.               "dbVersion" : 2,
21098.               "id" : "5a1a45c9e4b0401274ab7141",
21099.               "name" : "macos",
21100.               "topic" : "/mcafee/mar/agent/query/macos",
21101.               "enabled" : true
21102.             } ],
21103.             "platformSettings" : [ {
21104.               "platform" : {
21105.                 "catalogVersion" : 230233,
21106.                 "dbVersion" : 2,
21107.                 "id" : "58efec8ee4b0c390d69a8e0e",
21108.                 "name" : "windows",
21109.                 "topic" : "/mcafee/mar/agent/query/windows",
21110.                 "enabled" : true
21111.               },
21112.               "utf8Sensitive" : false
21113.             }, {
21114.               "platform" : {
21115.                 "catalogVersion" : 230233,
21116.                 "dbVersion" : 2,
21117.                 "id" : "58efec8ee4b0c390d69a8e0f",
21118.                 "name" : "linux",
21119.                 "topic" : "/mcafee/mar/agent/query/linux",
21120.                 "enabled" : true
21121.               },
21122.               "utf8Sensitive" : false
21123.             }, {
21124.               "platform" : {
21125.                 "catalogVersion" : 230233,
21126.                 "dbVersion" : 2,
21127.                 "id" : "5a1a45c9e4b0401274ab7141",
21128.                 "name" : "macos",
21129.                 "topic" : "/mcafee/mar/agent/query/macos",
21130.                 "enabled" : true
21131.               },
21132.               "utf8Sensitive" : false
21133.             } ],
21134.             "itemType" : "BUILTIN",
21135.             "catalogItems" : [ "COLLECTOR" ]
21136.           },
21137.           "content" : null,
21138.           "arguments" : [ ],
21139.           "utf8Sensitive" : false
21140.         } ],
21141.         "timeout" : 60,
21142.         "outputs" : [ {
21143.           "id" : "58efec8ee4b0c390d69a8e7a",
21144.           "name" : "name",
21145.           "type" : "STRING",
21146.           "byDefault" : true,
21147.           "sequence" : 1
21148.         }, {
21149.           "id" : "58efec8ee4b0c390d69a8e7b",
21150.           "name" : "dir",
21151.           "type" : "STRING",
21152.           "byDefault" : false,
21153.           "sequence" : 2
21154.         }, {
21155.           "id" : "58efec8ee4b0c390d69a8e7c",
21156.           "name" : "full_name",
21157.           "type" : "STRING",
21158.           "byDefault" : false,
21159.           "sequence" : 3
21160.         }, {
21161.           "id" : "58efec8ee4b0c390d69a8e7d",
21162.           "name" : "size",
21163.           "type" : "NUMBER",
21164.           "byDefault" : false,
21165.           "sequence" : 4
21166.         }, {
21167.           "id" : "58efec8ee4b0c390d69a8e7e",
21168.           "name" : "last_write",
21169.           "type" : "DATE",
21170.           "byDefault" : false,
21171.           "sequence" : 5
21172.         }, {
21173.           "id" : "58efec8ee4b0c390d69a8e7f",
21174.           "name" : "md5",
21175.           "type" : "STRING",
21176.           "byDefault" : true,
21177.           "sequence" : 6
21178.         }, {
21179.           "id" : "58efec8ee4b0c390d69a8e80",
21180.           "name" : "sha1",
21181.           "type" : "STRING",
21182.           "byDefault" : true,
21183.           "sequence" : 7
21184.         }, {
21185.           "id" : "58efec8ee4b0c390d69a8e81",
21186.           "name" : "sha256",
21187.           "type" : "STRING",
21188.           "byDefault" : true,
21189.           "sequence" : 8
21190.         }, {
21191.           "id" : "58efec8ee4b0c390d69a8e82",
21192.           "name" : "created_at",
21193.           "type" : "DATE",
21194.           "byDefault" : false,
21195.           "sequence" : 9
21196.         }, {
21197.           "id" : "58efec8ee4b0c390d69a8e83",
21198.           "name" : "deleted_at",
21199.           "type" : "DATE",
21200.           "byDefault" : true,
21201.           "sequence" : 10
21202.         }, {
21203.           "id" : "5b3f9b64e4b0dfaf321a6333",
21204.           "name" : "status",
21205.           "type" : "STRING",
21206.           "byDefault" : true,
21207.           "sequence" : 11
21208.         }, {
21209.           "id" : "5b3f9b64e4b0dfaf321a6334",
21210.           "name" : "create_process_pid",
21211.           "type" : "NUMBER",
21212.           "byDefault" : false,
21213.           "sequence" : 12
21214.         }, {
21215.           "id" : "5b3f9b64e4b0dfaf321a6335",
21216.           "name" : "create_process_sha256",
21217.           "type" : "STRING",
21218.           "byDefault" : false,
21219.           "sequence" : 13
21220.         }, {
21221.           "id" : "5b3f9b64e4b0dfaf321a6336",
21222.           "name" : "create_process_full_path",
21223.           "type" : "STRING",
21224.           "byDefault" : false,
21225.           "sequence" : 14
21226.         }, {
21227.           "id" : "5b3f9b64e4b0dfaf321a6337",
21228.           "name" : "modify_process_pid",
21229.           "type" : "NUMBER",
21230.           "byDefault" : false,
21231.           "sequence" : 15
21232.         }, {
21233.           "id" : "5b3f9b64e4b0dfaf321a6338",
21234.           "name" : "modify_process_sha256",
21235.           "type" : "STRING",
21236.           "byDefault" : false,
21237.           "sequence" : 16
21238.         }, {
21239.           "id" : "5b3f9b64e4b0dfaf321a6339",
21240.           "name" : "modify_process_full_path",
21241.           "type" : "STRING",
21242.           "byDefault" : false,
21243.           "sequence" : 17
21244.         }, {
21245.           "id" : "5b3f9b64e4b0dfaf321a633a",
21246.           "name" : "delete_process_pid",
21247.           "type" : "NUMBER",
21248.           "byDefault" : false,
21249.           "sequence" : 18
21250.         }, {
21251.           "id" : "5b3f9b64e4b0dfaf321a633b",
21252.           "name" : "delete_process_sha256",
21253.           "type" : "STRING",
21254.           "byDefault" : false,
21255.           "sequence" : 19
21256.         }, {
21257.           "id" : "5b3f9b64e4b0dfaf321a633c",
21258.           "name" : "delete_process_full_path",
21259.           "type" : "STRING",
21260.           "byDefault" : false,
21261.           "sequence" : 20
21262.         }, {
21263.           "id" : "5b3f9b64e4b0dfaf321a633d",
21264.           "name" : "create_user_domain",
21265.           "type" : "STRING",
21266.           "byDefault" : false,
21267.           "sequence" : 21
21268.         }, {
21269.           "id" : "5b3f9b64e4b0dfaf321a633e",
21270.           "name" : "create_user_name",
21271.           "type" : "STRING",
21272.           "byDefault" : false,
21273.           "sequence" : 22
21274.         }, {
21275.           "id" : "5b3f9b64e4b0dfaf321a633f",
21276.           "name" : "create_user_id",
21277.           "type" : "STRING",
21278.           "byDefault" : false,
21279.           "sequence" : 23
21280.         }, {
21281.           "id" : "5b3f9b64e4b0dfaf321a6340",
21282.           "name" : "modify_user_domain",
21283.           "type" : "STRING",
21284.           "byDefault" : false,
21285.           "sequence" : 24
21286.         }, {
21287.           "id" : "5b3f9b64e4b0dfaf321a6341",
21288.           "name" : "modify_user_name",
21289.           "type" : "STRING",
21290.           "byDefault" : false,
21291.           "sequence" : 25
21292.         }, {
21293.           "id" : "5b3f9b64e4b0dfaf321a6342",
21294.           "name" : "modify_user_id",
21295.           "type" : "STRING",
21296.           "byDefault" : false,
21297.           "sequence" : 26
21298.         }, {
21299.           "id" : "5b3f9b64e4b0dfaf321a6343",
21300.           "name" : "delete_user_domain",
21301.           "type" : "STRING",
21302.           "byDefault" : false,
21303.           "sequence" : 27
21304.         }, {
21305.           "id" : "5b3f9b64e4b0dfaf321a6344",
21306.           "name" : "delete_user_name",
21307.           "type" : "STRING",
21308.           "byDefault" : false,
21309.           "sequence" : 28
21310.         }, {
21311.           "id" : "5b3f9b64e4b0dfaf321a6345",
21312.           "name" : "delete_user_id",
21313.           "type" : "STRING",
21314.           "byDefault" : false,
21315.           "sequence" : 29
21316.         } ]
21317.       },
21318.       "sequence" : "1",
21319.       "output" : [ {
21320.         "id" : "58efec8ee4b0c390d69a8e7c",
21321.         "name" : "full_name",
21322.         "type" : "STRING",
21323.         "byDefault" : false,
21324.         "sequence" : 3
21325.       }, {
21326.         "id" : "58efec8ee4b0c390d69a8e82",
21327.         "name" : "created_at",
21328.         "type" : "DATE",
21329.         "byDefault" : false,
21330.         "sequence" : 9
21331.       }, {
21332.         "id" : "58efec8ee4b0c390d69a8e83",
21333.         "name" : "deleted_at",
21334.         "type" : "DATE",
21335.         "byDefault" : true,
21336.         "sequence" : 10
21337.       } ]
21338.     } ],
21339.     "disjunction" : {
21340.       "conjunctions" : [ {
21341.         "terms" : [ {
21342.           "output" : {
21343.             "id" : "58efec8ee4b0c390d69a8e82",
21344.             "name" : "created_at",
21345.             "type" : "DATE",
21346.             "byDefault" : false,
21347.             "sequence" : 9
21348.           },
21349.           "operator" : "AFTER",
21350.           "value" : "2015-10-11 00:00:00",
21351.           "negated" : false,
21352.           "collector" : {
21353.             "catalogVersion" : 230233,
21354.             "dbVersion" : 2,
21355.             "id" : "58efec8ee4b0c390d69a8e84",
21356.             "name" : "Files",
21357.             "description" : "Shows the existing files",
21358.             "type" : "BUILTIN",
21359.             "contents" : [ {
21360.               "platform" : {
21361.                 "catalogVersion" : 230233,
21362.                 "dbVersion" : 2,
21363.                 "id" : "58efec8ee4b0c390d69a8e0f",
21364.                 "name" : "linux",
21365.                 "topic" : "/mcafee/mar/agent/query/linux",
21366.                 "enabled" : true
21367.               },
21368.               "capability" : {
21369.                 "catalogVersion" : 230233,
21370.                 "dbVersion" : 2,
21371.                 "id" : "58efec8ee4b0c390d69a8e15",
21372.                 "name" : "Files",
21373.                 "description" : "Gets the list of files",
21374.                 "module" : "FileHashing",
21375.                 "function" : "FindFiles",
21376.                 "contentEnabled" : false,
21377.                 "arguments" : [ ],
21378.                 "outputs" : [ ],
21379.                 "formatArgs" : { },
21380.                 "format" : "BIN",
21381.                 "platforms" : [ {
21382.                   "catalogVersion" : 230233,
21383.                   "dbVersion" : 2,
21384.                   "id" : "58efec8ee4b0c390d69a8e0e",
21385.                   "name" : "windows",
21386.                   "topic" : "/mcafee/mar/agent/query/windows",
21387.                   "enabled" : true
21388.                 }, {
21389.                   "catalogVersion" : 230233,
21390.                   "dbVersion" : 2,
21391.                   "id" : "58efec8ee4b0c390d69a8e0f",
21392.                   "name" : "linux",
21393.                   "topic" : "/mcafee/mar/agent/query/linux",
21394.                   "enabled" : true
21395.                 }, {
21396.                   "catalogVersion" : 230233,
21397.                   "dbVersion" : 2,
21398.                   "id" : "5a1a45c9e4b0401274ab7141",
21399.                   "name" : "macos",
21400.                   "topic" : "/mcafee/mar/agent/query/macos",
21401.                   "enabled" : true
21402.                 } ],
21403.                 "platformSettings" : [ {
21404.                   "platform" : {
21405.                     "catalogVersion" : 230233,
21406.                     "dbVersion" : 2,
21407.                     "id" : "58efec8ee4b0c390d69a8e0e",
21408.                     "name" : "windows",
21409.                     "topic" : "/mcafee/mar/agent/query/windows",
21410.                     "enabled" : true
21411.                   },
21412.                   "utf8Sensitive" : false
21413.                 }, {
21414.                   "platform" : {
21415.                     "catalogVersion" : 230233,
21416.                     "dbVersion" : 2,
21417.                     "id" : "58efec8ee4b0c390d69a8e0f",
21418.                     "name" : "linux",
21419.                     "topic" : "/mcafee/mar/agent/query/linux",
21420.                     "enabled" : true
21421.                   },
21422.                   "utf8Sensitive" : false
21423.                 }, {
21424.                   "platform" : {
21425.                     "catalogVersion" : 230233,
21426.                     "dbVersion" : 2,
21427.                     "id" : "5a1a45c9e4b0401274ab7141",
21428.                     "name" : "macos",
21429.                     "topic" : "/mcafee/mar/agent/query/macos",
21430.                     "enabled" : true
21431.                   },
21432.                   "utf8Sensitive" : false
21433.                 } ],
21434.                 "itemType" : "BUILTIN",
21435.                 "catalogItems" : [ "COLLECTOR" ]
21436.               },
21437.               "content" : null,
21438.               "arguments" : [ ],
21439.               "utf8Sensitive" : false
21440.             }, {
21441.               "platform" : {
21442.                 "catalogVersion" : 230233,
21443.                 "dbVersion" : 2,
21444.                 "id" : "58efec8ee4b0c390d69a8e0e",
21445.                 "name" : "windows",
21446.                 "topic" : "/mcafee/mar/agent/query/windows",
21447.                 "enabled" : true
21448.               },
21449.               "capability" : {
21450.                 "catalogVersion" : 230233,
21451.                 "dbVersion" : 2,
21452.                 "id" : "58efec8ee4b0c390d69a8e15",
21453.                 "name" : "Files",
21454.                 "description" : "Gets the list of files",
21455.                 "module" : "FileHashing",
21456.                 "function" : "FindFiles",
21457.                 "contentEnabled" : false,
21458.                 "arguments" : [ ],
21459.                 "outputs" : [ ],
21460.                 "formatArgs" : { },
21461.                 "format" : "BIN",
21462.                 "platforms" : [ {
21463.                   "catalogVersion" : 230233,
21464.                   "dbVersion" : 2,
21465.                   "id" : "58efec8ee4b0c390d69a8e0e",
21466.                   "name" : "windows",
21467.                   "topic" : "/mcafee/mar/agent/query/windows",
21468.                   "enabled" : true
21469.                 }, {
21470.                   "catalogVersion" : 230233,
21471.                   "dbVersion" : 2,
21472.                   "id" : "58efec8ee4b0c390d69a8e0f",
21473.                   "name" : "linux",
21474.                   "topic" : "/mcafee/mar/agent/query/linux",
21475.                   "enabled" : true
21476.                 }, {
21477.                   "catalogVersion" : 230233,
21478.                   "dbVersion" : 2,
21479.                   "id" : "5a1a45c9e4b0401274ab7141",
21480.                   "name" : "macos",
21481.                   "topic" : "/mcafee/mar/agent/query/macos",
21482.                   "enabled" : true
21483.                 } ],
21484.                 "platformSettings" : [ {
21485.                   "platform" : {
21486.                     "catalogVersion" : 230233,
21487.                     "dbVersion" : 2,
21488.                     "id" : "58efec8ee4b0c390d69a8e0e",
21489.                     "name" : "windows",
21490.                     "topic" : "/mcafee/mar/agent/query/windows",
21491.                     "enabled" : true
21492.                   },
21493.                   "utf8Sensitive" : false
21494.                 }, {
21495.                   "platform" : {
21496.                     "catalogVersion" : 230233,
21497.                     "dbVersion" : 2,
21498.                     "id" : "58efec8ee4b0c390d69a8e0f",
21499.                     "name" : "linux",
21500.                     "topic" : "/mcafee/mar/agent/query/linux",
21501.                     "enabled" : true
21502.                   },
21503.                   "utf8Sensitive" : false
21504.                 }, {
21505.                   "platform" : {
21506.                     "catalogVersion" : 230233,
21507.                     "dbVersion" : 2,
21508.                     "id" : "5a1a45c9e4b0401274ab7141",
21509.                     "name" : "macos",
21510.                     "topic" : "/mcafee/mar/agent/query/macos",
21511.                     "enabled" : true
21512.                   },
21513.                   "utf8Sensitive" : false
21514.                 } ],
21515.                 "itemType" : "BUILTIN",
21516.                 "catalogItems" : [ "COLLECTOR" ]
21517.               },
21518.               "content" : null,
21519.               "arguments" : [ ],
21520.               "utf8Sensitive" : false
21521.             }, {
21522.               "platform" : {
21523.                 "catalogVersion" : 230233,
21524.                 "dbVersion" : 2,
21525.                 "id" : "5a1a45c9e4b0401274ab7141",
21526.                 "name" : "macos",
21527.                 "topic" : "/mcafee/mar/agent/query/macos",
21528.                 "enabled" : true
21529.               },
21530.               "capability" : {
21531.                 "catalogVersion" : 230233,
21532.                 "dbVersion" : 2,
21533.                 "id" : "58efec8ee4b0c390d69a8e15",
21534.                 "name" : "Files",
21535.                 "description" : "Gets the list of files",
21536.                 "module" : "FileHashing",
21537.                 "function" : "FindFiles",
21538.                 "contentEnabled" : false,
21539.                 "arguments" : [ ],
21540.                 "outputs" : [ ],
21541.                 "formatArgs" : { },
21542.                 "format" : "BIN",
21543.                 "platforms" : [ {
21544.                   "catalogVersion" : 230233,
21545.                   "dbVersion" : 2,
21546.                   "id" : "58efec8ee4b0c390d69a8e0e",
21547.                   "name" : "windows",
21548.                   "topic" : "/mcafee/mar/agent/query/windows",
21549.                   "enabled" : true
21550.                 }, {
21551.                   "catalogVersion" : 230233,
21552.                   "dbVersion" : 2,
21553.                   "id" : "58efec8ee4b0c390d69a8e0f",
21554.                   "name" : "linux",
21555.                   "topic" : "/mcafee/mar/agent/query/linux",
21556.                   "enabled" : true
21557.                 }, {
21558.                   "catalogVersion" : 230233,
21559.                   "dbVersion" : 2,
21560.                   "id" : "5a1a45c9e4b0401274ab7141",
21561.                   "name" : "macos",
21562.                   "topic" : "/mcafee/mar/agent/query/macos",
21563.                   "enabled" : true
21564.                 } ],
21565.                 "platformSettings" : [ {
21566.                   "platform" : {
21567.                     "catalogVersion" : 230233,
21568.                     "dbVersion" : 2,
21569.                     "id" : "58efec8ee4b0c390d69a8e0e",
21570.                     "name" : "windows",
21571.                     "topic" : "/mcafee/mar/agent/query/windows",
21572.                     "enabled" : true
21573.                   },
21574.                   "utf8Sensitive" : false
21575.                 }, {
21576.                   "platform" : {
21577.                     "catalogVersion" : 230233,
21578.                     "dbVersion" : 2,
21579.                     "id" : "58efec8ee4b0c390d69a8e0f",
21580.                     "name" : "linux",
21581.                     "topic" : "/mcafee/mar/agent/query/linux",
21582.                     "enabled" : true
21583.                   },
21584.                   "utf8Sensitive" : false
21585.                 }, {
21586.                   "platform" : {
21587.                     "catalogVersion" : 230233,
21588.                     "dbVersion" : 2,
21589.                     "id" : "5a1a45c9e4b0401274ab7141",
21590.                     "name" : "macos",
21591.                     "topic" : "/mcafee/mar/agent/query/macos",
21592.                     "enabled" : true
21593.                   },
21594.                   "utf8Sensitive" : false
21595.                 } ],
21596.                 "itemType" : "BUILTIN",
21597.                 "catalogItems" : [ "COLLECTOR" ]
21598.               },
21599.               "content" : null,
21600.               "arguments" : [ ],
21601.               "utf8Sensitive" : false
21602.             } ],
21603.             "timeout" : 60,
21604.             "outputs" : [ {
21605.               "id" : "58efec8ee4b0c390d69a8e7a",
21606.               "name" : "name",
21607.               "type" : "STRING",
21608.               "byDefault" : true,
21609.               "sequence" : 1
21610.             }, {
21611.               "id" : "58efec8ee4b0c390d69a8e7b",
21612.               "name" : "dir",
21613.               "type" : "STRING",
21614.               "byDefault" : false,
21615.               "sequence" : 2
21616.             }, {
21617.               "id" : "58efec8ee4b0c390d69a8e7c",
21618.               "name" : "full_name",
21619.               "type" : "STRING",
21620.               "byDefault" : false,
21621.               "sequence" : 3
21622.             }, {
21623.               "id" : "58efec8ee4b0c390d69a8e7d",
21624.               "name" : "size",
21625.               "type" : "NUMBER",
21626.               "byDefault" : false,
21627.               "sequence" : 4
21628.             }, {
21629.               "id" : "58efec8ee4b0c390d69a8e7e",
21630.               "name" : "last_write",
21631.               "type" : "DATE",
21632.               "byDefault" : false,
21633.               "sequence" : 5
21634.             }, {
21635.               "id" : "58efec8ee4b0c390d69a8e7f",
21636.               "name" : "md5",
21637.               "type" : "STRING",
21638.               "byDefault" : true,
21639.               "sequence" : 6
21640.             }, {
21641.               "id" : "58efec8ee4b0c390d69a8e80",
21642.               "name" : "sha1",
21643.               "type" : "STRING",
21644.               "byDefault" : true,
21645.               "sequence" : 7
21646.             }, {
21647.               "id" : "58efec8ee4b0c390d69a8e81",
21648.               "name" : "sha256",
21649.               "type" : "STRING",
21650.               "byDefault" : true,
21651.               "sequence" : 8
21652.             }, {
21653.               "id" : "58efec8ee4b0c390d69a8e82",
21654.               "name" : "created_at",
21655.               "type" : "DATE",
21656.               "byDefault" : false,
21657.               "sequence" : 9
21658.             }, {
21659.               "id" : "58efec8ee4b0c390d69a8e83",
21660.               "name" : "deleted_at",
21661.               "type" : "DATE",
21662.               "byDefault" : true,
21663.               "sequence" : 10
21664.             }, {
21665.               "id" : "5b3f9b64e4b0dfaf321a6333",
21666.               "name" : "status",
21667.               "type" : "STRING",
21668.               "byDefault" : true,
21669.               "sequence" : 11
21670.             }, {
21671.               "id" : "5b3f9b64e4b0dfaf321a6334",
21672.               "name" : "create_process_pid",
21673.               "type" : "NUMBER",
21674.               "byDefault" : false,
21675.               "sequence" : 12
21676.             }, {
21677.               "id" : "5b3f9b64e4b0dfaf321a6335",
21678.               "name" : "create_process_sha256",
21679.               "type" : "STRING",
21680.               "byDefault" : false,
21681.               "sequence" : 13
21682.             }, {
21683.               "id" : "5b3f9b64e4b0dfaf321a6336",
21684.               "name" : "create_process_full_path",
21685.               "type" : "STRING",
21686.               "byDefault" : false,
21687.               "sequence" : 14
21688.             }, {
21689.               "id" : "5b3f9b64e4b0dfaf321a6337",
21690.               "name" : "modify_process_pid",
21691.               "type" : "NUMBER",
21692.               "byDefault" : false,
21693.               "sequence" : 15
21694.             }, {
21695.               "id" : "5b3f9b64e4b0dfaf321a6338",
21696.               "name" : "modify_process_sha256",
21697.               "type" : "STRING",
21698.               "byDefault" : false,
21699.               "sequence" : 16
21700.             }, {
21701.               "id" : "5b3f9b64e4b0dfaf321a6339",
21702.               "name" : "modify_process_full_path",
21703.               "type" : "STRING",
21704.               "byDefault" : false,
21705.               "sequence" : 17
21706.             }, {
21707.               "id" : "5b3f9b64e4b0dfaf321a633a",
21708.               "name" : "delete_process_pid",
21709.               "type" : "NUMBER",
21710.               "byDefault" : false,
21711.               "sequence" : 18
21712.             }, {
21713.               "id" : "5b3f9b64e4b0dfaf321a633b",
21714.               "name" : "delete_process_sha256",
21715.               "type" : "STRING",
21716.               "byDefault" : false,
21717.               "sequence" : 19
21718.             }, {
21719.               "id" : "5b3f9b64e4b0dfaf321a633c",
21720.               "name" : "delete_process_full_path",
21721.               "type" : "STRING",
21722.               "byDefault" : false,
21723.               "sequence" : 20
21724.             }, {
21725.               "id" : "5b3f9b64e4b0dfaf321a633d",
21726.               "name" : "create_user_domain",
21727.               "type" : "STRING",
21728.               "byDefault" : false,
21729.               "sequence" : 21
21730.             }, {
21731.               "id" : "5b3f9b64e4b0dfaf321a633e",
21732.               "name" : "create_user_name",
21733.               "type" : "STRING",
21734.               "byDefault" : false,
21735.               "sequence" : 22
21736.             }, {
21737.               "id" : "5b3f9b64e4b0dfaf321a633f",
21738.               "name" : "create_user_id",
21739.               "type" : "STRING",
21740.               "byDefault" : false,
21741.               "sequence" : 23
21742.             }, {
21743.               "id" : "5b3f9b64e4b0dfaf321a6340",
21744.               "name" : "modify_user_domain",
21745.               "type" : "STRING",
21746.               "byDefault" : false,
21747.               "sequence" : 24
21748.             }, {
21749.               "id" : "5b3f9b64e4b0dfaf321a6341",
21750.               "name" : "modify_user_name",
21751.               "type" : "STRING",
21752.               "byDefault" : false,
21753.               "sequence" : 25
21754.             }, {
21755.               "id" : "5b3f9b64e4b0dfaf321a6342",
21756.               "name" : "modify_user_id",
21757.               "type" : "STRING",
21758.               "byDefault" : false,
21759.               "sequence" : 26
21760.             }, {
21761.               "id" : "5b3f9b64e4b0dfaf321a6343",
21762.               "name" : "delete_user_domain",
21763.               "type" : "STRING",
21764.               "byDefault" : false,
21765.               "sequence" : 27
21766.             }, {
21767.               "id" : "5b3f9b64e4b0dfaf321a6344",
21768.               "name" : "delete_user_name",
21769.               "type" : "STRING",
21770.               "byDefault" : false,
21771.               "sequence" : 28
21772.             }, {
21773.               "id" : "5b3f9b64e4b0dfaf321a6345",
21774.               "name" : "delete_user_id",
21775.               "type" : "STRING",
21776.               "byDefault" : false,
21777.               "sequence" : 29
21778.             } ]
21779.           }
21780.         }, {
21781.           "output" : {
21782.             "id" : "58efec8ee4b0c390d69a8e83",
21783.             "name" : "deleted_at",
21784.             "type" : "DATE",
21785.             "byDefault" : true,
21786.             "sequence" : 10
21787.           },
21788.           "operator" : "AFTER",
21789.           "value" : "2015-10-11 00:00:00",
21790.           "negated" : false,
21791.           "collector" : {
21792.             "catalogVersion" : 230233,
21793.             "dbVersion" : 2,
21794.             "id" : "58efec8ee4b0c390d69a8e84",
21795.             "name" : "Files",
21796.             "description" : "Shows the existing files",
21797.             "type" : "BUILTIN",
21798.             "contents" : [ {
21799.               "platform" : {
21800.                 "catalogVersion" : 230233,
21801.                 "dbVersion" : 2,
21802.                 "id" : "58efec8ee4b0c390d69a8e0f",
21803.                 "name" : "linux",
21804.                 "topic" : "/mcafee/mar/agent/query/linux",
21805.                 "enabled" : true
21806.               },
21807.               "capability" : {
21808.                 "catalogVersion" : 230233,
21809.                 "dbVersion" : 2,
21810.                 "id" : "58efec8ee4b0c390d69a8e15",
21811.                 "name" : "Files",
21812.                 "description" : "Gets the list of files",
21813.                 "module" : "FileHashing",
21814.                 "function" : "FindFiles",
21815.                 "contentEnabled" : false,
21816.                 "arguments" : [ ],
21817.                 "outputs" : [ ],
21818.                 "formatArgs" : { },
21819.                 "format" : "BIN",
21820.                 "platforms" : [ {
21821.                   "catalogVersion" : 230233,
21822.                   "dbVersion" : 2,
21823.                   "id" : "58efec8ee4b0c390d69a8e0e",
21824.                   "name" : "windows",
21825.                   "topic" : "/mcafee/mar/agent/query/windows",
21826.                   "enabled" : true
21827.                 }, {
21828.                   "catalogVersion" : 230233,
21829.                   "dbVersion" : 2,
21830.                   "id" : "58efec8ee4b0c390d69a8e0f",
21831.                   "name" : "linux",
21832.                   "topic" : "/mcafee/mar/agent/query/linux",
21833.                   "enabled" : true
21834.                 }, {
21835.                   "catalogVersion" : 230233,
21836.                   "dbVersion" : 2,
21837.                   "id" : "5a1a45c9e4b0401274ab7141",
21838.                   "name" : "macos",
21839.                   "topic" : "/mcafee/mar/agent/query/macos",
21840.                   "enabled" : true
21841.                 } ],
21842.                 "platformSettings" : [ {
21843.                   "platform" : {
21844.                     "catalogVersion" : 230233,
21845.                     "dbVersion" : 2,
21846.                     "id" : "58efec8ee4b0c390d69a8e0e",
21847.                     "name" : "windows",
21848.                     "topic" : "/mcafee/mar/agent/query/windows",
21849.                     "enabled" : true
21850.                   },
21851.                   "utf8Sensitive" : false
21852.                 }, {
21853.                   "platform" : {
21854.                     "catalogVersion" : 230233,
21855.                     "dbVersion" : 2,
21856.                     "id" : "58efec8ee4b0c390d69a8e0f",
21857.                     "name" : "linux",
21858.                     "topic" : "/mcafee/mar/agent/query/linux",
21859.                     "enabled" : true
21860.                   },
21861.                   "utf8Sensitive" : false
21862.                 }, {
21863.                   "platform" : {
21864.                     "catalogVersion" : 230233,
21865.                     "dbVersion" : 2,
21866.                     "id" : "5a1a45c9e4b0401274ab7141",
21867.                     "name" : "macos",
21868.                     "topic" : "/mcafee/mar/agent/query/macos",
21869.                     "enabled" : true
21870.                   },
21871.                   "utf8Sensitive" : false
21872.                 } ],
21873.                 "itemType" : "BUILTIN",
21874.                 "catalogItems" : [ "COLLECTOR" ]
21875.               },
21876.               "content" : null,
21877.               "arguments" : [ ],
21878.               "utf8Sensitive" : false
21879.             }, {
21880.               "platform" : {
21881.                 "catalogVersion" : 230233,
21882.                 "dbVersion" : 2,
21883.                 "id" : "58efec8ee4b0c390d69a8e0e",
21884.                 "name" : "windows",
21885.                 "topic" : "/mcafee/mar/agent/query/windows",
21886.                 "enabled" : true
21887.               },
21888.               "capability" : {
21889.                 "catalogVersion" : 230233,
21890.                 "dbVersion" : 2,
21891.                 "id" : "58efec8ee4b0c390d69a8e15",
21892.                 "name" : "Files",
21893.                 "description" : "Gets the list of files",
21894.                 "module" : "FileHashing",
21895.                 "function" : "FindFiles",
21896.                 "contentEnabled" : false,
21897.                 "arguments" : [ ],
21898.                 "outputs" : [ ],
21899.                 "formatArgs" : { },
21900.                 "format" : "BIN",
21901.                 "platforms" : [ {
21902.                   "catalogVersion" : 230233,
21903.                   "dbVersion" : 2,
21904.                   "id" : "58efec8ee4b0c390d69a8e0e",
21905.                   "name" : "windows",
21906.                   "topic" : "/mcafee/mar/agent/query/windows",
21907.                   "enabled" : true
21908.                 }, {
21909.                   "catalogVersion" : 230233,
21910.                   "dbVersion" : 2,
21911.                   "id" : "58efec8ee4b0c390d69a8e0f",
21912.                   "name" : "linux",
21913.                   "topic" : "/mcafee/mar/agent/query/linux",
21914.                   "enabled" : true
21915.                 }, {
21916.                   "catalogVersion" : 230233,
21917.                   "dbVersion" : 2,
21918.                   "id" : "5a1a45c9e4b0401274ab7141",
21919.                   "name" : "macos",
21920.                   "topic" : "/mcafee/mar/agent/query/macos",
21921.                   "enabled" : true
21922.                 } ],
21923.                 "platformSettings" : [ {
21924.                   "platform" : {
21925.                     "catalogVersion" : 230233,
21926.                     "dbVersion" : 2,
21927.                     "id" : "58efec8ee4b0c390d69a8e0e",
21928.                     "name" : "windows",
21929.                     "topic" : "/mcafee/mar/agent/query/windows",
21930.                     "enabled" : true
21931.                   },
21932.                   "utf8Sensitive" : false
21933.                 }, {
21934.                   "platform" : {
21935.                     "catalogVersion" : 230233,
21936.                     "dbVersion" : 2,
21937.                     "id" : "58efec8ee4b0c390d69a8e0f",
21938.                     "name" : "linux",
21939.                     "topic" : "/mcafee/mar/agent/query/linux",
21940.                     "enabled" : true
21941.                   },
21942.                   "utf8Sensitive" : false
21943.                 }, {
21944.                   "platform" : {
21945.                     "catalogVersion" : 230233,
21946.                     "dbVersion" : 2,
21947.                     "id" : "5a1a45c9e4b0401274ab7141",
21948.                     "name" : "macos",
21949.                     "topic" : "/mcafee/mar/agent/query/macos",
21950.                     "enabled" : true
21951.                   },
21952.                   "utf8Sensitive" : false
21953.                 } ],
21954.                 "itemType" : "BUILTIN",
21955.                 "catalogItems" : [ "COLLECTOR" ]
21956.               },
21957.               "content" : null,
21958.               "arguments" : [ ],
21959.               "utf8Sensitive" : false
21960.             }, {
21961.               "platform" : {
21962.                 "catalogVersion" : 230233,
21963.                 "dbVersion" : 2,
21964.                 "id" : "5a1a45c9e4b0401274ab7141",
21965.                 "name" : "macos",
21966.                 "topic" : "/mcafee/mar/agent/query/macos",
21967.                 "enabled" : true
21968.               },
21969.               "capability" : {
21970.                 "catalogVersion" : 230233,
21971.                 "dbVersion" : 2,
21972.                 "id" : "58efec8ee4b0c390d69a8e15",
21973.                 "name" : "Files",
21974.                 "description" : "Gets the list of files",
21975.                 "module" : "FileHashing",
21976.                 "function" : "FindFiles",
21977.                 "contentEnabled" : false,
21978.                 "arguments" : [ ],
21979.                 "outputs" : [ ],
21980.                 "formatArgs" : { },
21981.                 "format" : "BIN",
21982.                 "platforms" : [ {
21983.                   "catalogVersion" : 230233,
21984.                   "dbVersion" : 2,
21985.                   "id" : "58efec8ee4b0c390d69a8e0e",
21986.                   "name" : "windows",
21987.                   "topic" : "/mcafee/mar/agent/query/windows",
21988.                   "enabled" : true
21989.                 }, {
21990.                   "catalogVersion" : 230233,
21991.                   "dbVersion" : 2,
21992.                   "id" : "58efec8ee4b0c390d69a8e0f",
21993.                   "name" : "linux",
21994.                   "topic" : "/mcafee/mar/agent/query/linux",
21995.                   "enabled" : true
21996.                 }, {
21997.                   "catalogVersion" : 230233,
21998.                   "dbVersion" : 2,
21999.                   "id" : "5a1a45c9e4b0401274ab7141",
22000.                   "name" : "macos",
22001.                   "topic" : "/mcafee/mar/agent/query/macos",
22002.                   "enabled" : true
22003.                 } ],
22004.                 "platformSettings" : [ {
22005.                   "platform" : {
22006.                     "catalogVersion" : 230233,
22007.                     "dbVersion" : 2,
22008.                     "id" : "58efec8ee4b0c390d69a8e0e",
22009.                     "name" : "windows",
22010.                     "topic" : "/mcafee/mar/agent/query/windows",
22011.                     "enabled" : true
22012.                   },
22013.                   "utf8Sensitive" : false
22014.                 }, {
22015.                   "platform" : {
22016.                     "catalogVersion" : 230233,
22017.                     "dbVersion" : 2,
22018.                     "id" : "58efec8ee4b0c390d69a8e0f",
22019.                     "name" : "linux",
22020.                     "topic" : "/mcafee/mar/agent/query/linux",
22021.                     "enabled" : true
22022.                   },
22023.                   "utf8Sensitive" : false
22024.                 }, {
22025.                   "platform" : {
22026.                     "catalogVersion" : 230233,
22027.                     "dbVersion" : 2,
22028.                     "id" : "5a1a45c9e4b0401274ab7141",
22029.                     "name" : "macos",
22030.                     "topic" : "/mcafee/mar/agent/query/macos",
22031.                     "enabled" : true
22032.                   },
22033.                   "utf8Sensitive" : false
22034.                 } ],
22035.                 "itemType" : "BUILTIN",
22036.                 "catalogItems" : [ "COLLECTOR" ]
22037.               },
22038.               "content" : null,
22039.               "arguments" : [ ],
22040.               "utf8Sensitive" : false
22041.             } ],
22042.             "timeout" : 60,
22043.             "outputs" : [ {
22044.               "id" : "58efec8ee4b0c390d69a8e7a",
22045.               "name" : "name",
22046.               "type" : "STRING",
22047.               "byDefault" : true,
22048.               "sequence" : 1
22049.             }, {
22050.               "id" : "58efec8ee4b0c390d69a8e7b",
22051.               "name" : "dir",
22052.               "type" : "STRING",
22053.               "byDefault" : false,
22054.               "sequence" : 2
22055.             }, {
22056.               "id" : "58efec8ee4b0c390d69a8e7c",
22057.               "name" : "full_name",
22058.               "type" : "STRING",
22059.               "byDefault" : false,
22060.               "sequence" : 3
22061.             }, {
22062.               "id" : "58efec8ee4b0c390d69a8e7d",
22063.               "name" : "size",
22064.               "type" : "NUMBER",
22065.               "byDefault" : false,
22066.               "sequence" : 4
22067.             }, {
22068.               "id" : "58efec8ee4b0c390d69a8e7e",
22069.               "name" : "last_write",
22070.               "type" : "DATE",
22071.               "byDefault" : false,
22072.               "sequence" : 5
22073.             }, {
22074.               "id" : "58efec8ee4b0c390d69a8e7f",
22075.               "name" : "md5",
22076.               "type" : "STRING",
22077.               "byDefault" : true,
22078.               "sequence" : 6
22079.             }, {
22080.               "id" : "58efec8ee4b0c390d69a8e80",
22081.               "name" : "sha1",
22082.               "type" : "STRING",
22083.               "byDefault" : true,
22084.               "sequence" : 7
22085.             }, {
22086.               "id" : "58efec8ee4b0c390d69a8e81",
22087.               "name" : "sha256",
22088.               "type" : "STRING",
22089.               "byDefault" : true,
22090.               "sequence" : 8
22091.             }, {
22092.               "id" : "58efec8ee4b0c390d69a8e82",
22093.               "name" : "created_at",
22094.               "type" : "DATE",
22095.               "byDefault" : false,
22096.               "sequence" : 9
22097.             }, {
22098.               "id" : "58efec8ee4b0c390d69a8e83",
22099.               "name" : "deleted_at",
22100.               "type" : "DATE",
22101.               "byDefault" : true,
22102.               "sequence" : 10
22103.             }, {
22104.               "id" : "5b3f9b64e4b0dfaf321a6333",
22105.               "name" : "status",
22106.               "type" : "STRING",
22107.               "byDefault" : true,
22108.               "sequence" : 11
22109.             }, {
22110.               "id" : "5b3f9b64e4b0dfaf321a6334",
22111.               "name" : "create_process_pid",
22112.               "type" : "NUMBER",
22113.               "byDefault" : false,
22114.               "sequence" : 12
22115.             }, {
22116.               "id" : "5b3f9b64e4b0dfaf321a6335",
22117.               "name" : "create_process_sha256",
22118.               "type" : "STRING",
22119.               "byDefault" : false,
22120.               "sequence" : 13
22121.             }, {
22122.               "id" : "5b3f9b64e4b0dfaf321a6336",
22123.               "name" : "create_process_full_path",
22124.               "type" : "STRING",
22125.               "byDefault" : false,
22126.               "sequence" : 14
22127.             }, {
22128.               "id" : "5b3f9b64e4b0dfaf321a6337",
22129.               "name" : "modify_process_pid",
22130.               "type" : "NUMBER",
22131.               "byDefault" : false,
22132.               "sequence" : 15
22133.             }, {
22134.               "id" : "5b3f9b64e4b0dfaf321a6338",
22135.               "name" : "modify_process_sha256",
22136.               "type" : "STRING",
22137.               "byDefault" : false,
22138.               "sequence" : 16
22139.             }, {
22140.               "id" : "5b3f9b64e4b0dfaf321a6339",
22141.               "name" : "modify_process_full_path",
22142.               "type" : "STRING",
22143.               "byDefault" : false,
22144.               "sequence" : 17
22145.             }, {
22146.               "id" : "5b3f9b64e4b0dfaf321a633a",
22147.               "name" : "delete_process_pid",
22148.               "type" : "NUMBER",
22149.               "byDefault" : false,
22150.               "sequence" : 18
22151.             }, {
22152.               "id" : "5b3f9b64e4b0dfaf321a633b",
22153.               "name" : "delete_process_sha256",
22154.               "type" : "STRING",
22155.               "byDefault" : false,
22156.               "sequence" : 19
22157.             }, {
22158.               "id" : "5b3f9b64e4b0dfaf321a633c",
22159.               "name" : "delete_process_full_path",
22160.               "type" : "STRING",
22161.               "byDefault" : false,
22162.               "sequence" : 20
22163.             }, {
22164.               "id" : "5b3f9b64e4b0dfaf321a633d",
22165.               "name" : "create_user_domain",
22166.               "type" : "STRING",
22167.               "byDefault" : false,
22168.               "sequence" : 21
22169.             }, {
22170.               "id" : "5b3f9b64e4b0dfaf321a633e",
22171.               "name" : "create_user_name",
22172.               "type" : "STRING",
22173.               "byDefault" : false,
22174.               "sequence" : 22
22175.             }, {
22176.               "id" : "5b3f9b64e4b0dfaf321a633f",
22177.               "name" : "create_user_id",
22178.               "type" : "STRING",
22179.               "byDefault" : false,
22180.               "sequence" : 23
22181.             }, {
22182.               "id" : "5b3f9b64e4b0dfaf321a6340",
22183.               "name" : "modify_user_domain",
22184.               "type" : "STRING",
22185.               "byDefault" : false,
22186.               "sequence" : 24
22187.             }, {
22188.               "id" : "5b3f9b64e4b0dfaf321a6341",
22189.               "name" : "modify_user_name",
22190.               "type" : "STRING",
22191.               "byDefault" : false,
22192.               "sequence" : 25
22193.             }, {
22194.               "id" : "5b3f9b64e4b0dfaf321a6342",
22195.               "name" : "modify_user_id",
22196.               "type" : "STRING",
22197.               "byDefault" : false,
22198.               "sequence" : 26
22199.             }, {
22200.               "id" : "5b3f9b64e4b0dfaf321a6343",
22201.               "name" : "delete_user_domain",
22202.               "type" : "STRING",
22203.               "byDefault" : false,
22204.               "sequence" : 27
22205.             }, {
22206.               "id" : "5b3f9b64e4b0dfaf321a6344",
22207.               "name" : "delete_user_name",
22208.               "type" : "STRING",
22209.               "byDefault" : false,
22210.               "sequence" : 28
22211.             }, {
22212.               "id" : "5b3f9b64e4b0dfaf321a6345",
22213.               "name" : "delete_user_id",
22214.               "type" : "STRING",
22215.               "byDefault" : false,
22216.               "sequence" : 29
22217.             } ]
22218.           }
22219.         } ]
22220.       } ]
22221.     },
22222.     "running" : false,
22223.     "createdAt" : 1530900630386,
22224.     "executedAt" : null,
22225.     "status" : "CREATED",
22226.     "ttl" : 60000,
22227.     "startTime" : null,
22228.     "endpointPermission" : null,
22229.     "maGuidsTarget" : null,
22230.     "expectedHostResponses" : 0
22231.   },
22232.   "type" : "com.intel.mar.model.search.Search"
22233. }, {
22234.   "item" : {
22235.     "catalogVersion" : 1,
22236.     "dbVersion" : 2,
22237.     "id" : "5b3fb096e4b0cbe06dd67325",
22238.     "name" : "UNUSUAL BEHAVIOR - Inbound SSH connections",
22239.     "description" : "Inbound SSH connections. Sort on count.\n\nHigh count may indicate attempted brute force.",
22240.     "type" : null,
22241.     "expression" : "NetworkFlow where NetworkFlow direction equals \"in\" and NetworkFlow dst_port equals 22 ",
22242.     "temporal" : false,
22243.     "invalid" : false,
22244.     "aggregated" : true,
22245.     "projections" : [ {
22246.       "collector" : {
22247.         "catalogVersion" : 230233,
22248.         "dbVersion" : 2,
22249.         "id" : "58efec8ee4b0c390d69a8e97",
22250.         "name" : "NetworkFlow",
22251.         "description" : "Shows the network flow",
22252.         "type" : "BUILTIN",
22253.         "contents" : [ {
22254.           "platform" : {
22255.             "catalogVersion" : 230233,
22256.             "dbVersion" : 2,
22257.             "id" : "58efec8ee4b0c390d69a8e0f",
22258.             "name" : "linux",
22259.             "topic" : "/mcafee/mar/agent/query/linux",
22260.             "enabled" : true
22261.           },
22262.           "capability" : {
22263.             "catalogVersion" : 230233,
22264.             "dbVersion" : 2,
22265.             "id" : "58efec8ee4b0c390d69a8e1f",
22266.             "name" : "NetworkFlow",
22267.             "description" : "Gets flow information",
22268.             "module" : "NetworkFlow",
22269.             "function" : "FindFlow",
22270.             "contentEnabled" : false,
22271.             "arguments" : [ ],
22272.             "outputs" : [ ],
22273.             "formatArgs" : { },
22274.             "format" : "BIN",
22275.             "platforms" : [ {
22276.               "catalogVersion" : 230233,
22277.               "dbVersion" : 2,
22278.               "id" : "58efec8ee4b0c390d69a8e0e",
22279.               "name" : "windows",
22280.               "topic" : "/mcafee/mar/agent/query/windows",
22281.               "enabled" : true
22282.             }, {
22283.               "catalogVersion" : 230233,
22284.               "dbVersion" : 2,
22285.               "id" : "58efec8ee4b0c390d69a8e0f",
22286.               "name" : "linux",
22287.               "topic" : "/mcafee/mar/agent/query/linux",
22288.               "enabled" : true
22289.             }, {
22290.               "catalogVersion" : 230233,
22291.               "dbVersion" : 2,
22292.               "id" : "5a1a45c9e4b0401274ab7141",
22293.               "name" : "macos",
22294.               "topic" : "/mcafee/mar/agent/query/macos",
22295.               "enabled" : true
22296.             } ],
22297.             "platformSettings" : [ {
22298.               "platform" : {
22299.                 "catalogVersion" : 230233,
22300.                 "dbVersion" : 2,
22301.                 "id" : "58efec8ee4b0c390d69a8e0e",
22302.                 "name" : "windows",
22303.                 "topic" : "/mcafee/mar/agent/query/windows",
22304.                 "enabled" : true
22305.               },
22306.               "utf8Sensitive" : false
22307.             }, {
22308.               "platform" : {
22309.                 "catalogVersion" : 230233,
22310.                 "dbVersion" : 2,
22311.                 "id" : "58efec8ee4b0c390d69a8e0f",
22312.                 "name" : "linux",
22313.                 "topic" : "/mcafee/mar/agent/query/linux",
22314.                 "enabled" : true
22315.               },
22316.               "utf8Sensitive" : false
22317.             }, {
22318.               "platform" : {
22319.                 "catalogVersion" : 230233,
22320.                 "dbVersion" : 2,
22321.                 "id" : "5a1a45c9e4b0401274ab7141",
22322.                 "name" : "macos",
22323.                 "topic" : "/mcafee/mar/agent/query/macos",
22324.                 "enabled" : true
22325.               },
22326.               "utf8Sensitive" : false
22327.             } ],
22328.             "itemType" : "BUILTIN",
22329.             "catalogItems" : [ "COLLECTOR" ]
22330.           },
22331.           "content" : null,
22332.           "arguments" : [ ],
22333.           "utf8Sensitive" : false
22334.         }, {
22335.           "platform" : {
22336.             "catalogVersion" : 230233,
22337.             "dbVersion" : 2,
22338.             "id" : "58efec8ee4b0c390d69a8e0e",
22339.             "name" : "windows",
22340.             "topic" : "/mcafee/mar/agent/query/windows",
22341.             "enabled" : true
22342.           },
22343.           "capability" : {
22344.             "catalogVersion" : 230233,
22345.             "dbVersion" : 2,
22346.             "id" : "58efec8ee4b0c390d69a8e1f",
22347.             "name" : "NetworkFlow",
22348.             "description" : "Gets flow information",
22349.             "module" : "NetworkFlow",
22350.             "function" : "FindFlow",
22351.             "contentEnabled" : false,
22352.             "arguments" : [ ],
22353.             "outputs" : [ ],
22354.             "formatArgs" : { },
22355.             "format" : "BIN",
22356.             "platforms" : [ {
22357.               "catalogVersion" : 230233,
22358.               "dbVersion" : 2,
22359.               "id" : "58efec8ee4b0c390d69a8e0e",
22360.               "name" : "windows",
22361.               "topic" : "/mcafee/mar/agent/query/windows",
22362.               "enabled" : true
22363.             }, {
22364.               "catalogVersion" : 230233,
22365.               "dbVersion" : 2,
22366.               "id" : "58efec8ee4b0c390d69a8e0f",
22367.               "name" : "linux",
22368.               "topic" : "/mcafee/mar/agent/query/linux",
22369.               "enabled" : true
22370.             }, {
22371.               "catalogVersion" : 230233,
22372.               "dbVersion" : 2,
22373.               "id" : "5a1a45c9e4b0401274ab7141",
22374.               "name" : "macos",
22375.               "topic" : "/mcafee/mar/agent/query/macos",
22376.               "enabled" : true
22377.             } ],
22378.             "platformSettings" : [ {
22379.               "platform" : {
22380.                 "catalogVersion" : 230233,
22381.                 "dbVersion" : 2,
22382.                 "id" : "58efec8ee4b0c390d69a8e0e",
22383.                 "name" : "windows",
22384.                 "topic" : "/mcafee/mar/agent/query/windows",
22385.                 "enabled" : true
22386.               },
22387.               "utf8Sensitive" : false
22388.             }, {
22389.               "platform" : {
22390.                 "catalogVersion" : 230233,
22391.                 "dbVersion" : 2,
22392.                 "id" : "58efec8ee4b0c390d69a8e0f",
22393.                 "name" : "linux",
22394.                 "topic" : "/mcafee/mar/agent/query/linux",
22395.                 "enabled" : true
22396.               },
22397.               "utf8Sensitive" : false
22398.             }, {
22399.               "platform" : {
22400.                 "catalogVersion" : 230233,
22401.                 "dbVersion" : 2,
22402.                 "id" : "5a1a45c9e4b0401274ab7141",
22403.                 "name" : "macos",
22404.                 "topic" : "/mcafee/mar/agent/query/macos",
22405.                 "enabled" : true
22406.               },
22407.               "utf8Sensitive" : false
22408.             } ],
22409.             "itemType" : "BUILTIN",
22410.             "catalogItems" : [ "COLLECTOR" ]
22411.           },
22412.           "content" : null,
22413.           "arguments" : [ ],
22414.           "utf8Sensitive" : false
22415.         }, {
22416.           "platform" : {
22417.             "catalogVersion" : 230233,
22418.             "dbVersion" : 2,
22419.             "id" : "5a1a45c9e4b0401274ab7141",
22420.             "name" : "macos",
22421.             "topic" : "/mcafee/mar/agent/query/macos",
22422.             "enabled" : true
22423.           },
22424.           "capability" : {
22425.             "catalogVersion" : 230233,
22426.             "dbVersion" : 2,
22427.             "id" : "58efec8ee4b0c390d69a8e1f",
22428.             "name" : "NetworkFlow",
22429.             "description" : "Gets flow information",
22430.             "module" : "NetworkFlow",
22431.             "function" : "FindFlow",
22432.             "contentEnabled" : false,
22433.             "arguments" : [ ],
22434.             "outputs" : [ ],
22435.             "formatArgs" : { },
22436.             "format" : "BIN",
22437.             "platforms" : [ {
22438.               "catalogVersion" : 230233,
22439.               "dbVersion" : 2,
22440.               "id" : "58efec8ee4b0c390d69a8e0e",
22441.               "name" : "windows",
22442.               "topic" : "/mcafee/mar/agent/query/windows",
22443.               "enabled" : true
22444.             }, {
22445.               "catalogVersion" : 230233,
22446.               "dbVersion" : 2,
22447.               "id" : "58efec8ee4b0c390d69a8e0f",
22448.               "name" : "linux",
22449.               "topic" : "/mcafee/mar/agent/query/linux",
22450.               "enabled" : true
22451.             }, {
22452.               "catalogVersion" : 230233,
22453.               "dbVersion" : 2,
22454.               "id" : "5a1a45c9e4b0401274ab7141",
22455.               "name" : "macos",
22456.               "topic" : "/mcafee/mar/agent/query/macos",
22457.               "enabled" : true
22458.             } ],
22459.             "platformSettings" : [ {
22460.               "platform" : {
22461.                 "catalogVersion" : 230233,
22462.                 "dbVersion" : 2,
22463.                 "id" : "58efec8ee4b0c390d69a8e0e",
22464.                 "name" : "windows",
22465.                 "topic" : "/mcafee/mar/agent/query/windows",
22466.                 "enabled" : true
22467.               },
22468.               "utf8Sensitive" : false
22469.             }, {
22470.               "platform" : {
22471.                 "catalogVersion" : 230233,
22472.                 "dbVersion" : 2,
22473.                 "id" : "58efec8ee4b0c390d69a8e0f",
22474.                 "name" : "linux",
22475.                 "topic" : "/mcafee/mar/agent/query/linux",
22476.                 "enabled" : true
22477.               },
22478.               "utf8Sensitive" : false
22479.             }, {
22480.               "platform" : {
22481.                 "catalogVersion" : 230233,
22482.                 "dbVersion" : 2,
22483.                 "id" : "5a1a45c9e4b0401274ab7141",
22484.                 "name" : "macos",
22485.                 "topic" : "/mcafee/mar/agent/query/macos",
22486.                 "enabled" : true
22487.               },
22488.               "utf8Sensitive" : false
22489.             } ],
22490.             "itemType" : "BUILTIN",
22491.             "catalogItems" : [ "COLLECTOR" ]
22492.           },
22493.           "content" : null,
22494.           "arguments" : [ ],
22495.           "utf8Sensitive" : false
22496.         } ],
22497.         "timeout" : 60,
22498.         "outputs" : [ {
22499.           "id" : "58efec8ee4b0c390d69a8e85",
22500.           "name" : "time",
22501.           "type" : "DATE",
22502.           "byDefault" : true,
22503.           "sequence" : 1
22504.         }, {
22505.           "id" : "58efec8ee4b0c390d69a8e86",
22506.           "name" : "direction",
22507.           "type" : "STRING",
22508.           "byDefault" : true,
22509.           "sequence" : 2
22510.         }, {
22511.           "id" : "58efec8ee4b0c390d69a8e87",
22512.           "name" : "src_ip",
22513.           "type" : "IPV4IPV6",
22514.           "byDefault" : true,
22515.           "sequence" : 3
22516.         }, {
22517.           "id" : "58efec8ee4b0c390d69a8e88",
22518.           "name" : "src_port",
22519.           "type" : "NUMBER",
22520.           "byDefault" : true,
22521.           "sequence" : 4
22522.         }, {
22523.           "id" : "58efec8ee4b0c390d69a8e89",
22524.           "name" : "dst_ip",
22525.           "type" : "IPV4IPV6",
22526.           "byDefault" : true,
22527.           "sequence" : 5
22528.         }, {
22529.           "id" : "58efec8ee4b0c390d69a8e8a",
22530.           "name" : "dst_port",
22531.           "type" : "NUMBER",
22532.           "byDefault" : true,
22533.           "sequence" : 6
22534.         }, {
22535.           "id" : "58efec8ee4b0c390d69a8e8b",
22536.           "name" : "status",
22537.           "type" : "STRING",
22538.           "byDefault" : true,
22539.           "sequence" : 7
22540.         }, {
22541.           "id" : "58efec8ee4b0c390d69a8e8c",
22542.           "name" : "proto",
22543.           "type" : "STRING",
22544.           "byDefault" : true,
22545.           "sequence" : 8
22546.         }, {
22547.           "id" : "58efec8ee4b0c390d69a8e8d",
22548.           "name" : "ip_class",
22549.           "type" : "NUMBER",
22550.           "byDefault" : false,
22551.           "sequence" : 9
22552.         }, {
22553.           "id" : "58efec8ee4b0c390d69a8e8e",
22554.           "name" : "seq_number",
22555.           "type" : "NUMBER",
22556.           "byDefault" : false,
22557.           "sequence" : 10
22558.         }, {
22559.           "id" : "58efec8ee4b0c390d69a8e8f",
22560.           "name" : "src_mac",
22561.           "type" : "STRING",
22562.           "byDefault" : false,
22563.           "sequence" : 11
22564.         }, {
22565.           "id" : "58efec8ee4b0c390d69a8e90",
22566.           "name" : "dst_mac",
22567.           "type" : "STRING",
22568.           "byDefault" : false,
22569.           "sequence" : 12
22570.         }, {
22571.           "id" : "58efec8ee4b0c390d69a8e91",
22572.           "name" : "process",
22573.           "type" : "STRING",
22574.           "byDefault" : true,
22575.           "sequence" : 13
22576.         }, {
22577.           "id" : "58efec8ee4b0c390d69a8e92",
22578.           "name" : "process_id",
22579.           "type" : "NUMBER",
22580.           "byDefault" : false,
22581.           "sequence" : 14
22582.         }, {
22583.           "id" : "58efec8ee4b0c390d69a8e93",
22584.           "name" : "md5",
22585.           "type" : "STRING",
22586.           "byDefault" : false,
22587.           "sequence" : 15
22588.         }, {
22589.           "id" : "58efec8ee4b0c390d69a8e94",
22590.           "name" : "sha1",
22591.           "type" : "STRING",
22592.           "byDefault" : false,
22593.           "sequence" : 16
22594.         }, {
22595.           "id" : "58efec8ee4b0c390d69a8e95",
22596.           "name" : "user",
22597.           "type" : "STRING",
22598.           "byDefault" : true,
22599.           "sequence" : 17
22600.         }, {
22601.           "id" : "58efec8ee4b0c390d69a8e96",
22602.           "name" : "user_id",
22603.           "type" : "STRING",
22604.           "byDefault" : false,
22605.           "sequence" : 18
22606.         }, {
22607.           "id" : "5a1a45cbe4b0401274ab7191",
22608.           "name" : "sha256",
22609.           "type" : "STRING",
22610.           "byDefault" : false,
22611.           "sequence" : 19
22612.         } ]
22613.       },
22614.       "sequence" : "1",
22615.       "output" : [ ]
22616.     } ],
22617.     "disjunction" : {
22618.       "conjunctions" : [ {
22619.         "terms" : [ {
22620.           "output" : {
22621.             "id" : "58efec8ee4b0c390d69a8e86",
22622.             "name" : "direction",
22623.             "type" : "STRING",
22624.             "byDefault" : true,
22625.             "sequence" : 2
22626.           },
22627.           "operator" : "EQUALS",
22628.           "value" : "in",
22629.           "negated" : false,
22630.           "collector" : {
22631.             "catalogVersion" : 230233,
22632.             "dbVersion" : 2,
22633.             "id" : "58efec8ee4b0c390d69a8e97",
22634.             "name" : "NetworkFlow",
22635.             "description" : "Shows the network flow",
22636.             "type" : "BUILTIN",
22637.             "contents" : [ {
22638.               "platform" : {
22639.                 "catalogVersion" : 230233,
22640.                 "dbVersion" : 2,
22641.                 "id" : "58efec8ee4b0c390d69a8e0f",
22642.                 "name" : "linux",
22643.                 "topic" : "/mcafee/mar/agent/query/linux",
22644.                 "enabled" : true
22645.               },
22646.               "capability" : {
22647.                 "catalogVersion" : 230233,
22648.                 "dbVersion" : 2,
22649.                 "id" : "58efec8ee4b0c390d69a8e1f",
22650.                 "name" : "NetworkFlow",
22651.                 "description" : "Gets flow information",
22652.                 "module" : "NetworkFlow",
22653.                 "function" : "FindFlow",
22654.                 "contentEnabled" : false,
22655.                 "arguments" : [ ],
22656.                 "outputs" : [ ],
22657.                 "formatArgs" : { },
22658.                 "format" : "BIN",
22659.                 "platforms" : [ {
22660.                   "catalogVersion" : 230233,
22661.                   "dbVersion" : 2,
22662.                   "id" : "58efec8ee4b0c390d69a8e0e",
22663.                   "name" : "windows",
22664.                   "topic" : "/mcafee/mar/agent/query/windows",
22665.                   "enabled" : true
22666.                 }, {
22667.                   "catalogVersion" : 230233,
22668.                   "dbVersion" : 2,
22669.                   "id" : "58efec8ee4b0c390d69a8e0f",
22670.                   "name" : "linux",
22671.                   "topic" : "/mcafee/mar/agent/query/linux",
22672.                   "enabled" : true
22673.                 }, {
22674.                   "catalogVersion" : 230233,
22675.                   "dbVersion" : 2,
22676.                   "id" : "5a1a45c9e4b0401274ab7141",
22677.                   "name" : "macos",
22678.                   "topic" : "/mcafee/mar/agent/query/macos",
22679.                   "enabled" : true
22680.                 } ],
22681.                 "platformSettings" : [ {
22682.                   "platform" : {
22683.                     "catalogVersion" : 230233,
22684.                     "dbVersion" : 2,
22685.                     "id" : "58efec8ee4b0c390d69a8e0e",
22686.                     "name" : "windows",
22687.                     "topic" : "/mcafee/mar/agent/query/windows",
22688.                     "enabled" : true
22689.                   },
22690.                   "utf8Sensitive" : false
22691.                 }, {
22692.                   "platform" : {
22693.                     "catalogVersion" : 230233,
22694.                     "dbVersion" : 2,
22695.                     "id" : "58efec8ee4b0c390d69a8e0f",
22696.                     "name" : "linux",
22697.                     "topic" : "/mcafee/mar/agent/query/linux",
22698.                     "enabled" : true
22699.                   },
22700.                   "utf8Sensitive" : false
22701.                 }, {
22702.                   "platform" : {
22703.                     "catalogVersion" : 230233,
22704.                     "dbVersion" : 2,
22705.                     "id" : "5a1a45c9e4b0401274ab7141",
22706.                     "name" : "macos",
22707.                     "topic" : "/mcafee/mar/agent/query/macos",
22708.                     "enabled" : true
22709.                   },
22710.                   "utf8Sensitive" : false
22711.                 } ],
22712.                 "itemType" : "BUILTIN",
22713.                 "catalogItems" : [ "COLLECTOR" ]
22714.               },
22715.               "content" : null,
22716.               "arguments" : [ ],
22717.               "utf8Sensitive" : false
22718.             }, {
22719.               "platform" : {
22720.                 "catalogVersion" : 230233,
22721.                 "dbVersion" : 2,
22722.                 "id" : "58efec8ee4b0c390d69a8e0e",
22723.                 "name" : "windows",
22724.                 "topic" : "/mcafee/mar/agent/query/windows",
22725.                 "enabled" : true
22726.               },
22727.               "capability" : {
22728.                 "catalogVersion" : 230233,
22729.                 "dbVersion" : 2,
22730.                 "id" : "58efec8ee4b0c390d69a8e1f",
22731.                 "name" : "NetworkFlow",
22732.                 "description" : "Gets flow information",
22733.                 "module" : "NetworkFlow",
22734.                 "function" : "FindFlow",
22735.                 "contentEnabled" : false,
22736.                 "arguments" : [ ],
22737.                 "outputs" : [ ],
22738.                 "formatArgs" : { },
22739.                 "format" : "BIN",
22740.                 "platforms" : [ {
22741.                   "catalogVersion" : 230233,
22742.                   "dbVersion" : 2,
22743.                   "id" : "58efec8ee4b0c390d69a8e0e",
22744.                   "name" : "windows",
22745.                   "topic" : "/mcafee/mar/agent/query/windows",
22746.                   "enabled" : true
22747.                 }, {
22748.                   "catalogVersion" : 230233,
22749.                   "dbVersion" : 2,
22750.                   "id" : "58efec8ee4b0c390d69a8e0f",
22751.                   "name" : "linux",
22752.                   "topic" : "/mcafee/mar/agent/query/linux",
22753.                   "enabled" : true
22754.                 }, {
22755.                   "catalogVersion" : 230233,
22756.                   "dbVersion" : 2,
22757.                   "id" : "5a1a45c9e4b0401274ab7141",
22758.                   "name" : "macos",
22759.                   "topic" : "/mcafee/mar/agent/query/macos",
22760.                   "enabled" : true
22761.                 } ],
22762.                 "platformSettings" : [ {
22763.                   "platform" : {
22764.                     "catalogVersion" : 230233,
22765.                     "dbVersion" : 2,
22766.                     "id" : "58efec8ee4b0c390d69a8e0e",
22767.                     "name" : "windows",
22768.                     "topic" : "/mcafee/mar/agent/query/windows",
22769.                     "enabled" : true
22770.                   },
22771.                   "utf8Sensitive" : false
22772.                 }, {
22773.                   "platform" : {
22774.                     "catalogVersion" : 230233,
22775.                     "dbVersion" : 2,
22776.                     "id" : "58efec8ee4b0c390d69a8e0f",
22777.                     "name" : "linux",
22778.                     "topic" : "/mcafee/mar/agent/query/linux",
22779.                     "enabled" : true
22780.                   },
22781.                   "utf8Sensitive" : false
22782.                 }, {
22783.                   "platform" : {
22784.                     "catalogVersion" : 230233,
22785.                     "dbVersion" : 2,
22786.                     "id" : "5a1a45c9e4b0401274ab7141",
22787.                     "name" : "macos",
22788.                     "topic" : "/mcafee/mar/agent/query/macos",
22789.                     "enabled" : true
22790.                   },
22791.                   "utf8Sensitive" : false
22792.                 } ],
22793.                 "itemType" : "BUILTIN",
22794.                 "catalogItems" : [ "COLLECTOR" ]
22795.               },
22796.               "content" : null,
22797.               "arguments" : [ ],
22798.               "utf8Sensitive" : false
22799.             }, {
22800.               "platform" : {
22801.                 "catalogVersion" : 230233,
22802.                 "dbVersion" : 2,
22803.                 "id" : "5a1a45c9e4b0401274ab7141",
22804.                 "name" : "macos",
22805.                 "topic" : "/mcafee/mar/agent/query/macos",
22806.                 "enabled" : true
22807.               },
22808.               "capability" : {
22809.                 "catalogVersion" : 230233,
22810.                 "dbVersion" : 2,
22811.                 "id" : "58efec8ee4b0c390d69a8e1f",
22812.                 "name" : "NetworkFlow",
22813.                 "description" : "Gets flow information",
22814.                 "module" : "NetworkFlow",
22815.                 "function" : "FindFlow",
22816.                 "contentEnabled" : false,
22817.                 "arguments" : [ ],
22818.                 "outputs" : [ ],
22819.                 "formatArgs" : { },
22820.                 "format" : "BIN",
22821.                 "platforms" : [ {
22822.                   "catalogVersion" : 230233,
22823.                   "dbVersion" : 2,
22824.                   "id" : "58efec8ee4b0c390d69a8e0e",
22825.                   "name" : "windows",
22826.                   "topic" : "/mcafee/mar/agent/query/windows",
22827.                   "enabled" : true
22828.                 }, {
22829.                   "catalogVersion" : 230233,
22830.                   "dbVersion" : 2,
22831.                   "id" : "58efec8ee4b0c390d69a8e0f",
22832.                   "name" : "linux",
22833.                   "topic" : "/mcafee/mar/agent/query/linux",
22834.                   "enabled" : true
22835.                 }, {
22836.                   "catalogVersion" : 230233,
22837.                   "dbVersion" : 2,
22838.                   "id" : "5a1a45c9e4b0401274ab7141",
22839.                   "name" : "macos",
22840.                   "topic" : "/mcafee/mar/agent/query/macos",
22841.                   "enabled" : true
22842.                 } ],
22843.                 "platformSettings" : [ {
22844.                   "platform" : {
22845.                     "catalogVersion" : 230233,
22846.                     "dbVersion" : 2,
22847.                     "id" : "58efec8ee4b0c390d69a8e0e",
22848.                     "name" : "windows",
22849.                     "topic" : "/mcafee/mar/agent/query/windows",
22850.                     "enabled" : true
22851.                   },
22852.                   "utf8Sensitive" : false
22853.                 }, {
22854.                   "platform" : {
22855.                     "catalogVersion" : 230233,
22856.                     "dbVersion" : 2,
22857.                     "id" : "58efec8ee4b0c390d69a8e0f",
22858.                     "name" : "linux",
22859.                     "topic" : "/mcafee/mar/agent/query/linux",
22860.                     "enabled" : true
22861.                   },
22862.                   "utf8Sensitive" : false
22863.                 }, {
22864.                   "platform" : {
22865.                     "catalogVersion" : 230233,
22866.                     "dbVersion" : 2,
22867.                     "id" : "5a1a45c9e4b0401274ab7141",
22868.                     "name" : "macos",
22869.                     "topic" : "/mcafee/mar/agent/query/macos",
22870.                     "enabled" : true
22871.                   },
22872.                   "utf8Sensitive" : false
22873.                 } ],
22874.                 "itemType" : "BUILTIN",
22875.                 "catalogItems" : [ "COLLECTOR" ]
22876.               },
22877.               "content" : null,
22878.               "arguments" : [ ],
22879.               "utf8Sensitive" : false
22880.             } ],
22881.             "timeout" : 60,
22882.             "outputs" : [ {
22883.               "id" : "58efec8ee4b0c390d69a8e85",
22884.               "name" : "time",
22885.               "type" : "DATE",
22886.               "byDefault" : true,
22887.               "sequence" : 1
22888.             }, {
22889.               "id" : "58efec8ee4b0c390d69a8e86",
22890.               "name" : "direction",
22891.               "type" : "STRING",
22892.               "byDefault" : true,
22893.               "sequence" : 2
22894.             }, {
22895.               "id" : "58efec8ee4b0c390d69a8e87",
22896.               "name" : "src_ip",
22897.               "type" : "IPV4IPV6",
22898.               "byDefault" : true,
22899.               "sequence" : 3
22900.             }, {
22901.               "id" : "58efec8ee4b0c390d69a8e88",
22902.               "name" : "src_port",
22903.               "type" : "NUMBER",
22904.               "byDefault" : true,
22905.               "sequence" : 4
22906.             }, {
22907.               "id" : "58efec8ee4b0c390d69a8e89",
22908.               "name" : "dst_ip",
22909.               "type" : "IPV4IPV6",
22910.               "byDefault" : true,
22911.               "sequence" : 5
22912.             }, {
22913.               "id" : "58efec8ee4b0c390d69a8e8a",
22914.               "name" : "dst_port",
22915.               "type" : "NUMBER",
22916.               "byDefault" : true,
22917.               "sequence" : 6
22918.             }, {
22919.               "id" : "58efec8ee4b0c390d69a8e8b",
22920.               "name" : "status",
22921.               "type" : "STRING",
22922.               "byDefault" : true,
22923.               "sequence" : 7
22924.             }, {
22925.               "id" : "58efec8ee4b0c390d69a8e8c",
22926.               "name" : "proto",
22927.               "type" : "STRING",
22928.               "byDefault" : true,
22929.               "sequence" : 8
22930.             }, {
22931.               "id" : "58efec8ee4b0c390d69a8e8d",
22932.               "name" : "ip_class",
22933.               "type" : "NUMBER",
22934.               "byDefault" : false,
22935.               "sequence" : 9
22936.             }, {
22937.               "id" : "58efec8ee4b0c390d69a8e8e",
22938.               "name" : "seq_number",
22939.               "type" : "NUMBER",
22940.               "byDefault" : false,
22941.               "sequence" : 10
22942.             }, {
22943.               "id" : "58efec8ee4b0c390d69a8e8f",
22944.               "name" : "src_mac",
22945.               "type" : "STRING",
22946.               "byDefault" : false,
22947.               "sequence" : 11
22948.             }, {
22949.               "id" : "58efec8ee4b0c390d69a8e90",
22950.               "name" : "dst_mac",
22951.               "type" : "STRING",
22952.               "byDefault" : false,
22953.               "sequence" : 12
22954.             }, {
22955.               "id" : "58efec8ee4b0c390d69a8e91",
22956.               "name" : "process",
22957.               "type" : "STRING",
22958.               "byDefault" : true,
22959.               "sequence" : 13
22960.             }, {
22961.               "id" : "58efec8ee4b0c390d69a8e92",
22962.               "name" : "process_id",
22963.               "type" : "NUMBER",
22964.               "byDefault" : false,
22965.               "sequence" : 14
22966.             }, {
22967.               "id" : "58efec8ee4b0c390d69a8e93",
22968.               "name" : "md5",
22969.               "type" : "STRING",
22970.               "byDefault" : false,
22971.               "sequence" : 15
22972.             }, {
22973.               "id" : "58efec8ee4b0c390d69a8e94",
22974.               "name" : "sha1",
22975.               "type" : "STRING",
22976.               "byDefault" : false,
22977.               "sequence" : 16
22978.             }, {
22979.               "id" : "58efec8ee4b0c390d69a8e95",
22980.               "name" : "user",
22981.               "type" : "STRING",
22982.               "byDefault" : true,
22983.               "sequence" : 17
22984.             }, {
22985.               "id" : "58efec8ee4b0c390d69a8e96",
22986.               "name" : "user_id",
22987.               "type" : "STRING",
22988.               "byDefault" : false,
22989.               "sequence" : 18
22990.             }, {
22991.               "id" : "5a1a45cbe4b0401274ab7191",
22992.               "name" : "sha256",
22993.               "type" : "STRING",
22994.               "byDefault" : false,
22995.               "sequence" : 19
22996.             } ]
22997.           }
22998.         }, {
22999.           "output" : {
23000.             "id" : "58efec8ee4b0c390d69a8e8a",
23001.             "name" : "dst_port",
23002.             "type" : "NUMBER",
23003.             "byDefault" : true,
23004.             "sequence" : 6
23005.           },
23006.           "operator" : "EQUALS",
23007.           "value" : "22",
23008.           "negated" : false,
23009.           "collector" : {
23010.             "catalogVersion" : 230233,
23011.             "dbVersion" : 2,
23012.             "id" : "58efec8ee4b0c390d69a8e97",
23013.             "name" : "NetworkFlow",
23014.             "description" : "Shows the network flow",
23015.             "type" : "BUILTIN",
23016.             "contents" : [ {
23017.               "platform" : {
23018.                 "catalogVersion" : 230233,
23019.                 "dbVersion" : 2,
23020.                 "id" : "58efec8ee4b0c390d69a8e0f",
23021.                 "name" : "linux",
23022.                 "topic" : "/mcafee/mar/agent/query/linux",
23023.                 "enabled" : true
23024.               },
23025.               "capability" : {
23026.                 "catalogVersion" : 230233,
23027.                 "dbVersion" : 2,
23028.                 "id" : "58efec8ee4b0c390d69a8e1f",
23029.                 "name" : "NetworkFlow",
23030.                 "description" : "Gets flow information",
23031.                 "module" : "NetworkFlow",
23032.                 "function" : "FindFlow",
23033.                 "contentEnabled" : false,
23034.                 "arguments" : [ ],
23035.                 "outputs" : [ ],
23036.                 "formatArgs" : { },
23037.                 "format" : "BIN",
23038.                 "platforms" : [ {
23039.                   "catalogVersion" : 230233,
23040.                   "dbVersion" : 2,
23041.                   "id" : "58efec8ee4b0c390d69a8e0e",
23042.                   "name" : "windows",
23043.                   "topic" : "/mcafee/mar/agent/query/windows",
23044.                   "enabled" : true
23045.                 }, {
23046.                   "catalogVersion" : 230233,
23047.                   "dbVersion" : 2,
23048.                   "id" : "58efec8ee4b0c390d69a8e0f",
23049.                   "name" : "linux",
23050.                   "topic" : "/mcafee/mar/agent/query/linux",
23051.                   "enabled" : true
23052.                 }, {
23053.                   "catalogVersion" : 230233,
23054.                   "dbVersion" : 2,
23055.                   "id" : "5a1a45c9e4b0401274ab7141",
23056.                   "name" : "macos",
23057.                   "topic" : "/mcafee/mar/agent/query/macos",
23058.                   "enabled" : true
23059.                 } ],
23060.                 "platformSettings" : [ {
23061.                   "platform" : {
23062.                     "catalogVersion" : 230233,
23063.                     "dbVersion" : 2,
23064.                     "id" : "58efec8ee4b0c390d69a8e0e",
23065.                     "name" : "windows",
23066.                     "topic" : "/mcafee/mar/agent/query/windows",
23067.                     "enabled" : true
23068.                   },
23069.                   "utf8Sensitive" : false
23070.                 }, {
23071.                   "platform" : {
23072.                     "catalogVersion" : 230233,
23073.                     "dbVersion" : 2,
23074.                     "id" : "58efec8ee4b0c390d69a8e0f",
23075.                     "name" : "linux",
23076.                     "topic" : "/mcafee/mar/agent/query/linux",
23077.                     "enabled" : true
23078.                   },
23079.                   "utf8Sensitive" : false
23080.                 }, {
23081.                   "platform" : {
23082.                     "catalogVersion" : 230233,
23083.                     "dbVersion" : 2,
23084.                     "id" : "5a1a45c9e4b0401274ab7141",
23085.                     "name" : "macos",
23086.                     "topic" : "/mcafee/mar/agent/query/macos",
23087.                     "enabled" : true
23088.                   },
23089.                   "utf8Sensitive" : false
23090.                 } ],
23091.                 "itemType" : "BUILTIN",
23092.                 "catalogItems" : [ "COLLECTOR" ]
23093.               },
23094.               "content" : null,
23095.               "arguments" : [ ],
23096.               "utf8Sensitive" : false
23097.             }, {
23098.               "platform" : {
23099.                 "catalogVersion" : 230233,
23100.                 "dbVersion" : 2,
23101.                 "id" : "58efec8ee4b0c390d69a8e0e",
23102.                 "name" : "windows",
23103.                 "topic" : "/mcafee/mar/agent/query/windows",
23104.                 "enabled" : true
23105.               },
23106.               "capability" : {
23107.                 "catalogVersion" : 230233,
23108.                 "dbVersion" : 2,
23109.                 "id" : "58efec8ee4b0c390d69a8e1f",
23110.                 "name" : "NetworkFlow",
23111.                 "description" : "Gets flow information",
23112.                 "module" : "NetworkFlow",
23113.                 "function" : "FindFlow",
23114.                 "contentEnabled" : false,
23115.                 "arguments" : [ ],
23116.                 "outputs" : [ ],
23117.                 "formatArgs" : { },
23118.                 "format" : "BIN",
23119.                 "platforms" : [ {
23120.                   "catalogVersion" : 230233,
23121.                   "dbVersion" : 2,
23122.                   "id" : "58efec8ee4b0c390d69a8e0e",
23123.                   "name" : "windows",
23124.                   "topic" : "/mcafee/mar/agent/query/windows",
23125.                   "enabled" : true
23126.                 }, {
23127.                   "catalogVersion" : 230233,
23128.                   "dbVersion" : 2,
23129.                   "id" : "58efec8ee4b0c390d69a8e0f",
23130.                   "name" : "linux",
23131.                   "topic" : "/mcafee/mar/agent/query/linux",
23132.                   "enabled" : true
23133.                 }, {
23134.                   "catalogVersion" : 230233,
23135.                   "dbVersion" : 2,
23136.                   "id" : "5a1a45c9e4b0401274ab7141",
23137.                   "name" : "macos",
23138.                   "topic" : "/mcafee/mar/agent/query/macos",
23139.                   "enabled" : true
23140.                 } ],
23141.                 "platformSettings" : [ {
23142.                   "platform" : {
23143.                     "catalogVersion" : 230233,
23144.                     "dbVersion" : 2,
23145.                     "id" : "58efec8ee4b0c390d69a8e0e",
23146.                     "name" : "windows",
23147.                     "topic" : "/mcafee/mar/agent/query/windows",
23148.                     "enabled" : true
23149.                   },
23150.                   "utf8Sensitive" : false
23151.                 }, {
23152.                   "platform" : {
23153.                     "catalogVersion" : 230233,
23154.                     "dbVersion" : 2,
23155.                     "id" : "58efec8ee4b0c390d69a8e0f",
23156.                     "name" : "linux",
23157.                     "topic" : "/mcafee/mar/agent/query/linux",
23158.                     "enabled" : true
23159.                   },
23160.                   "utf8Sensitive" : false
23161.                 }, {
23162.                   "platform" : {
23163.                     "catalogVersion" : 230233,
23164.                     "dbVersion" : 2,
23165.                     "id" : "5a1a45c9e4b0401274ab7141",
23166.                     "name" : "macos",
23167.                     "topic" : "/mcafee/mar/agent/query/macos",
23168.                     "enabled" : true
23169.                   },
23170.                   "utf8Sensitive" : false
23171.                 } ],
23172.                 "itemType" : "BUILTIN",
23173.                 "catalogItems" : [ "COLLECTOR" ]
23174.               },
23175.               "content" : null,
23176.               "arguments" : [ ],
23177.               "utf8Sensitive" : false
23178.             }, {
23179.               "platform" : {
23180.                 "catalogVersion" : 230233,
23181.                 "dbVersion" : 2,
23182.                 "id" : "5a1a45c9e4b0401274ab7141",
23183.                 "name" : "macos",
23184.                 "topic" : "/mcafee/mar/agent/query/macos",
23185.                 "enabled" : true
23186.               },
23187.               "capability" : {
23188.                 "catalogVersion" : 230233,
23189.                 "dbVersion" : 2,
23190.                 "id" : "58efec8ee4b0c390d69a8e1f",
23191.                 "name" : "NetworkFlow",
23192.                 "description" : "Gets flow information",
23193.                 "module" : "NetworkFlow",
23194.                 "function" : "FindFlow",
23195.                 "contentEnabled" : false,
23196.                 "arguments" : [ ],
23197.                 "outputs" : [ ],
23198.                 "formatArgs" : { },
23199.                 "format" : "BIN",
23200.                 "platforms" : [ {
23201.                   "catalogVersion" : 230233,
23202.                   "dbVersion" : 2,
23203.                   "id" : "58efec8ee4b0c390d69a8e0e",
23204.                   "name" : "windows",
23205.                   "topic" : "/mcafee/mar/agent/query/windows",
23206.                   "enabled" : true
23207.                 }, {
23208.                   "catalogVersion" : 230233,
23209.                   "dbVersion" : 2,
23210.                   "id" : "58efec8ee4b0c390d69a8e0f",
23211.                   "name" : "linux",
23212.                   "topic" : "/mcafee/mar/agent/query/linux",
23213.                   "enabled" : true
23214.                 }, {
23215.                   "catalogVersion" : 230233,
23216.                   "dbVersion" : 2,
23217.                   "id" : "5a1a45c9e4b0401274ab7141",
23218.                   "name" : "macos",
23219.                   "topic" : "/mcafee/mar/agent/query/macos",
23220.                   "enabled" : true
23221.                 } ],
23222.                 "platformSettings" : [ {
23223.                   "platform" : {
23224.                     "catalogVersion" : 230233,
23225.                     "dbVersion" : 2,
23226.                     "id" : "58efec8ee4b0c390d69a8e0e",
23227.                     "name" : "windows",
23228.                     "topic" : "/mcafee/mar/agent/query/windows",
23229.                     "enabled" : true
23230.                   },
23231.                   "utf8Sensitive" : false
23232.                 }, {
23233.                   "platform" : {
23234.                     "catalogVersion" : 230233,
23235.                     "dbVersion" : 2,
23236.                     "id" : "58efec8ee4b0c390d69a8e0f",
23237.                     "name" : "linux",
23238.                     "topic" : "/mcafee/mar/agent/query/linux",
23239.                     "enabled" : true
23240.                   },
23241.                   "utf8Sensitive" : false
23242.                 }, {
23243.                   "platform" : {
23244.                     "catalogVersion" : 230233,
23245.                     "dbVersion" : 2,
23246.                     "id" : "5a1a45c9e4b0401274ab7141",
23247.                     "name" : "macos",
23248.                     "topic" : "/mcafee/mar/agent/query/macos",
23249.                     "enabled" : true
23250.                   },
23251.                   "utf8Sensitive" : false
23252.                 } ],
23253.                 "itemType" : "BUILTIN",
23254.                 "catalogItems" : [ "COLLECTOR" ]
23255.               },
23256.               "content" : null,
23257.               "arguments" : [ ],
23258.               "utf8Sensitive" : false
23259.             } ],
23260.             "timeout" : 60,
23261.             "outputs" : [ {
23262.               "id" : "58efec8ee4b0c390d69a8e85",
23263.               "name" : "time",
23264.               "type" : "DATE",
23265.               "byDefault" : true,
23266.               "sequence" : 1
23267.             }, {
23268.               "id" : "58efec8ee4b0c390d69a8e86",
23269.               "name" : "direction",
23270.               "type" : "STRING",
23271.               "byDefault" : true,
23272.               "sequence" : 2
23273.             }, {
23274.               "id" : "58efec8ee4b0c390d69a8e87",
23275.               "name" : "src_ip",
23276.               "type" : "IPV4IPV6",
23277.               "byDefault" : true,
23278.               "sequence" : 3
23279.             }, {
23280.               "id" : "58efec8ee4b0c390d69a8e88",
23281.               "name" : "src_port",
23282.               "type" : "NUMBER",
23283.               "byDefault" : true,
23284.               "sequence" : 4
23285.             }, {
23286.               "id" : "58efec8ee4b0c390d69a8e89",
23287.               "name" : "dst_ip",
23288.               "type" : "IPV4IPV6",
23289.               "byDefault" : true,
23290.               "sequence" : 5
23291.             }, {
23292.               "id" : "58efec8ee4b0c390d69a8e8a",
23293.               "name" : "dst_port",
23294.               "type" : "NUMBER",
23295.               "byDefault" : true,
23296.               "sequence" : 6
23297.             }, {
23298.               "id" : "58efec8ee4b0c390d69a8e8b",
23299.               "name" : "status",
23300.               "type" : "STRING",
23301.               "byDefault" : true,
23302.               "sequence" : 7
23303.             }, {
23304.               "id" : "58efec8ee4b0c390d69a8e8c",
23305.               "name" : "proto",
23306.               "type" : "STRING",
23307.               "byDefault" : true,
23308.               "sequence" : 8
23309.             }, {
23310.               "id" : "58efec8ee4b0c390d69a8e8d",
23311.               "name" : "ip_class",
23312.               "type" : "NUMBER",
23313.               "byDefault" : false,
23314.               "sequence" : 9
23315.             }, {
23316.               "id" : "58efec8ee4b0c390d69a8e8e",
23317.               "name" : "seq_number",
23318.               "type" : "NUMBER",
23319.               "byDefault" : false,
23320.               "sequence" : 10
23321.             }, {
23322.               "id" : "58efec8ee4b0c390d69a8e8f",
23323.               "name" : "src_mac",
23324.               "type" : "STRING",
23325.               "byDefault" : false,
23326.               "sequence" : 11
23327.             }, {
23328.               "id" : "58efec8ee4b0c390d69a8e90",
23329.               "name" : "dst_mac",
23330.               "type" : "STRING",
23331.               "byDefault" : false,
23332.               "sequence" : 12
23333.             }, {
23334.               "id" : "58efec8ee4b0c390d69a8e91",
23335.               "name" : "process",
23336.               "type" : "STRING",
23337.               "byDefault" : true,
23338.               "sequence" : 13
23339.             }, {
23340.               "id" : "58efec8ee4b0c390d69a8e92",
23341.               "name" : "process_id",
23342.               "type" : "NUMBER",
23343.               "byDefault" : false,
23344.               "sequence" : 14
23345.             }, {
23346.               "id" : "58efec8ee4b0c390d69a8e93",
23347.               "name" : "md5",
23348.               "type" : "STRING",
23349.               "byDefault" : false,
23350.               "sequence" : 15
23351.             }, {
23352.               "id" : "58efec8ee4b0c390d69a8e94",
23353.               "name" : "sha1",
23354.               "type" : "STRING",
23355.               "byDefault" : false,
23356.               "sequence" : 16
23357.             }, {
23358.               "id" : "58efec8ee4b0c390d69a8e95",
23359.               "name" : "user",
23360.               "type" : "STRING",
23361.               "byDefault" : true,
23362.               "sequence" : 17
23363.             }, {
23364.               "id" : "58efec8ee4b0c390d69a8e96",
23365.               "name" : "user_id",
23366.               "type" : "STRING",
23367.               "byDefault" : false,
23368.               "sequence" : 18
23369.             }, {
23370.               "id" : "5a1a45cbe4b0401274ab7191",
23371.               "name" : "sha256",
23372.               "type" : "STRING",
23373.               "byDefault" : false,
23374.               "sequence" : 19
23375.             } ]
23376.           }
23377.         } ]
23378.       } ]
23379.     },
23380.     "running" : false,
23381.     "createdAt" : 1530900630396,
23382.     "executedAt" : null,
23383.     "status" : "CREATED",
23384.     "ttl" : 60000,
23385.     "startTime" : null,
23386.     "endpointPermission" : null,
23387.     "maGuidsTarget" : null,
23388.     "expectedHostResponses" : 0
23389.   },
23390.   "type" : "com.intel.mar.model.search.Search"
23391. }, {
23392.   "item" : {
23393.     "catalogVersion" : 1,
23394.     "dbVersion" : 2,
23395.     "id" : "5b3fb096e4b0cbe06dd67326",
23396.     "name" : "UNUSUAL BEHAVIOR - Local Administrator Enabled",
23397.     "description" : "",
23398.     "type" : null,
23399.     "expression" : "UserProfiles where UserProfiles domain not equals \"MINNEMOTO\" and UserProfiles accountname equals \"Administrator\" and UserProfiles accountdisabled equals \"False\"",
23400.     "temporal" : false,
23401.     "invalid" : false,
23402.     "aggregated" : true,
23403.     "projections" : [ {
23404.       "collector" : {
23405.         "catalogVersion" : 230233,
23406.         "dbVersion" : 2,
23407.         "id" : "58efec8ee4b0c390d69a8edb",
23408.         "name" : "UserProfiles",
23409.         "description" : "Shows all local user information, to include group memberships.",
23410.         "type" : "BUILTIN",
23411.         "contents" : [ {
23412.           "platform" : {
23413.             "catalogVersion" : 230233,
23414.             "dbVersion" : 2,
23415.             "id" : "5a1a45c9e4b0401274ab7141",
23416.             "name" : "macos",
23417.             "topic" : "/mcafee/mar/agent/query/macos",
23418.             "enabled" : true
23419.           },
23420.           "capability" : {
23421.             "catalogVersion" : 230233,
23422.             "dbVersion" : 2,
23423.             "id" : "58efec8ee4b0c390d69a8e14",
23424.             "name" : "Bash Script",
23425.             "description" : "Executes Bash script on target client",
23426.             "module" : "SystemRuntime",
23427.             "function" : "executeBash",
23428.             "contentEnabled" : true,
23429.             "arguments" : [ ],
23430.             "outputs" : [ ],
23431.             "formatArgs" : {
23432.               "hasHeaders" : false,
23433.               "delimiter" : ","
23434.             },
23435.             "format" : "CSV",
23436.             "platforms" : [ {
23437.               "catalogVersion" : 230233,
23438.               "dbVersion" : 2,
23439.               "id" : "58efec8ee4b0c390d69a8e0f",
23440.               "name" : "linux",
23441.               "topic" : "/mcafee/mar/agent/query/linux",
23442.               "enabled" : true
23443.             }, {
23444.               "catalogVersion" : 230233,
23445.               "dbVersion" : 2,
23446.               "id" : "5a1a45c9e4b0401274ab7141",
23447.               "name" : "macos",
23448.               "topic" : "/mcafee/mar/agent/query/macos",
23449.               "enabled" : true
23450.             } ],
23451.             "platformSettings" : [ {
23452.               "platform" : {
23453.                 "catalogVersion" : 230233,
23454.                 "dbVersion" : 2,
23455.                 "id" : "58efec8ee4b0c390d69a8e0f",
23456.                 "name" : "linux",
23457.                 "topic" : "/mcafee/mar/agent/query/linux",
23458.                 "enabled" : true
23459.               },
23460.               "utf8Sensitive" : false
23461.             }, {
23462.               "platform" : {
23463.                 "catalogVersion" : 230233,
23464.                 "dbVersion" : 2,
23465.                 "id" : "5a1a45c9e4b0401274ab7141",
23466.                 "name" : "macos",
23467.                 "topic" : "/mcafee/mar/agent/query/macos",
23468.                 "enabled" : true
23469.               },
23470.               "utf8Sensitive" : false
23471.             } ],
23472.             "itemType" : "CUSTOM",
23473.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
23474.           },
23475.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\n_RAWDBUSER=$(dscl . -readall /Users  'RealName' 'PrimaryGroupID' 'NFSHomeDirectory' 'UserShell')\n_RAWDBGROUPS=$(dscl . -readall /groups 'RecordName' 'PrimaryGroupID')\nARRAYDBUSER[0]='NO USER'\nARRAYDBGROUP[0]='NO GROUP'\nARRAYDBGROUP_ID[0]='NO GROUP'\nARRAYDBGROUP_NAME[0]='NO GROUP'\n_NU=0\n_NG=0\n\n# Separate group info\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NG=$((_NG+1));\n    else\n        ARRAYDBGROUP[_NG]=\"${ARRAYDBGROUP[_NG]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBGROUPS\"\n\n\n# Group Details\nfor (( i=0; i < ${#ARRAYDBGROUP[@]} ; i++))\ndo\n    ARRAYDBGROUP_ID[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null | grep PrimaryGroupID: |\\\n                 sed -Ee 's/PrimaryGroupID:[[:space:]]*(.*)$/\\1/'\")\n    ARRAYDBGROUP_NAME[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null |\\\n                 perl -0777 -pe 's/RecordName:\\n/RecordName:/g' | sed -Ee '/RecordName/!d;s/RecordName: //g'\")\ndone\n\n# Function Search by id\nfunction searchGroupByID(){\n    local id=\"$1\"\n    for (( i=1; i < ${#ARRAYDBGROUP_ID[@]} ; i++))\n    do\n        if [[ \"${ARRAYDBGROUP_ID[i]}\" == \"$id\" ]];then\n            echo -n \"${ARRAYDBGROUP_NAME[i]}\"\n            return 0;\n        fi\n    done\n    return 0;\n}\n\n\n# Separate User account\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NU=$((_NU+1));\n    else\n        ARRAYDBUSER[_NU]=\"${ARRAYDBUSER[_NU]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBUSER\"\n\n# Account details\nfor (( i=1; i < ${#ARRAYDBUSER[@]} ; i++))\ndo\n    Disabled=\"False\"\n    GroupID=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/PrimaryGroupID:\\n/PrimaryGroupID:/g' |\\\n              sed -Ee '/PrimaryGroupID/!d;s/PrimaryGroupID: //g'\")\n    Username=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RecordName:\\n/RecordName:/g' |\\\n              sed -Ee '/RecordName/!d;s/RecordName: //g'\")\n    FullName=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RealName:\\n/RealName:/g' |\\\n              sed -Ee '/RealName/!d;s/RealName: //g'\")\n    GROUP_NAME=$(eval \"searchGroupByID $GroupID\")\n    GROUP_NAME=${GROUP_NAME/\\\\/\\\\\\\\}\n    UserShell=$(echo \"${ARRAYDBUSER[i]}\" 2>/dev/null | grep \"UserShell\")\n    [[ \"$UserShell\" =~ \"false\" || \"$UserShell\" =~ \"nologin\" ]] && Disabled=\"True\"\n    echo \"\\\"$Disabled\\\",\\\"\\\",\\\"$FullName\\\",\\\"\\\",\\\"\\\",\\\"\\\",\\\"$Username\\\",\\\"\\\",\\\"\\\",\\\"$GROUP_NAME\\\"\"\ndone\n",
23476.           "arguments" : [ ],
23477.           "utf8Sensitive" : false
23478.         }, {
23479.           "platform" : {
23480.             "catalogVersion" : 230233,
23481.             "dbVersion" : 2,
23482.             "id" : "58efec8ee4b0c390d69a8e0f",
23483.             "name" : "linux",
23484.             "topic" : "/mcafee/mar/agent/query/linux",
23485.             "enabled" : true
23486.           },
23487.           "capability" : {
23488.             "catalogVersion" : 230233,
23489.             "dbVersion" : 2,
23490.             "id" : "58efec8ee4b0c390d69a8e14",
23491.             "name" : "Bash Script",
23492.             "description" : "Executes Bash script on target client",
23493.             "module" : "SystemRuntime",
23494.             "function" : "executeBash",
23495.             "contentEnabled" : true,
23496.             "arguments" : [ ],
23497.             "outputs" : [ ],
23498.             "formatArgs" : {
23499.               "hasHeaders" : false,
23500.               "delimiter" : ","
23501.             },
23502.             "format" : "CSV",
23503.             "platforms" : [ {
23504.               "catalogVersion" : 230233,
23505.               "dbVersion" : 2,
23506.               "id" : "58efec8ee4b0c390d69a8e0f",
23507.               "name" : "linux",
23508.               "topic" : "/mcafee/mar/agent/query/linux",
23509.               "enabled" : true
23510.             }, {
23511.               "catalogVersion" : 230233,
23512.               "dbVersion" : 2,
23513.               "id" : "5a1a45c9e4b0401274ab7141",
23514.               "name" : "macos",
23515.               "topic" : "/mcafee/mar/agent/query/macos",
23516.               "enabled" : true
23517.             } ],
23518.             "platformSettings" : [ {
23519.               "platform" : {
23520.                 "catalogVersion" : 230233,
23521.                 "dbVersion" : 2,
23522.                 "id" : "58efec8ee4b0c390d69a8e0f",
23523.                 "name" : "linux",
23524.                 "topic" : "/mcafee/mar/agent/query/linux",
23525.                 "enabled" : true
23526.               },
23527.               "utf8Sensitive" : false
23528.             }, {
23529.               "platform" : {
23530.                 "catalogVersion" : 230233,
23531.                 "dbVersion" : 2,
23532.                 "id" : "5a1a45c9e4b0401274ab7141",
23533.                 "name" : "macos",
23534.                 "topic" : "/mcafee/mar/agent/query/macos",
23535.                 "enabled" : true
23536.               },
23537.               "utf8Sensitive" : false
23538.             } ],
23539.             "itemType" : "CUSTOM",
23540.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
23541.           },
23542.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\nescapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\ngetPasswdFile() {\n    if [ -r /etc/passwd ]; then\n        cat \"/etc/passwd\"\n    else\n        return 1\n    fi\n}\n\ngetDisabledStatus() {\n    passwdLine=\"$1\"\n    disabled=\"False\"\n\n    userPasswd=$(echo \"$passwdLine\" | cut -d ':' -f2)\n    userPasswdFirstChar=\"${userPasswd:0:1}\"\n    userShell=$(echo \"$passwdLine\" | cut -d ':' -f7)\n    [[ \"$userShell\" =~ \"nologin\" || \"$userShell\" =~ \"false\" || \"$userPasswdFirstChar\" == \"!\" ]] && disabled=\"True\"\n\n    echo \"$disabled\"\n}\n\ngetExpirationStatus() {\n    userName=\"$1\"\n    passwordExpires=\"False\"\n    passwordExpireDate=$(chage -l \"$userName\" | grep \"Password expires\" | cut -d ':' -f2)\n    [[ ! \"$passwordExpireDate\" =~ \"never\" ]] && passwordExpires=\"True\"\n\n    echo \"$passwordExpires\"\n}\n\ngetGroups() {\n    userName=\"$1\"\n    groups=$(groups \"$userName\" | sed -e 's/.*:[[:space:]]//')\n    echo \"$groups\"\n}\n\ngetUserName() {\n    passwdLine=\"$1\"\n    userName=$(echo \"$passwdLine\" | cut -d \":\" -f1)\n    echo \"$userName\"\n}\n\ngetUserFullName() {\n    passwdLine=\"$1\"\n    userFullName=$(echo \"$passwdLine\" | awk 'BEGIN { FS=\":\" } { if($5==\"\") print \" \"; else print $5 }' | cut -d ',' -f 1)\n    [[ \"$userFullName\" == \" \" ]] && userFullName=\"\"\n    echo \"$userFullName\"\n}\n\nprintUserInfo() {\n    passwdLine=\"$1\"\n\n    userName=$(getUserName \"$passwdLine\"| escapeSpecialCharacters)\n    userFullName=$(getUserFullName \"$passwdLine\" |  escapeSpecialCharacters)\n    disabled=$(getDisabledStatus \"$passwdLine\")\n\n    groups=$(getGroups \"$userName\" | escapeSpecialCharacters)\n    passwordExpires=$(getExpirationStatus \"$userName\")\n\n    echo \"\\\"$disabled\\\",,\\\"$userFullName\\\",,,,\\\"$userName\\\",,\\\"$passwordExpires\\\",\\\"$groups\\\"\"\n}\n\nprocessUsers() {\n    passwdContents=$(getPasswdFile)\n    while read -r passwdLine; do\n        printUserInfo \"$passwdLine\"\n    done <<< \"$passwdContents\"\n}\n\n\nmain() {\n\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processUsers\n}\n\nmain \"$@\"\n",
23543.           "arguments" : [ ],
23544.           "utf8Sensitive" : false
23545.         }, {
23546.           "platform" : {
23547.             "catalogVersion" : 230233,
23548.             "dbVersion" : 2,
23549.             "id" : "58efec8ee4b0c390d69a8e0e",
23550.             "name" : "windows",
23551.             "topic" : "/mcafee/mar/agent/query/windows",
23552.             "enabled" : true
23553.           },
23554.           "capability" : {
23555.             "catalogVersion" : 230233,
23556.             "dbVersion" : 2,
23557.             "id" : "58efec8ee4b0c390d69a8e61",
23558.             "name" : "Execute PowerShell Script",
23559.             "description" : "Runs Windows PowerShell Scripts",
23560.             "module" : "SystemRuntime",
23561.             "function" : "executePS",
23562.             "contentEnabled" : true,
23563.             "arguments" : [ ],
23564.             "outputs" : [ ],
23565.             "formatArgs" : {
23566.               "hasHeaders" : false,
23567.               "delimiter" : ","
23568.             },
23569.             "format" : "CSV",
23570.             "platforms" : [ {
23571.               "catalogVersion" : 230233,
23572.               "dbVersion" : 2,
23573.               "id" : "58efec8ee4b0c390d69a8e0e",
23574.               "name" : "windows",
23575.               "topic" : "/mcafee/mar/agent/query/windows",
23576.               "enabled" : true
23577.             } ],
23578.             "platformSettings" : [ {
23579.               "platform" : {
23580.                 "catalogVersion" : 230233,
23581.                 "dbVersion" : 2,
23582.                 "id" : "58efec8ee4b0c390d69a8e0e",
23583.                 "name" : "windows",
23584.                 "topic" : "/mcafee/mar/agent/query/windows",
23585.                 "enabled" : true
23586.               },
23587.               "utf8Sensitive" : false
23588.             } ],
23589.             "itemType" : "CUSTOM",
23590.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
23591.           },
23592.           "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all local user information, to include group memberships.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\n$user_objects = @();\r\n$user_objects = Get-WmiObject Win32_UserAccount -Filter \"LocalAccount=True\";\r\n\r\nNew-PSDrive -PSProvider Registry -Name HKU -Root 'HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList' | Out-Null;\r\n\r\n$loggedUserAccounts= @(Get-ChildItem -Path \"HKU:\\\");\r\n\r\nforeach ($user in $loggedUserAccounts){\r\n    $exist = $false;\r\n    if(([string]$user.PSChildName -ne \"S-1-5-18\") -and ([string]$user.PSChildName -ne \"S-1-5-19\") -and ([string]$user.PSChildName -ne \"S-1-5-20\")) {\r\n        for($i=0; ($i -lt $user_objects.Count) -and -not $exist; $i++) {\r\n            if($user.PSChildName -eq $user_objects[$i].SID) {$exist = $true;}\r\n        }\r\n        if(-not $exist) {\r\n            $disabled = \"\"\r\n            $domain = \"\"\r\n            $fullname = \"\"\r\n            $path = $user.Name;\r\n            $folder = \"\"\r\n            $name = \"\"\r\n            $sid = \"\"\r\n            if (Test-Path((\"HKU:/\"+$path))){\r\n                $folder=(Get-Item -Path (\"HKU:/\"+$path)).GetValue(\"ProfileImagePath\");\r\n                $name = [string]($folder -split \"\\\\\")[2];\r\n                $sid = $user.PSChildName\r\n            }\r\n            if ((Test-Path ($folder)) -and ($folder -ne \"\")) {\r\n                Try { $installdate = [string](((Get-Item $folder).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n            } else {\r\n                $installdate = \"\";\r\n            }\r\n            $localaccount = \"False\"\r\n            $lockout = \"\"\r\n            $passwordexpires = \"\"\r\n            $groups = \"\"\r\n\r\n            $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n            Write-Output $result;\r\n        }\r\n    }\r\n}\r\n\r\nforeach ($user in $user_objects) {\r\n    Try { $disabled = [string]$user.Disabled; } Catch { $disabled = \"\"; }\r\n    Try { $domain = [string]$user.Domain; } Catch { $domain = \"\"; }\r\n    Try { $fullname = [string]$user.FullName; } Catch { $fullname = \"\"; }\r\n    Try { $name = [string]$user.Name; } Catch { $name = \"\"; }\r\n    Try { $path = (\"C:\\Users\\\"+$name); } Catch { $path = \"\"; }\r\n    if ((Test-Path ($path)) -and ($path -ne \"\")) {\r\n        Try { $installdate = [string](((Get-Item $path).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n    } else {\r\n        $installdate = \"\";\r\n    }\r\n    Try { $localaccount = [string]$user.LocalAccount; } Catch { $localaccount = \"\"; }\r\n    Try { $lockout = [string]$user.Lockout; } Catch { $lockout = \"\"; }\r\n    Try { $sid = [string]$user.SID; } Catch { $sid = \"\"; }\r\n    Try { $passwordexpires = [string]$user.PasswordExpires; } Catch { $passwordexpires = \"\"; }\r\n    $groups = \"\"\r\n\r\n    $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n    Write-Output $result;\r\n}\r\n",
23593.           "arguments" : [ ],
23594.           "utf8Sensitive" : false
23595.         } ],
23596.         "timeout" : 60,
23597.         "outputs" : [ {
23598.           "id" : "58efec8ee4b0c390d69a8ed1",
23599.           "name" : "accountdisabled",
23600.           "type" : "STRING",
23601.           "byDefault" : false,
23602.           "sequence" : 1
23603.         }, {
23604.           "id" : "58efec8ee4b0c390d69a8ed2",
23605.           "name" : "domain",
23606.           "type" : "STRING",
23607.           "byDefault" : false,
23608.           "sequence" : 2
23609.         }, {
23610.           "id" : "58efec8ee4b0c390d69a8ed3",
23611.           "name" : "fullname",
23612.           "type" : "STRING",
23613.           "byDefault" : false,
23614.           "sequence" : 3
23615.         }, {
23616.           "id" : "58efec8ee4b0c390d69a8ed4",
23617.           "name" : "installdate",
23618.           "type" : "DATE",
23619.           "byDefault" : false,
23620.           "sequence" : 4
23621.         }, {
23622.           "id" : "58efec8ee4b0c390d69a8ed5",
23623.           "name" : "localaccount",
23624.           "type" : "STRING",
23625.           "byDefault" : false,
23626.           "sequence" : 5
23627.         }, {
23628.           "id" : "58efec8ee4b0c390d69a8ed6",
23629.           "name" : "lockedout",
23630.           "type" : "STRING",
23631.           "byDefault" : false,
23632.           "sequence" : 6
23633.         }, {
23634.           "id" : "58efec8ee4b0c390d69a8ed7",
23635.           "name" : "accountname",
23636.           "type" : "STRING",
23637.           "byDefault" : false,
23638.           "sequence" : 7
23639.         }, {
23640.           "id" : "58efec8ee4b0c390d69a8ed8",
23641.           "name" : "sid",
23642.           "type" : "STRING",
23643.           "byDefault" : false,
23644.           "sequence" : 8
23645.         }, {
23646.           "id" : "58efec8ee4b0c390d69a8ed9",
23647.           "name" : "passwordexpires",
23648.           "type" : "STRING",
23649.           "byDefault" : false,
23650.           "sequence" : 9
23651.         }, {
23652.           "id" : "58efec8ee4b0c390d69a8eda",
23653.           "name" : "groups",
23654.           "type" : "STRING",
23655.           "byDefault" : false,
23656.           "sequence" : 10
23657.         } ]
23658.       },
23659.       "sequence" : "1",
23660.       "output" : [ ]
23661.     } ],
23662.     "disjunction" : {
23663.       "conjunctions" : [ {
23664.         "terms" : [ {
23665.           "output" : {
23666.             "id" : "58efec8ee4b0c390d69a8ed2",
23667.             "name" : "domain",
23668.             "type" : "STRING",
23669.             "byDefault" : false,
23670.             "sequence" : 2
23671.           },
23672.           "operator" : "EQUALS",
23673.           "value" : "MINNEMOTO",
23674.           "negated" : true,
23675.           "collector" : {
23676.             "catalogVersion" : 230233,
23677.             "dbVersion" : 2,
23678.             "id" : "58efec8ee4b0c390d69a8edb",
23679.             "name" : "UserProfiles",
23680.             "description" : "Shows all local user information, to include group memberships.",
23681.             "type" : "BUILTIN",
23682.             "contents" : [ {
23683.               "platform" : {
23684.                 "catalogVersion" : 230233,
23685.                 "dbVersion" : 2,
23686.                 "id" : "5a1a45c9e4b0401274ab7141",
23687.                 "name" : "macos",
23688.                 "topic" : "/mcafee/mar/agent/query/macos",
23689.                 "enabled" : true
23690.               },
23691.               "capability" : {
23692.                 "catalogVersion" : 230233,
23693.                 "dbVersion" : 2,
23694.                 "id" : "58efec8ee4b0c390d69a8e14",
23695.                 "name" : "Bash Script",
23696.                 "description" : "Executes Bash script on target client",
23697.                 "module" : "SystemRuntime",
23698.                 "function" : "executeBash",
23699.                 "contentEnabled" : true,
23700.                 "arguments" : [ ],
23701.                 "outputs" : [ ],
23702.                 "formatArgs" : {
23703.                   "hasHeaders" : false,
23704.                   "delimiter" : ","
23705.                 },
23706.                 "format" : "CSV",
23707.                 "platforms" : [ {
23708.                   "catalogVersion" : 230233,
23709.                   "dbVersion" : 2,
23710.                   "id" : "58efec8ee4b0c390d69a8e0f",
23711.                   "name" : "linux",
23712.                   "topic" : "/mcafee/mar/agent/query/linux",
23713.                   "enabled" : true
23714.                 }, {
23715.                   "catalogVersion" : 230233,
23716.                   "dbVersion" : 2,
23717.                   "id" : "5a1a45c9e4b0401274ab7141",
23718.                   "name" : "macos",
23719.                   "topic" : "/mcafee/mar/agent/query/macos",
23720.                   "enabled" : true
23721.                 } ],
23722.                 "platformSettings" : [ {
23723.                   "platform" : {
23724.                     "catalogVersion" : 230233,
23725.                     "dbVersion" : 2,
23726.                     "id" : "58efec8ee4b0c390d69a8e0f",
23727.                     "name" : "linux",
23728.                     "topic" : "/mcafee/mar/agent/query/linux",
23729.                     "enabled" : true
23730.                   },
23731.                   "utf8Sensitive" : false
23732.                 }, {
23733.                   "platform" : {
23734.                     "catalogVersion" : 230233,
23735.                     "dbVersion" : 2,
23736.                     "id" : "5a1a45c9e4b0401274ab7141",
23737.                     "name" : "macos",
23738.                     "topic" : "/mcafee/mar/agent/query/macos",
23739.                     "enabled" : true
23740.                   },
23741.                   "utf8Sensitive" : false
23742.                 } ],
23743.                 "itemType" : "CUSTOM",
23744.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
23745.               },
23746.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\n_RAWDBUSER=$(dscl . -readall /Users  'RealName' 'PrimaryGroupID' 'NFSHomeDirectory' 'UserShell')\n_RAWDBGROUPS=$(dscl . -readall /groups 'RecordName' 'PrimaryGroupID')\nARRAYDBUSER[0]='NO USER'\nARRAYDBGROUP[0]='NO GROUP'\nARRAYDBGROUP_ID[0]='NO GROUP'\nARRAYDBGROUP_NAME[0]='NO GROUP'\n_NU=0\n_NG=0\n\n# Separate group info\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NG=$((_NG+1));\n    else\n        ARRAYDBGROUP[_NG]=\"${ARRAYDBGROUP[_NG]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBGROUPS\"\n\n\n# Group Details\nfor (( i=0; i < ${#ARRAYDBGROUP[@]} ; i++))\ndo\n    ARRAYDBGROUP_ID[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null | grep PrimaryGroupID: |\\\n                 sed -Ee 's/PrimaryGroupID:[[:space:]]*(.*)$/\\1/'\")\n    ARRAYDBGROUP_NAME[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null |\\\n                 perl -0777 -pe 's/RecordName:\\n/RecordName:/g' | sed -Ee '/RecordName/!d;s/RecordName: //g'\")\ndone\n\n# Function Search by id\nfunction searchGroupByID(){\n    local id=\"$1\"\n    for (( i=1; i < ${#ARRAYDBGROUP_ID[@]} ; i++))\n    do\n        if [[ \"${ARRAYDBGROUP_ID[i]}\" == \"$id\" ]];then\n            echo -n \"${ARRAYDBGROUP_NAME[i]}\"\n            return 0;\n        fi\n    done\n    return 0;\n}\n\n\n# Separate User account\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NU=$((_NU+1));\n    else\n        ARRAYDBUSER[_NU]=\"${ARRAYDBUSER[_NU]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBUSER\"\n\n# Account details\nfor (( i=1; i < ${#ARRAYDBUSER[@]} ; i++))\ndo\n    Disabled=\"False\"\n    GroupID=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/PrimaryGroupID:\\n/PrimaryGroupID:/g' |\\\n              sed -Ee '/PrimaryGroupID/!d;s/PrimaryGroupID: //g'\")\n    Username=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RecordName:\\n/RecordName:/g' |\\\n              sed -Ee '/RecordName/!d;s/RecordName: //g'\")\n    FullName=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RealName:\\n/RealName:/g' |\\\n              sed -Ee '/RealName/!d;s/RealName: //g'\")\n    GROUP_NAME=$(eval \"searchGroupByID $GroupID\")\n    GROUP_NAME=${GROUP_NAME/\\\\/\\\\\\\\}\n    UserShell=$(echo \"${ARRAYDBUSER[i]}\" 2>/dev/null | grep \"UserShell\")\n    [[ \"$UserShell\" =~ \"false\" || \"$UserShell\" =~ \"nologin\" ]] && Disabled=\"True\"\n    echo \"\\\"$Disabled\\\",\\\"\\\",\\\"$FullName\\\",\\\"\\\",\\\"\\\",\\\"\\\",\\\"$Username\\\",\\\"\\\",\\\"\\\",\\\"$GROUP_NAME\\\"\"\ndone\n",
23747.               "arguments" : [ ],
23748.               "utf8Sensitive" : false
23749.             }, {
23750.               "platform" : {
23751.                 "catalogVersion" : 230233,
23752.                 "dbVersion" : 2,
23753.                 "id" : "58efec8ee4b0c390d69a8e0f",
23754.                 "name" : "linux",
23755.                 "topic" : "/mcafee/mar/agent/query/linux",
23756.                 "enabled" : true
23757.               },
23758.               "capability" : {
23759.                 "catalogVersion" : 230233,
23760.                 "dbVersion" : 2,
23761.                 "id" : "58efec8ee4b0c390d69a8e14",
23762.                 "name" : "Bash Script",
23763.                 "description" : "Executes Bash script on target client",
23764.                 "module" : "SystemRuntime",
23765.                 "function" : "executeBash",
23766.                 "contentEnabled" : true,
23767.                 "arguments" : [ ],
23768.                 "outputs" : [ ],
23769.                 "formatArgs" : {
23770.                   "hasHeaders" : false,
23771.                   "delimiter" : ","
23772.                 },
23773.                 "format" : "CSV",
23774.                 "platforms" : [ {
23775.                   "catalogVersion" : 230233,
23776.                   "dbVersion" : 2,
23777.                   "id" : "58efec8ee4b0c390d69a8e0f",
23778.                   "name" : "linux",
23779.                   "topic" : "/mcafee/mar/agent/query/linux",
23780.                   "enabled" : true
23781.                 }, {
23782.                   "catalogVersion" : 230233,
23783.                   "dbVersion" : 2,
23784.                   "id" : "5a1a45c9e4b0401274ab7141",
23785.                   "name" : "macos",
23786.                   "topic" : "/mcafee/mar/agent/query/macos",
23787.                   "enabled" : true
23788.                 } ],
23789.                 "platformSettings" : [ {
23790.                   "platform" : {
23791.                     "catalogVersion" : 230233,
23792.                     "dbVersion" : 2,
23793.                     "id" : "58efec8ee4b0c390d69a8e0f",
23794.                     "name" : "linux",
23795.                     "topic" : "/mcafee/mar/agent/query/linux",
23796.                     "enabled" : true
23797.                   },
23798.                   "utf8Sensitive" : false
23799.                 }, {
23800.                   "platform" : {
23801.                     "catalogVersion" : 230233,
23802.                     "dbVersion" : 2,
23803.                     "id" : "5a1a45c9e4b0401274ab7141",
23804.                     "name" : "macos",
23805.                     "topic" : "/mcafee/mar/agent/query/macos",
23806.                     "enabled" : true
23807.                   },
23808.                   "utf8Sensitive" : false
23809.                 } ],
23810.                 "itemType" : "CUSTOM",
23811.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
23812.               },
23813.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\nescapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\ngetPasswdFile() {\n    if [ -r /etc/passwd ]; then\n        cat \"/etc/passwd\"\n    else\n        return 1\n    fi\n}\n\ngetDisabledStatus() {\n    passwdLine=\"$1\"\n    disabled=\"False\"\n\n    userPasswd=$(echo \"$passwdLine\" | cut -d ':' -f2)\n    userPasswdFirstChar=\"${userPasswd:0:1}\"\n    userShell=$(echo \"$passwdLine\" | cut -d ':' -f7)\n    [[ \"$userShell\" =~ \"nologin\" || \"$userShell\" =~ \"false\" || \"$userPasswdFirstChar\" == \"!\" ]] && disabled=\"True\"\n\n    echo \"$disabled\"\n}\n\ngetExpirationStatus() {\n    userName=\"$1\"\n    passwordExpires=\"False\"\n    passwordExpireDate=$(chage -l \"$userName\" | grep \"Password expires\" | cut -d ':' -f2)\n    [[ ! \"$passwordExpireDate\" =~ \"never\" ]] && passwordExpires=\"True\"\n\n    echo \"$passwordExpires\"\n}\n\ngetGroups() {\n    userName=\"$1\"\n    groups=$(groups \"$userName\" | sed -e 's/.*:[[:space:]]//')\n    echo \"$groups\"\n}\n\ngetUserName() {\n    passwdLine=\"$1\"\n    userName=$(echo \"$passwdLine\" | cut -d \":\" -f1)\n    echo \"$userName\"\n}\n\ngetUserFullName() {\n    passwdLine=\"$1\"\n    userFullName=$(echo \"$passwdLine\" | awk 'BEGIN { FS=\":\" } { if($5==\"\") print \" \"; else print $5 }' | cut -d ',' -f 1)\n    [[ \"$userFullName\" == \" \" ]] && userFullName=\"\"\n    echo \"$userFullName\"\n}\n\nprintUserInfo() {\n    passwdLine=\"$1\"\n\n    userName=$(getUserName \"$passwdLine\"| escapeSpecialCharacters)\n    userFullName=$(getUserFullName \"$passwdLine\" |  escapeSpecialCharacters)\n    disabled=$(getDisabledStatus \"$passwdLine\")\n\n    groups=$(getGroups \"$userName\" | escapeSpecialCharacters)\n    passwordExpires=$(getExpirationStatus \"$userName\")\n\n    echo \"\\\"$disabled\\\",,\\\"$userFullName\\\",,,,\\\"$userName\\\",,\\\"$passwordExpires\\\",\\\"$groups\\\"\"\n}\n\nprocessUsers() {\n    passwdContents=$(getPasswdFile)\n    while read -r passwdLine; do\n        printUserInfo \"$passwdLine\"\n    done <<< \"$passwdContents\"\n}\n\n\nmain() {\n\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processUsers\n}\n\nmain \"$@\"\n",
23814.               "arguments" : [ ],
23815.               "utf8Sensitive" : false
23816.             }, {
23817.               "platform" : {
23818.                 "catalogVersion" : 230233,
23819.                 "dbVersion" : 2,
23820.                 "id" : "58efec8ee4b0c390d69a8e0e",
23821.                 "name" : "windows",
23822.                 "topic" : "/mcafee/mar/agent/query/windows",
23823.                 "enabled" : true
23824.               },
23825.               "capability" : {
23826.                 "catalogVersion" : 230233,
23827.                 "dbVersion" : 2,
23828.                 "id" : "58efec8ee4b0c390d69a8e61",
23829.                 "name" : "Execute PowerShell Script",
23830.                 "description" : "Runs Windows PowerShell Scripts",
23831.                 "module" : "SystemRuntime",
23832.                 "function" : "executePS",
23833.                 "contentEnabled" : true,
23834.                 "arguments" : [ ],
23835.                 "outputs" : [ ],
23836.                 "formatArgs" : {
23837.                   "hasHeaders" : false,
23838.                   "delimiter" : ","
23839.                 },
23840.                 "format" : "CSV",
23841.                 "platforms" : [ {
23842.                   "catalogVersion" : 230233,
23843.                   "dbVersion" : 2,
23844.                   "id" : "58efec8ee4b0c390d69a8e0e",
23845.                   "name" : "windows",
23846.                   "topic" : "/mcafee/mar/agent/query/windows",
23847.                   "enabled" : true
23848.                 } ],
23849.                 "platformSettings" : [ {
23850.                   "platform" : {
23851.                     "catalogVersion" : 230233,
23852.                     "dbVersion" : 2,
23853.                     "id" : "58efec8ee4b0c390d69a8e0e",
23854.                     "name" : "windows",
23855.                     "topic" : "/mcafee/mar/agent/query/windows",
23856.                     "enabled" : true
23857.                   },
23858.                   "utf8Sensitive" : false
23859.                 } ],
23860.                 "itemType" : "CUSTOM",
23861.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
23862.               },
23863.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all local user information, to include group memberships.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\n$user_objects = @();\r\n$user_objects = Get-WmiObject Win32_UserAccount -Filter \"LocalAccount=True\";\r\n\r\nNew-PSDrive -PSProvider Registry -Name HKU -Root 'HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList' | Out-Null;\r\n\r\n$loggedUserAccounts= @(Get-ChildItem -Path \"HKU:\\\");\r\n\r\nforeach ($user in $loggedUserAccounts){\r\n    $exist = $false;\r\n    if(([string]$user.PSChildName -ne \"S-1-5-18\") -and ([string]$user.PSChildName -ne \"S-1-5-19\") -and ([string]$user.PSChildName -ne \"S-1-5-20\")) {\r\n        for($i=0; ($i -lt $user_objects.Count) -and -not $exist; $i++) {\r\n            if($user.PSChildName -eq $user_objects[$i].SID) {$exist = $true;}\r\n        }\r\n        if(-not $exist) {\r\n            $disabled = \"\"\r\n            $domain = \"\"\r\n            $fullname = \"\"\r\n            $path = $user.Name;\r\n            $folder = \"\"\r\n            $name = \"\"\r\n            $sid = \"\"\r\n            if (Test-Path((\"HKU:/\"+$path))){\r\n                $folder=(Get-Item -Path (\"HKU:/\"+$path)).GetValue(\"ProfileImagePath\");\r\n                $name = [string]($folder -split \"\\\\\")[2];\r\n                $sid = $user.PSChildName\r\n            }\r\n            if ((Test-Path ($folder)) -and ($folder -ne \"\")) {\r\n                Try { $installdate = [string](((Get-Item $folder).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n            } else {\r\n                $installdate = \"\";\r\n            }\r\n            $localaccount = \"False\"\r\n            $lockout = \"\"\r\n            $passwordexpires = \"\"\r\n            $groups = \"\"\r\n\r\n            $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n            Write-Output $result;\r\n        }\r\n    }\r\n}\r\n\r\nforeach ($user in $user_objects) {\r\n    Try { $disabled = [string]$user.Disabled; } Catch { $disabled = \"\"; }\r\n    Try { $domain = [string]$user.Domain; } Catch { $domain = \"\"; }\r\n    Try { $fullname = [string]$user.FullName; } Catch { $fullname = \"\"; }\r\n    Try { $name = [string]$user.Name; } Catch { $name = \"\"; }\r\n    Try { $path = (\"C:\\Users\\\"+$name); } Catch { $path = \"\"; }\r\n    if ((Test-Path ($path)) -and ($path -ne \"\")) {\r\n        Try { $installdate = [string](((Get-Item $path).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n    } else {\r\n        $installdate = \"\";\r\n    }\r\n    Try { $localaccount = [string]$user.LocalAccount; } Catch { $localaccount = \"\"; }\r\n    Try { $lockout = [string]$user.Lockout; } Catch { $lockout = \"\"; }\r\n    Try { $sid = [string]$user.SID; } Catch { $sid = \"\"; }\r\n    Try { $passwordexpires = [string]$user.PasswordExpires; } Catch { $passwordexpires = \"\"; }\r\n    $groups = \"\"\r\n\r\n    $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n    Write-Output $result;\r\n}\r\n",
23864.               "arguments" : [ ],
23865.               "utf8Sensitive" : false
23866.             } ],
23867.             "timeout" : 60,
23868.             "outputs" : [ {
23869.               "id" : "58efec8ee4b0c390d69a8ed1",
23870.               "name" : "accountdisabled",
23871.               "type" : "STRING",
23872.               "byDefault" : false,
23873.               "sequence" : 1
23874.             }, {
23875.               "id" : "58efec8ee4b0c390d69a8ed2",
23876.               "name" : "domain",
23877.               "type" : "STRING",
23878.               "byDefault" : false,
23879.               "sequence" : 2
23880.             }, {
23881.               "id" : "58efec8ee4b0c390d69a8ed3",
23882.               "name" : "fullname",
23883.               "type" : "STRING",
23884.               "byDefault" : false,
23885.               "sequence" : 3
23886.             }, {
23887.               "id" : "58efec8ee4b0c390d69a8ed4",
23888.               "name" : "installdate",
23889.               "type" : "DATE",
23890.               "byDefault" : false,
23891.               "sequence" : 4
23892.             }, {
23893.               "id" : "58efec8ee4b0c390d69a8ed5",
23894.               "name" : "localaccount",
23895.               "type" : "STRING",
23896.               "byDefault" : false,
23897.               "sequence" : 5
23898.             }, {
23899.               "id" : "58efec8ee4b0c390d69a8ed6",
23900.               "name" : "lockedout",
23901.               "type" : "STRING",
23902.               "byDefault" : false,
23903.               "sequence" : 6
23904.             }, {
23905.               "id" : "58efec8ee4b0c390d69a8ed7",
23906.               "name" : "accountname",
23907.               "type" : "STRING",
23908.               "byDefault" : false,
23909.               "sequence" : 7
23910.             }, {
23911.               "id" : "58efec8ee4b0c390d69a8ed8",
23912.               "name" : "sid",
23913.               "type" : "STRING",
23914.               "byDefault" : false,
23915.               "sequence" : 8
23916.             }, {
23917.               "id" : "58efec8ee4b0c390d69a8ed9",
23918.               "name" : "passwordexpires",
23919.               "type" : "STRING",
23920.               "byDefault" : false,
23921.               "sequence" : 9
23922.             }, {
23923.               "id" : "58efec8ee4b0c390d69a8eda",
23924.               "name" : "groups",
23925.               "type" : "STRING",
23926.               "byDefault" : false,
23927.               "sequence" : 10
23928.             } ]
23929.           }
23930.         }, {
23931.           "output" : {
23932.             "id" : "58efec8ee4b0c390d69a8ed7",
23933.             "name" : "accountname",
23934.             "type" : "STRING",
23935.             "byDefault" : false,
23936.             "sequence" : 7
23937.           },
23938.           "operator" : "EQUALS",
23939.           "value" : "Administrator",
23940.           "negated" : false,
23941.           "collector" : {
23942.             "catalogVersion" : 230233,
23943.             "dbVersion" : 2,
23944.             "id" : "58efec8ee4b0c390d69a8edb",
23945.             "name" : "UserProfiles",
23946.             "description" : "Shows all local user information, to include group memberships.",
23947.             "type" : "BUILTIN",
23948.             "contents" : [ {
23949.               "platform" : {
23950.                 "catalogVersion" : 230233,
23951.                 "dbVersion" : 2,
23952.                 "id" : "5a1a45c9e4b0401274ab7141",
23953.                 "name" : "macos",
23954.                 "topic" : "/mcafee/mar/agent/query/macos",
23955.                 "enabled" : true
23956.               },
23957.               "capability" : {
23958.                 "catalogVersion" : 230233,
23959.                 "dbVersion" : 2,
23960.                 "id" : "58efec8ee4b0c390d69a8e14",
23961.                 "name" : "Bash Script",
23962.                 "description" : "Executes Bash script on target client",
23963.                 "module" : "SystemRuntime",
23964.                 "function" : "executeBash",
23965.                 "contentEnabled" : true,
23966.                 "arguments" : [ ],
23967.                 "outputs" : [ ],
23968.                 "formatArgs" : {
23969.                   "hasHeaders" : false,
23970.                   "delimiter" : ","
23971.                 },
23972.                 "format" : "CSV",
23973.                 "platforms" : [ {
23974.                   "catalogVersion" : 230233,
23975.                   "dbVersion" : 2,
23976.                   "id" : "58efec8ee4b0c390d69a8e0f",
23977.                   "name" : "linux",
23978.                   "topic" : "/mcafee/mar/agent/query/linux",
23979.                   "enabled" : true
23980.                 }, {
23981.                   "catalogVersion" : 230233,
23982.                   "dbVersion" : 2,
23983.                   "id" : "5a1a45c9e4b0401274ab7141",
23984.                   "name" : "macos",
23985.                   "topic" : "/mcafee/mar/agent/query/macos",
23986.                   "enabled" : true
23987.                 } ],
23988.                 "platformSettings" : [ {
23989.                   "platform" : {
23990.                     "catalogVersion" : 230233,
23991.                     "dbVersion" : 2,
23992.                     "id" : "58efec8ee4b0c390d69a8e0f",
23993.                     "name" : "linux",
23994.                     "topic" : "/mcafee/mar/agent/query/linux",
23995.                     "enabled" : true
23996.                   },
23997.                   "utf8Sensitive" : false
23998.                 }, {
23999.                   "platform" : {
24000.                     "catalogVersion" : 230233,
24001.                     "dbVersion" : 2,
24002.                     "id" : "5a1a45c9e4b0401274ab7141",
24003.                     "name" : "macos",
24004.                     "topic" : "/mcafee/mar/agent/query/macos",
24005.                     "enabled" : true
24006.                   },
24007.                   "utf8Sensitive" : false
24008.                 } ],
24009.                 "itemType" : "CUSTOM",
24010.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24011.               },
24012.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\n_RAWDBUSER=$(dscl . -readall /Users  'RealName' 'PrimaryGroupID' 'NFSHomeDirectory' 'UserShell')\n_RAWDBGROUPS=$(dscl . -readall /groups 'RecordName' 'PrimaryGroupID')\nARRAYDBUSER[0]='NO USER'\nARRAYDBGROUP[0]='NO GROUP'\nARRAYDBGROUP_ID[0]='NO GROUP'\nARRAYDBGROUP_NAME[0]='NO GROUP'\n_NU=0\n_NG=0\n\n# Separate group info\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NG=$((_NG+1));\n    else\n        ARRAYDBGROUP[_NG]=\"${ARRAYDBGROUP[_NG]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBGROUPS\"\n\n\n# Group Details\nfor (( i=0; i < ${#ARRAYDBGROUP[@]} ; i++))\ndo\n    ARRAYDBGROUP_ID[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null | grep PrimaryGroupID: |\\\n                 sed -Ee 's/PrimaryGroupID:[[:space:]]*(.*)$/\\1/'\")\n    ARRAYDBGROUP_NAME[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null |\\\n                 perl -0777 -pe 's/RecordName:\\n/RecordName:/g' | sed -Ee '/RecordName/!d;s/RecordName: //g'\")\ndone\n\n# Function Search by id\nfunction searchGroupByID(){\n    local id=\"$1\"\n    for (( i=1; i < ${#ARRAYDBGROUP_ID[@]} ; i++))\n    do\n        if [[ \"${ARRAYDBGROUP_ID[i]}\" == \"$id\" ]];then\n            echo -n \"${ARRAYDBGROUP_NAME[i]}\"\n            return 0;\n        fi\n    done\n    return 0;\n}\n\n\n# Separate User account\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NU=$((_NU+1));\n    else\n        ARRAYDBUSER[_NU]=\"${ARRAYDBUSER[_NU]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBUSER\"\n\n# Account details\nfor (( i=1; i < ${#ARRAYDBUSER[@]} ; i++))\ndo\n    Disabled=\"False\"\n    GroupID=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/PrimaryGroupID:\\n/PrimaryGroupID:/g' |\\\n              sed -Ee '/PrimaryGroupID/!d;s/PrimaryGroupID: //g'\")\n    Username=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RecordName:\\n/RecordName:/g' |\\\n              sed -Ee '/RecordName/!d;s/RecordName: //g'\")\n    FullName=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RealName:\\n/RealName:/g' |\\\n              sed -Ee '/RealName/!d;s/RealName: //g'\")\n    GROUP_NAME=$(eval \"searchGroupByID $GroupID\")\n    GROUP_NAME=${GROUP_NAME/\\\\/\\\\\\\\}\n    UserShell=$(echo \"${ARRAYDBUSER[i]}\" 2>/dev/null | grep \"UserShell\")\n    [[ \"$UserShell\" =~ \"false\" || \"$UserShell\" =~ \"nologin\" ]] && Disabled=\"True\"\n    echo \"\\\"$Disabled\\\",\\\"\\\",\\\"$FullName\\\",\\\"\\\",\\\"\\\",\\\"\\\",\\\"$Username\\\",\\\"\\\",\\\"\\\",\\\"$GROUP_NAME\\\"\"\ndone\n",
24013.               "arguments" : [ ],
24014.               "utf8Sensitive" : false
24015.             }, {
24016.               "platform" : {
24017.                 "catalogVersion" : 230233,
24018.                 "dbVersion" : 2,
24019.                 "id" : "58efec8ee4b0c390d69a8e0f",
24020.                 "name" : "linux",
24021.                 "topic" : "/mcafee/mar/agent/query/linux",
24022.                 "enabled" : true
24023.               },
24024.               "capability" : {
24025.                 "catalogVersion" : 230233,
24026.                 "dbVersion" : 2,
24027.                 "id" : "58efec8ee4b0c390d69a8e14",
24028.                 "name" : "Bash Script",
24029.                 "description" : "Executes Bash script on target client",
24030.                 "module" : "SystemRuntime",
24031.                 "function" : "executeBash",
24032.                 "contentEnabled" : true,
24033.                 "arguments" : [ ],
24034.                 "outputs" : [ ],
24035.                 "formatArgs" : {
24036.                   "hasHeaders" : false,
24037.                   "delimiter" : ","
24038.                 },
24039.                 "format" : "CSV",
24040.                 "platforms" : [ {
24041.                   "catalogVersion" : 230233,
24042.                   "dbVersion" : 2,
24043.                   "id" : "58efec8ee4b0c390d69a8e0f",
24044.                   "name" : "linux",
24045.                   "topic" : "/mcafee/mar/agent/query/linux",
24046.                   "enabled" : true
24047.                 }, {
24048.                   "catalogVersion" : 230233,
24049.                   "dbVersion" : 2,
24050.                   "id" : "5a1a45c9e4b0401274ab7141",
24051.                   "name" : "macos",
24052.                   "topic" : "/mcafee/mar/agent/query/macos",
24053.                   "enabled" : true
24054.                 } ],
24055.                 "platformSettings" : [ {
24056.                   "platform" : {
24057.                     "catalogVersion" : 230233,
24058.                     "dbVersion" : 2,
24059.                     "id" : "58efec8ee4b0c390d69a8e0f",
24060.                     "name" : "linux",
24061.                     "topic" : "/mcafee/mar/agent/query/linux",
24062.                     "enabled" : true
24063.                   },
24064.                   "utf8Sensitive" : false
24065.                 }, {
24066.                   "platform" : {
24067.                     "catalogVersion" : 230233,
24068.                     "dbVersion" : 2,
24069.                     "id" : "5a1a45c9e4b0401274ab7141",
24070.                     "name" : "macos",
24071.                     "topic" : "/mcafee/mar/agent/query/macos",
24072.                     "enabled" : true
24073.                   },
24074.                   "utf8Sensitive" : false
24075.                 } ],
24076.                 "itemType" : "CUSTOM",
24077.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24078.               },
24079.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\nescapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\ngetPasswdFile() {\n    if [ -r /etc/passwd ]; then\n        cat \"/etc/passwd\"\n    else\n        return 1\n    fi\n}\n\ngetDisabledStatus() {\n    passwdLine=\"$1\"\n    disabled=\"False\"\n\n    userPasswd=$(echo \"$passwdLine\" | cut -d ':' -f2)\n    userPasswdFirstChar=\"${userPasswd:0:1}\"\n    userShell=$(echo \"$passwdLine\" | cut -d ':' -f7)\n    [[ \"$userShell\" =~ \"nologin\" || \"$userShell\" =~ \"false\" || \"$userPasswdFirstChar\" == \"!\" ]] && disabled=\"True\"\n\n    echo \"$disabled\"\n}\n\ngetExpirationStatus() {\n    userName=\"$1\"\n    passwordExpires=\"False\"\n    passwordExpireDate=$(chage -l \"$userName\" | grep \"Password expires\" | cut -d ':' -f2)\n    [[ ! \"$passwordExpireDate\" =~ \"never\" ]] && passwordExpires=\"True\"\n\n    echo \"$passwordExpires\"\n}\n\ngetGroups() {\n    userName=\"$1\"\n    groups=$(groups \"$userName\" | sed -e 's/.*:[[:space:]]//')\n    echo \"$groups\"\n}\n\ngetUserName() {\n    passwdLine=\"$1\"\n    userName=$(echo \"$passwdLine\" | cut -d \":\" -f1)\n    echo \"$userName\"\n}\n\ngetUserFullName() {\n    passwdLine=\"$1\"\n    userFullName=$(echo \"$passwdLine\" | awk 'BEGIN { FS=\":\" } { if($5==\"\") print \" \"; else print $5 }' | cut -d ',' -f 1)\n    [[ \"$userFullName\" == \" \" ]] && userFullName=\"\"\n    echo \"$userFullName\"\n}\n\nprintUserInfo() {\n    passwdLine=\"$1\"\n\n    userName=$(getUserName \"$passwdLine\"| escapeSpecialCharacters)\n    userFullName=$(getUserFullName \"$passwdLine\" |  escapeSpecialCharacters)\n    disabled=$(getDisabledStatus \"$passwdLine\")\n\n    groups=$(getGroups \"$userName\" | escapeSpecialCharacters)\n    passwordExpires=$(getExpirationStatus \"$userName\")\n\n    echo \"\\\"$disabled\\\",,\\\"$userFullName\\\",,,,\\\"$userName\\\",,\\\"$passwordExpires\\\",\\\"$groups\\\"\"\n}\n\nprocessUsers() {\n    passwdContents=$(getPasswdFile)\n    while read -r passwdLine; do\n        printUserInfo \"$passwdLine\"\n    done <<< \"$passwdContents\"\n}\n\n\nmain() {\n\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processUsers\n}\n\nmain \"$@\"\n",
24080.               "arguments" : [ ],
24081.               "utf8Sensitive" : false
24082.             }, {
24083.               "platform" : {
24084.                 "catalogVersion" : 230233,
24085.                 "dbVersion" : 2,
24086.                 "id" : "58efec8ee4b0c390d69a8e0e",
24087.                 "name" : "windows",
24088.                 "topic" : "/mcafee/mar/agent/query/windows",
24089.                 "enabled" : true
24090.               },
24091.               "capability" : {
24092.                 "catalogVersion" : 230233,
24093.                 "dbVersion" : 2,
24094.                 "id" : "58efec8ee4b0c390d69a8e61",
24095.                 "name" : "Execute PowerShell Script",
24096.                 "description" : "Runs Windows PowerShell Scripts",
24097.                 "module" : "SystemRuntime",
24098.                 "function" : "executePS",
24099.                 "contentEnabled" : true,
24100.                 "arguments" : [ ],
24101.                 "outputs" : [ ],
24102.                 "formatArgs" : {
24103.                   "hasHeaders" : false,
24104.                   "delimiter" : ","
24105.                 },
24106.                 "format" : "CSV",
24107.                 "platforms" : [ {
24108.                   "catalogVersion" : 230233,
24109.                   "dbVersion" : 2,
24110.                   "id" : "58efec8ee4b0c390d69a8e0e",
24111.                   "name" : "windows",
24112.                   "topic" : "/mcafee/mar/agent/query/windows",
24113.                   "enabled" : true
24114.                 } ],
24115.                 "platformSettings" : [ {
24116.                   "platform" : {
24117.                     "catalogVersion" : 230233,
24118.                     "dbVersion" : 2,
24119.                     "id" : "58efec8ee4b0c390d69a8e0e",
24120.                     "name" : "windows",
24121.                     "topic" : "/mcafee/mar/agent/query/windows",
24122.                     "enabled" : true
24123.                   },
24124.                   "utf8Sensitive" : false
24125.                 } ],
24126.                 "itemType" : "CUSTOM",
24127.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24128.               },
24129.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all local user information, to include group memberships.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\n$user_objects = @();\r\n$user_objects = Get-WmiObject Win32_UserAccount -Filter \"LocalAccount=True\";\r\n\r\nNew-PSDrive -PSProvider Registry -Name HKU -Root 'HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList' | Out-Null;\r\n\r\n$loggedUserAccounts= @(Get-ChildItem -Path \"HKU:\\\");\r\n\r\nforeach ($user in $loggedUserAccounts){\r\n    $exist = $false;\r\n    if(([string]$user.PSChildName -ne \"S-1-5-18\") -and ([string]$user.PSChildName -ne \"S-1-5-19\") -and ([string]$user.PSChildName -ne \"S-1-5-20\")) {\r\n        for($i=0; ($i -lt $user_objects.Count) -and -not $exist; $i++) {\r\n            if($user.PSChildName -eq $user_objects[$i].SID) {$exist = $true;}\r\n        }\r\n        if(-not $exist) {\r\n            $disabled = \"\"\r\n            $domain = \"\"\r\n            $fullname = \"\"\r\n            $path = $user.Name;\r\n            $folder = \"\"\r\n            $name = \"\"\r\n            $sid = \"\"\r\n            if (Test-Path((\"HKU:/\"+$path))){\r\n                $folder=(Get-Item -Path (\"HKU:/\"+$path)).GetValue(\"ProfileImagePath\");\r\n                $name = [string]($folder -split \"\\\\\")[2];\r\n                $sid = $user.PSChildName\r\n            }\r\n            if ((Test-Path ($folder)) -and ($folder -ne \"\")) {\r\n                Try { $installdate = [string](((Get-Item $folder).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n            } else {\r\n                $installdate = \"\";\r\n            }\r\n            $localaccount = \"False\"\r\n            $lockout = \"\"\r\n            $passwordexpires = \"\"\r\n            $groups = \"\"\r\n\r\n            $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n            Write-Output $result;\r\n        }\r\n    }\r\n}\r\n\r\nforeach ($user in $user_objects) {\r\n    Try { $disabled = [string]$user.Disabled; } Catch { $disabled = \"\"; }\r\n    Try { $domain = [string]$user.Domain; } Catch { $domain = \"\"; }\r\n    Try { $fullname = [string]$user.FullName; } Catch { $fullname = \"\"; }\r\n    Try { $name = [string]$user.Name; } Catch { $name = \"\"; }\r\n    Try { $path = (\"C:\\Users\\\"+$name); } Catch { $path = \"\"; }\r\n    if ((Test-Path ($path)) -and ($path -ne \"\")) {\r\n        Try { $installdate = [string](((Get-Item $path).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n    } else {\r\n        $installdate = \"\";\r\n    }\r\n    Try { $localaccount = [string]$user.LocalAccount; } Catch { $localaccount = \"\"; }\r\n    Try { $lockout = [string]$user.Lockout; } Catch { $lockout = \"\"; }\r\n    Try { $sid = [string]$user.SID; } Catch { $sid = \"\"; }\r\n    Try { $passwordexpires = [string]$user.PasswordExpires; } Catch { $passwordexpires = \"\"; }\r\n    $groups = \"\"\r\n\r\n    $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n    Write-Output $result;\r\n}\r\n",
24130.               "arguments" : [ ],
24131.               "utf8Sensitive" : false
24132.             } ],
24133.             "timeout" : 60,
24134.             "outputs" : [ {
24135.               "id" : "58efec8ee4b0c390d69a8ed1",
24136.               "name" : "accountdisabled",
24137.               "type" : "STRING",
24138.               "byDefault" : false,
24139.               "sequence" : 1
24140.             }, {
24141.               "id" : "58efec8ee4b0c390d69a8ed2",
24142.               "name" : "domain",
24143.               "type" : "STRING",
24144.               "byDefault" : false,
24145.               "sequence" : 2
24146.             }, {
24147.               "id" : "58efec8ee4b0c390d69a8ed3",
24148.               "name" : "fullname",
24149.               "type" : "STRING",
24150.               "byDefault" : false,
24151.               "sequence" : 3
24152.             }, {
24153.               "id" : "58efec8ee4b0c390d69a8ed4",
24154.               "name" : "installdate",
24155.               "type" : "DATE",
24156.               "byDefault" : false,
24157.               "sequence" : 4
24158.             }, {
24159.               "id" : "58efec8ee4b0c390d69a8ed5",
24160.               "name" : "localaccount",
24161.               "type" : "STRING",
24162.               "byDefault" : false,
24163.               "sequence" : 5
24164.             }, {
24165.               "id" : "58efec8ee4b0c390d69a8ed6",
24166.               "name" : "lockedout",
24167.               "type" : "STRING",
24168.               "byDefault" : false,
24169.               "sequence" : 6
24170.             }, {
24171.               "id" : "58efec8ee4b0c390d69a8ed7",
24172.               "name" : "accountname",
24173.               "type" : "STRING",
24174.               "byDefault" : false,
24175.               "sequence" : 7
24176.             }, {
24177.               "id" : "58efec8ee4b0c390d69a8ed8",
24178.               "name" : "sid",
24179.               "type" : "STRING",
24180.               "byDefault" : false,
24181.               "sequence" : 8
24182.             }, {
24183.               "id" : "58efec8ee4b0c390d69a8ed9",
24184.               "name" : "passwordexpires",
24185.               "type" : "STRING",
24186.               "byDefault" : false,
24187.               "sequence" : 9
24188.             }, {
24189.               "id" : "58efec8ee4b0c390d69a8eda",
24190.               "name" : "groups",
24191.               "type" : "STRING",
24192.               "byDefault" : false,
24193.               "sequence" : 10
24194.             } ]
24195.           }
24196.         }, {
24197.           "output" : {
24198.             "id" : "58efec8ee4b0c390d69a8ed1",
24199.             "name" : "accountdisabled",
24200.             "type" : "STRING",
24201.             "byDefault" : false,
24202.             "sequence" : 1
24203.           },
24204.           "operator" : "EQUALS",
24205.           "value" : "False",
24206.           "negated" : false,
24207.           "collector" : {
24208.             "catalogVersion" : 230233,
24209.             "dbVersion" : 2,
24210.             "id" : "58efec8ee4b0c390d69a8edb",
24211.             "name" : "UserProfiles",
24212.             "description" : "Shows all local user information, to include group memberships.",
24213.             "type" : "BUILTIN",
24214.             "contents" : [ {
24215.               "platform" : {
24216.                 "catalogVersion" : 230233,
24217.                 "dbVersion" : 2,
24218.                 "id" : "5a1a45c9e4b0401274ab7141",
24219.                 "name" : "macos",
24220.                 "topic" : "/mcafee/mar/agent/query/macos",
24221.                 "enabled" : true
24222.               },
24223.               "capability" : {
24224.                 "catalogVersion" : 230233,
24225.                 "dbVersion" : 2,
24226.                 "id" : "58efec8ee4b0c390d69a8e14",
24227.                 "name" : "Bash Script",
24228.                 "description" : "Executes Bash script on target client",
24229.                 "module" : "SystemRuntime",
24230.                 "function" : "executeBash",
24231.                 "contentEnabled" : true,
24232.                 "arguments" : [ ],
24233.                 "outputs" : [ ],
24234.                 "formatArgs" : {
24235.                   "hasHeaders" : false,
24236.                   "delimiter" : ","
24237.                 },
24238.                 "format" : "CSV",
24239.                 "platforms" : [ {
24240.                   "catalogVersion" : 230233,
24241.                   "dbVersion" : 2,
24242.                   "id" : "58efec8ee4b0c390d69a8e0f",
24243.                   "name" : "linux",
24244.                   "topic" : "/mcafee/mar/agent/query/linux",
24245.                   "enabled" : true
24246.                 }, {
24247.                   "catalogVersion" : 230233,
24248.                   "dbVersion" : 2,
24249.                   "id" : "5a1a45c9e4b0401274ab7141",
24250.                   "name" : "macos",
24251.                   "topic" : "/mcafee/mar/agent/query/macos",
24252.                   "enabled" : true
24253.                 } ],
24254.                 "platformSettings" : [ {
24255.                   "platform" : {
24256.                     "catalogVersion" : 230233,
24257.                     "dbVersion" : 2,
24258.                     "id" : "58efec8ee4b0c390d69a8e0f",
24259.                     "name" : "linux",
24260.                     "topic" : "/mcafee/mar/agent/query/linux",
24261.                     "enabled" : true
24262.                   },
24263.                   "utf8Sensitive" : false
24264.                 }, {
24265.                   "platform" : {
24266.                     "catalogVersion" : 230233,
24267.                     "dbVersion" : 2,
24268.                     "id" : "5a1a45c9e4b0401274ab7141",
24269.                     "name" : "macos",
24270.                     "topic" : "/mcafee/mar/agent/query/macos",
24271.                     "enabled" : true
24272.                   },
24273.                   "utf8Sensitive" : false
24274.                 } ],
24275.                 "itemType" : "CUSTOM",
24276.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24277.               },
24278.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\n_RAWDBUSER=$(dscl . -readall /Users  'RealName' 'PrimaryGroupID' 'NFSHomeDirectory' 'UserShell')\n_RAWDBGROUPS=$(dscl . -readall /groups 'RecordName' 'PrimaryGroupID')\nARRAYDBUSER[0]='NO USER'\nARRAYDBGROUP[0]='NO GROUP'\nARRAYDBGROUP_ID[0]='NO GROUP'\nARRAYDBGROUP_NAME[0]='NO GROUP'\n_NU=0\n_NG=0\n\n# Separate group info\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NG=$((_NG+1));\n    else\n        ARRAYDBGROUP[_NG]=\"${ARRAYDBGROUP[_NG]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBGROUPS\"\n\n\n# Group Details\nfor (( i=0; i < ${#ARRAYDBGROUP[@]} ; i++))\ndo\n    ARRAYDBGROUP_ID[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null | grep PrimaryGroupID: |\\\n                 sed -Ee 's/PrimaryGroupID:[[:space:]]*(.*)$/\\1/'\")\n    ARRAYDBGROUP_NAME[i]=$(eval \"echo -e \\\"${ARRAYDBGROUP[i]}\\\" 2>/dev/null |\\\n                 perl -0777 -pe 's/RecordName:\\n/RecordName:/g' | sed -Ee '/RecordName/!d;s/RecordName: //g'\")\ndone\n\n# Function Search by id\nfunction searchGroupByID(){\n    local id=\"$1\"\n    for (( i=1; i < ${#ARRAYDBGROUP_ID[@]} ; i++))\n    do\n        if [[ \"${ARRAYDBGROUP_ID[i]}\" == \"$id\" ]];then\n            echo -n \"${ARRAYDBGROUP_NAME[i]}\"\n            return 0;\n        fi\n    done\n    return 0;\n}\n\n\n# Separate User account\nwhile IFS= read -r line\ndo\n    if [[ \"$line\"  =~ ^-$ ]]; then\n        _NU=$((_NU+1));\n    else\n        ARRAYDBUSER[_NU]=\"${ARRAYDBUSER[_NU]}\\n$line\";\n    fi\ndone <<< \"$_RAWDBUSER\"\n\n# Account details\nfor (( i=1; i < ${#ARRAYDBUSER[@]} ; i++))\ndo\n    Disabled=\"False\"\n    GroupID=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/PrimaryGroupID:\\n/PrimaryGroupID:/g' |\\\n              sed -Ee '/PrimaryGroupID/!d;s/PrimaryGroupID: //g'\")\n    Username=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RecordName:\\n/RecordName:/g' |\\\n              sed -Ee '/RecordName/!d;s/RecordName: //g'\")\n    FullName=$(eval \"echo -e \\\"${ARRAYDBUSER[i]}\\\" 2>/dev/null | perl -0777 -pe 's/RealName:\\n/RealName:/g' |\\\n              sed -Ee '/RealName/!d;s/RealName: //g'\")\n    GROUP_NAME=$(eval \"searchGroupByID $GroupID\")\n    GROUP_NAME=${GROUP_NAME/\\\\/\\\\\\\\}\n    UserShell=$(echo \"${ARRAYDBUSER[i]}\" 2>/dev/null | grep \"UserShell\")\n    [[ \"$UserShell\" =~ \"false\" || \"$UserShell\" =~ \"nologin\" ]] && Disabled=\"True\"\n    echo \"\\\"$Disabled\\\",\\\"\\\",\\\"$FullName\\\",\\\"\\\",\\\"\\\",\\\"\\\",\\\"$Username\\\",\\\"\\\",\\\"\\\",\\\"$GROUP_NAME\\\"\"\ndone\n",
24279.               "arguments" : [ ],
24280.               "utf8Sensitive" : false
24281.             }, {
24282.               "platform" : {
24283.                 "catalogVersion" : 230233,
24284.                 "dbVersion" : 2,
24285.                 "id" : "58efec8ee4b0c390d69a8e0f",
24286.                 "name" : "linux",
24287.                 "topic" : "/mcafee/mar/agent/query/linux",
24288.                 "enabled" : true
24289.               },
24290.               "capability" : {
24291.                 "catalogVersion" : 230233,
24292.                 "dbVersion" : 2,
24293.                 "id" : "58efec8ee4b0c390d69a8e14",
24294.                 "name" : "Bash Script",
24295.                 "description" : "Executes Bash script on target client",
24296.                 "module" : "SystemRuntime",
24297.                 "function" : "executeBash",
24298.                 "contentEnabled" : true,
24299.                 "arguments" : [ ],
24300.                 "outputs" : [ ],
24301.                 "formatArgs" : {
24302.                   "hasHeaders" : false,
24303.                   "delimiter" : ","
24304.                 },
24305.                 "format" : "CSV",
24306.                 "platforms" : [ {
24307.                   "catalogVersion" : 230233,
24308.                   "dbVersion" : 2,
24309.                   "id" : "58efec8ee4b0c390d69a8e0f",
24310.                   "name" : "linux",
24311.                   "topic" : "/mcafee/mar/agent/query/linux",
24312.                   "enabled" : true
24313.                 }, {
24314.                   "catalogVersion" : 230233,
24315.                   "dbVersion" : 2,
24316.                   "id" : "5a1a45c9e4b0401274ab7141",
24317.                   "name" : "macos",
24318.                   "topic" : "/mcafee/mar/agent/query/macos",
24319.                   "enabled" : true
24320.                 } ],
24321.                 "platformSettings" : [ {
24322.                   "platform" : {
24323.                     "catalogVersion" : 230233,
24324.                     "dbVersion" : 2,
24325.                     "id" : "58efec8ee4b0c390d69a8e0f",
24326.                     "name" : "linux",
24327.                     "topic" : "/mcafee/mar/agent/query/linux",
24328.                     "enabled" : true
24329.                   },
24330.                   "utf8Sensitive" : false
24331.                 }, {
24332.                   "platform" : {
24333.                     "catalogVersion" : 230233,
24334.                     "dbVersion" : 2,
24335.                     "id" : "5a1a45c9e4b0401274ab7141",
24336.                     "name" : "macos",
24337.                     "topic" : "/mcafee/mar/agent/query/macos",
24338.                     "enabled" : true
24339.                   },
24340.                   "utf8Sensitive" : false
24341.                 } ],
24342.                 "itemType" : "CUSTOM",
24343.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24344.               },
24345.               "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows all local user information, to include group memberships.\n#\n# Version: 1.0\n\nescapeSpecialCharacters(){\n    read -r arg\n    local str=\"$arg\"\n    str=${str//\\\\/\\\\\\\\}\n    str=${str//\\\"/\\\\\\\"}\n    echo \"$str\"\n}\n\ngetPasswdFile() {\n    if [ -r /etc/passwd ]; then\n        cat \"/etc/passwd\"\n    else\n        return 1\n    fi\n}\n\ngetDisabledStatus() {\n    passwdLine=\"$1\"\n    disabled=\"False\"\n\n    userPasswd=$(echo \"$passwdLine\" | cut -d ':' -f2)\n    userPasswdFirstChar=\"${userPasswd:0:1}\"\n    userShell=$(echo \"$passwdLine\" | cut -d ':' -f7)\n    [[ \"$userShell\" =~ \"nologin\" || \"$userShell\" =~ \"false\" || \"$userPasswdFirstChar\" == \"!\" ]] && disabled=\"True\"\n\n    echo \"$disabled\"\n}\n\ngetExpirationStatus() {\n    userName=\"$1\"\n    passwordExpires=\"False\"\n    passwordExpireDate=$(chage -l \"$userName\" | grep \"Password expires\" | cut -d ':' -f2)\n    [[ ! \"$passwordExpireDate\" =~ \"never\" ]] && passwordExpires=\"True\"\n\n    echo \"$passwordExpires\"\n}\n\ngetGroups() {\n    userName=\"$1\"\n    groups=$(groups \"$userName\" | sed -e 's/.*:[[:space:]]//')\n    echo \"$groups\"\n}\n\ngetUserName() {\n    passwdLine=\"$1\"\n    userName=$(echo \"$passwdLine\" | cut -d \":\" -f1)\n    echo \"$userName\"\n}\n\ngetUserFullName() {\n    passwdLine=\"$1\"\n    userFullName=$(echo \"$passwdLine\" | awk 'BEGIN { FS=\":\" } { if($5==\"\") print \" \"; else print $5 }' | cut -d ',' -f 1)\n    [[ \"$userFullName\" == \" \" ]] && userFullName=\"\"\n    echo \"$userFullName\"\n}\n\nprintUserInfo() {\n    passwdLine=\"$1\"\n\n    userName=$(getUserName \"$passwdLine\"| escapeSpecialCharacters)\n    userFullName=$(getUserFullName \"$passwdLine\" |  escapeSpecialCharacters)\n    disabled=$(getDisabledStatus \"$passwdLine\")\n\n    groups=$(getGroups \"$userName\" | escapeSpecialCharacters)\n    passwordExpires=$(getExpirationStatus \"$userName\")\n\n    echo \"\\\"$disabled\\\",,\\\"$userFullName\\\",,,,\\\"$userName\\\",,\\\"$passwordExpires\\\",\\\"$groups\\\"\"\n}\n\nprocessUsers() {\n    passwdContents=$(getPasswdFile)\n    while read -r passwdLine; do\n        printUserInfo \"$passwdLine\"\n    done <<< \"$passwdContents\"\n}\n\n\nmain() {\n\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processUsers\n}\n\nmain \"$@\"\n",
24346.               "arguments" : [ ],
24347.               "utf8Sensitive" : false
24348.             }, {
24349.               "platform" : {
24350.                 "catalogVersion" : 230233,
24351.                 "dbVersion" : 2,
24352.                 "id" : "58efec8ee4b0c390d69a8e0e",
24353.                 "name" : "windows",
24354.                 "topic" : "/mcafee/mar/agent/query/windows",
24355.                 "enabled" : true
24356.               },
24357.               "capability" : {
24358.                 "catalogVersion" : 230233,
24359.                 "dbVersion" : 2,
24360.                 "id" : "58efec8ee4b0c390d69a8e61",
24361.                 "name" : "Execute PowerShell Script",
24362.                 "description" : "Runs Windows PowerShell Scripts",
24363.                 "module" : "SystemRuntime",
24364.                 "function" : "executePS",
24365.                 "contentEnabled" : true,
24366.                 "arguments" : [ ],
24367.                 "outputs" : [ ],
24368.                 "formatArgs" : {
24369.                   "hasHeaders" : false,
24370.                   "delimiter" : ","
24371.                 },
24372.                 "format" : "CSV",
24373.                 "platforms" : [ {
24374.                   "catalogVersion" : 230233,
24375.                   "dbVersion" : 2,
24376.                   "id" : "58efec8ee4b0c390d69a8e0e",
24377.                   "name" : "windows",
24378.                   "topic" : "/mcafee/mar/agent/query/windows",
24379.                   "enabled" : true
24380.                 } ],
24381.                 "platformSettings" : [ {
24382.                   "platform" : {
24383.                     "catalogVersion" : 230233,
24384.                     "dbVersion" : 2,
24385.                     "id" : "58efec8ee4b0c390d69a8e0e",
24386.                     "name" : "windows",
24387.                     "topic" : "/mcafee/mar/agent/query/windows",
24388.                     "enabled" : true
24389.                   },
24390.                   "utf8Sensitive" : false
24391.                 } ],
24392.                 "itemType" : "CUSTOM",
24393.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
24394.               },
24395.               "content" : "# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n#\r\n# Purpose: Shows all local user information, to include group memberships.\r\n#\r\n# Version: 1.0\r\n\r\n$pshost = get-host\r\n$pswindow = $pshost.ui.rawui\r\n$newsize = $pswindow.buffersize\r\n$newsize.height = 3000\r\n$newsize.width = 3000\r\n$pswindow.buffersize = $newsize\r\n\r\n$OutputEncoding = New-Object -typename System.Text.UTF8Encoding\r\n\r\n$user_objects = @();\r\n$user_objects = Get-WmiObject Win32_UserAccount -Filter \"LocalAccount=True\";\r\n\r\nNew-PSDrive -PSProvider Registry -Name HKU -Root 'HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList' | Out-Null;\r\n\r\n$loggedUserAccounts= @(Get-ChildItem -Path \"HKU:\\\");\r\n\r\nforeach ($user in $loggedUserAccounts){\r\n    $exist = $false;\r\n    if(([string]$user.PSChildName -ne \"S-1-5-18\") -and ([string]$user.PSChildName -ne \"S-1-5-19\") -and ([string]$user.PSChildName -ne \"S-1-5-20\")) {\r\n        for($i=0; ($i -lt $user_objects.Count) -and -not $exist; $i++) {\r\n            if($user.PSChildName -eq $user_objects[$i].SID) {$exist = $true;}\r\n        }\r\n        if(-not $exist) {\r\n            $disabled = \"\"\r\n            $domain = \"\"\r\n            $fullname = \"\"\r\n            $path = $user.Name;\r\n            $folder = \"\"\r\n            $name = \"\"\r\n            $sid = \"\"\r\n            if (Test-Path((\"HKU:/\"+$path))){\r\n                $folder=(Get-Item -Path (\"HKU:/\"+$path)).GetValue(\"ProfileImagePath\");\r\n                $name = [string]($folder -split \"\\\\\")[2];\r\n                $sid = $user.PSChildName\r\n            }\r\n            if ((Test-Path ($folder)) -and ($folder -ne \"\")) {\r\n                Try { $installdate = [string](((Get-Item $folder).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n            } else {\r\n                $installdate = \"\";\r\n            }\r\n            $localaccount = \"False\"\r\n            $lockout = \"\"\r\n            $passwordexpires = \"\"\r\n            $groups = \"\"\r\n\r\n            $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n            Write-Output $result;\r\n        }\r\n    }\r\n}\r\n\r\nforeach ($user in $user_objects) {\r\n    Try { $disabled = [string]$user.Disabled; } Catch { $disabled = \"\"; }\r\n    Try { $domain = [string]$user.Domain; } Catch { $domain = \"\"; }\r\n    Try { $fullname = [string]$user.FullName; } Catch { $fullname = \"\"; }\r\n    Try { $name = [string]$user.Name; } Catch { $name = \"\"; }\r\n    Try { $path = (\"C:\\Users\\\"+$name); } Catch { $path = \"\"; }\r\n    if ((Test-Path ($path)) -and ($path -ne \"\")) {\r\n        Try { $installdate = [string](((Get-Item $path).CreationTime).ToString(\"yyyy-MM-dd hh:mm:ss\")); } Catch { $installdate = \"\";}\r\n    } else {\r\n        $installdate = \"\";\r\n    }\r\n    Try { $localaccount = [string]$user.LocalAccount; } Catch { $localaccount = \"\"; }\r\n    Try { $lockout = [string]$user.Lockout; } Catch { $lockout = \"\"; }\r\n    Try { $sid = [string]$user.SID; } Catch { $sid = \"\"; }\r\n    Try { $passwordexpires = [string]$user.PasswordExpires; } Catch { $passwordexpires = \"\"; }\r\n    $groups = \"\"\r\n\r\n    $result = \"`\"\" + $disabled + \"`\",`\"\" + $domain + \"`\",`\"\" + $fullname + \"`\",`\"\" + $installdate + \"`\",`\"\" + $localaccount + \"`\",`\"\" + $lockout + \"`\",`\"\" + $name + \"`\",`\"\" + $sid + \"`\",`\"\" + $passwordexpires + \"`\",`\"\" + $groups + \"`\"\";\r\n    Write-Output $result;\r\n}\r\n",
24396.               "arguments" : [ ],
24397.               "utf8Sensitive" : false
24398.             } ],
24399.             "timeout" : 60,
24400.             "outputs" : [ {
24401.               "id" : "58efec8ee4b0c390d69a8ed1",
24402.               "name" : "accountdisabled",
24403.               "type" : "STRING",
24404.               "byDefault" : false,
24405.               "sequence" : 1
24406.             }, {
24407.               "id" : "58efec8ee4b0c390d69a8ed2",
24408.               "name" : "domain",
24409.               "type" : "STRING",
24410.               "byDefault" : false,
24411.               "sequence" : 2
24412.             }, {
24413.               "id" : "58efec8ee4b0c390d69a8ed3",
24414.               "name" : "fullname",
24415.               "type" : "STRING",
24416.               "byDefault" : false,
24417.               "sequence" : 3
24418.             }, {
24419.               "id" : "58efec8ee4b0c390d69a8ed4",
24420.               "name" : "installdate",
24421.               "type" : "DATE",
24422.               "byDefault" : false,
24423.               "sequence" : 4
24424.             }, {
24425.               "id" : "58efec8ee4b0c390d69a8ed5",
24426.               "name" : "localaccount",
24427.               "type" : "STRING",
24428.               "byDefault" : false,
24429.               "sequence" : 5
24430.             }, {
24431.               "id" : "58efec8ee4b0c390d69a8ed6",
24432.               "name" : "lockedout",
24433.               "type" : "STRING",
24434.               "byDefault" : false,
24435.               "sequence" : 6
24436.             }, {
24437.               "id" : "58efec8ee4b0c390d69a8ed7",
24438.               "name" : "accountname",
24439.               "type" : "STRING",
24440.               "byDefault" : false,
24441.               "sequence" : 7
24442.             }, {
24443.               "id" : "58efec8ee4b0c390d69a8ed8",
24444.               "name" : "sid",
24445.               "type" : "STRING",
24446.               "byDefault" : false,
24447.               "sequence" : 8
24448.             }, {
24449.               "id" : "58efec8ee4b0c390d69a8ed9",
24450.               "name" : "passwordexpires",
24451.               "type" : "STRING",
24452.               "byDefault" : false,
24453.               "sequence" : 9
24454.             }, {
24455.               "id" : "58efec8ee4b0c390d69a8eda",
24456.               "name" : "groups",
24457.               "type" : "STRING",
24458.               "byDefault" : false,
24459.               "sequence" : 10
24460.             } ]
24461.           }
24462.         } ]
24463.       } ]
24464.     },
24465.     "running" : false,
24466.     "createdAt" : 1530900630404,
24467.     "executedAt" : null,
24468.     "status" : "CREATED",
24469.     "ttl" : 60000,
24470.     "startTime" : null,
24471.     "endpointPermission" : null,
24472.     "maGuidsTarget" : null,
24473.     "expectedHostResponses" : 0
24474.   },
24475.   "type" : "com.intel.mar.model.search.Search"
24476. }, {
24477.   "item" : {
24478.     "catalogVersion" : 1,
24479.     "dbVersion" : 2,
24480.     "id" : "5b3fb096e4b0cbe06dd67327",
24481.     "name" : "UNUSUAL BEHAVIOR - Outbound DNS Requests not coming from DC ",
24482.     "description" : "outbound DNS requests not originating from the DNS Servers\n",
24483.     "type" : null,
24484.     "expression" : "NetworkFlow where NetworkFlow src_ip not equals 192.168.1.254 and NetworkFlow dst_port equals 53",
24485.     "temporal" : false,
24486.     "invalid" : false,
24487.     "aggregated" : true,
24488.     "projections" : [ {
24489.       "collector" : {
24490.         "catalogVersion" : 230233,
24491.         "dbVersion" : 2,
24492.         "id" : "58efec8ee4b0c390d69a8e97",
24493.         "name" : "NetworkFlow",
24494.         "description" : "Shows the network flow",
24495.         "type" : "BUILTIN",
24496.         "contents" : [ {
24497.           "platform" : {
24498.             "catalogVersion" : 230233,
24499.             "dbVersion" : 2,
24500.             "id" : "58efec8ee4b0c390d69a8e0f",
24501.             "name" : "linux",
24502.             "topic" : "/mcafee/mar/agent/query/linux",
24503.             "enabled" : true
24504.           },
24505.           "capability" : {
24506.             "catalogVersion" : 230233,
24507.             "dbVersion" : 2,
24508.             "id" : "58efec8ee4b0c390d69a8e1f",
24509.             "name" : "NetworkFlow",
24510.             "description" : "Gets flow information",
24511.             "module" : "NetworkFlow",
24512.             "function" : "FindFlow",
24513.             "contentEnabled" : false,
24514.             "arguments" : [ ],
24515.             "outputs" : [ ],
24516.             "formatArgs" : { },
24517.             "format" : "BIN",
24518.             "platforms" : [ {
24519.               "catalogVersion" : 230233,
24520.               "dbVersion" : 2,
24521.               "id" : "58efec8ee4b0c390d69a8e0e",
24522.               "name" : "windows",
24523.               "topic" : "/mcafee/mar/agent/query/windows",
24524.               "enabled" : true
24525.             }, {
24526.               "catalogVersion" : 230233,
24527.               "dbVersion" : 2,
24528.               "id" : "58efec8ee4b0c390d69a8e0f",
24529.               "name" : "linux",
24530.               "topic" : "/mcafee/mar/agent/query/linux",
24531.               "enabled" : true
24532.             }, {
24533.               "catalogVersion" : 230233,
24534.               "dbVersion" : 2,
24535.               "id" : "5a1a45c9e4b0401274ab7141",
24536.               "name" : "macos",
24537.               "topic" : "/mcafee/mar/agent/query/macos",
24538.               "enabled" : true
24539.             } ],
24540.             "platformSettings" : [ {
24541.               "platform" : {
24542.                 "catalogVersion" : 230233,
24543.                 "dbVersion" : 2,
24544.                 "id" : "58efec8ee4b0c390d69a8e0e",
24545.                 "name" : "windows",
24546.                 "topic" : "/mcafee/mar/agent/query/windows",
24547.                 "enabled" : true
24548.               },
24549.               "utf8Sensitive" : false
24550.             }, {
24551.               "platform" : {
24552.                 "catalogVersion" : 230233,
24553.                 "dbVersion" : 2,
24554.                 "id" : "58efec8ee4b0c390d69a8e0f",
24555.                 "name" : "linux",
24556.                 "topic" : "/mcafee/mar/agent/query/linux",
24557.                 "enabled" : true
24558.               },
24559.               "utf8Sensitive" : false
24560.             }, {
24561.               "platform" : {
24562.                 "catalogVersion" : 230233,
24563.                 "dbVersion" : 2,
24564.                 "id" : "5a1a45c9e4b0401274ab7141",
24565.                 "name" : "macos",
24566.                 "topic" : "/mcafee/mar/agent/query/macos",
24567.                 "enabled" : true
24568.               },
24569.               "utf8Sensitive" : false
24570.             } ],
24571.             "itemType" : "BUILTIN",
24572.             "catalogItems" : [ "COLLECTOR" ]
24573.           },
24574.           "content" : null,
24575.           "arguments" : [ ],
24576.           "utf8Sensitive" : false
24577.         }, {
24578.           "platform" : {
24579.             "catalogVersion" : 230233,
24580.             "dbVersion" : 2,
24581.             "id" : "58efec8ee4b0c390d69a8e0e",
24582.             "name" : "windows",
24583.             "topic" : "/mcafee/mar/agent/query/windows",
24584.             "enabled" : true
24585.           },
24586.           "capability" : {
24587.             "catalogVersion" : 230233,
24588.             "dbVersion" : 2,
24589.             "id" : "58efec8ee4b0c390d69a8e1f",
24590.             "name" : "NetworkFlow",
24591.             "description" : "Gets flow information",
24592.             "module" : "NetworkFlow",
24593.             "function" : "FindFlow",
24594.             "contentEnabled" : false,
24595.             "arguments" : [ ],
24596.             "outputs" : [ ],
24597.             "formatArgs" : { },
24598.             "format" : "BIN",
24599.             "platforms" : [ {
24600.               "catalogVersion" : 230233,
24601.               "dbVersion" : 2,
24602.               "id" : "58efec8ee4b0c390d69a8e0e",
24603.               "name" : "windows",
24604.               "topic" : "/mcafee/mar/agent/query/windows",
24605.               "enabled" : true
24606.             }, {
24607.               "catalogVersion" : 230233,
24608.               "dbVersion" : 2,
24609.               "id" : "58efec8ee4b0c390d69a8e0f",
24610.               "name" : "linux",
24611.               "topic" : "/mcafee/mar/agent/query/linux",
24612.               "enabled" : true
24613.             }, {
24614.               "catalogVersion" : 230233,
24615.               "dbVersion" : 2,
24616.               "id" : "5a1a45c9e4b0401274ab7141",
24617.               "name" : "macos",
24618.               "topic" : "/mcafee/mar/agent/query/macos",
24619.               "enabled" : true
24620.             } ],
24621.             "platformSettings" : [ {
24622.               "platform" : {
24623.                 "catalogVersion" : 230233,
24624.                 "dbVersion" : 2,
24625.                 "id" : "58efec8ee4b0c390d69a8e0e",
24626.                 "name" : "windows",
24627.                 "topic" : "/mcafee/mar/agent/query/windows",
24628.                 "enabled" : true
24629.               },
24630.               "utf8Sensitive" : false
24631.             }, {
24632.               "platform" : {
24633.                 "catalogVersion" : 230233,
24634.                 "dbVersion" : 2,
24635.                 "id" : "58efec8ee4b0c390d69a8e0f",
24636.                 "name" : "linux",
24637.                 "topic" : "/mcafee/mar/agent/query/linux",
24638.                 "enabled" : true
24639.               },
24640.               "utf8Sensitive" : false
24641.             }, {
24642.               "platform" : {
24643.                 "catalogVersion" : 230233,
24644.                 "dbVersion" : 2,
24645.                 "id" : "5a1a45c9e4b0401274ab7141",
24646.                 "name" : "macos",
24647.                 "topic" : "/mcafee/mar/agent/query/macos",
24648.                 "enabled" : true
24649.               },
24650.               "utf8Sensitive" : false
24651.             } ],
24652.             "itemType" : "BUILTIN",
24653.             "catalogItems" : [ "COLLECTOR" ]
24654.           },
24655.           "content" : null,
24656.           "arguments" : [ ],
24657.           "utf8Sensitive" : false
24658.         }, {
24659.           "platform" : {
24660.             "catalogVersion" : 230233,
24661.             "dbVersion" : 2,
24662.             "id" : "5a1a45c9e4b0401274ab7141",
24663.             "name" : "macos",
24664.             "topic" : "/mcafee/mar/agent/query/macos",
24665.             "enabled" : true
24666.           },
24667.           "capability" : {
24668.             "catalogVersion" : 230233,
24669.             "dbVersion" : 2,
24670.             "id" : "58efec8ee4b0c390d69a8e1f",
24671.             "name" : "NetworkFlow",
24672.             "description" : "Gets flow information",
24673.             "module" : "NetworkFlow",
24674.             "function" : "FindFlow",
24675.             "contentEnabled" : false,
24676.             "arguments" : [ ],
24677.             "outputs" : [ ],
24678.             "formatArgs" : { },
24679.             "format" : "BIN",
24680.             "platforms" : [ {
24681.               "catalogVersion" : 230233,
24682.               "dbVersion" : 2,
24683.               "id" : "58efec8ee4b0c390d69a8e0e",
24684.               "name" : "windows",
24685.               "topic" : "/mcafee/mar/agent/query/windows",
24686.               "enabled" : true
24687.             }, {
24688.               "catalogVersion" : 230233,
24689.               "dbVersion" : 2,
24690.               "id" : "58efec8ee4b0c390d69a8e0f",
24691.               "name" : "linux",
24692.               "topic" : "/mcafee/mar/agent/query/linux",
24693.               "enabled" : true
24694.             }, {
24695.               "catalogVersion" : 230233,
24696.               "dbVersion" : 2,
24697.               "id" : "5a1a45c9e4b0401274ab7141",
24698.               "name" : "macos",
24699.               "topic" : "/mcafee/mar/agent/query/macos",
24700.               "enabled" : true
24701.             } ],
24702.             "platformSettings" : [ {
24703.               "platform" : {
24704.                 "catalogVersion" : 230233,
24705.                 "dbVersion" : 2,
24706.                 "id" : "58efec8ee4b0c390d69a8e0e",
24707.                 "name" : "windows",
24708.                 "topic" : "/mcafee/mar/agent/query/windows",
24709.                 "enabled" : true
24710.               },
24711.               "utf8Sensitive" : false
24712.             }, {
24713.               "platform" : {
24714.                 "catalogVersion" : 230233,
24715.                 "dbVersion" : 2,
24716.                 "id" : "58efec8ee4b0c390d69a8e0f",
24717.                 "name" : "linux",
24718.                 "topic" : "/mcafee/mar/agent/query/linux",
24719.                 "enabled" : true
24720.               },
24721.               "utf8Sensitive" : false
24722.             }, {
24723.               "platform" : {
24724.                 "catalogVersion" : 230233,
24725.                 "dbVersion" : 2,
24726.                 "id" : "5a1a45c9e4b0401274ab7141",
24727.                 "name" : "macos",
24728.                 "topic" : "/mcafee/mar/agent/query/macos",
24729.                 "enabled" : true
24730.               },
24731.               "utf8Sensitive" : false
24732.             } ],
24733.             "itemType" : "BUILTIN",
24734.             "catalogItems" : [ "COLLECTOR" ]
24735.           },
24736.           "content" : null,
24737.           "arguments" : [ ],
24738.           "utf8Sensitive" : false
24739.         } ],
24740.         "timeout" : 60,
24741.         "outputs" : [ {
24742.           "id" : "58efec8ee4b0c390d69a8e85",
24743.           "name" : "time",
24744.           "type" : "DATE",
24745.           "byDefault" : true,
24746.           "sequence" : 1
24747.         }, {
24748.           "id" : "58efec8ee4b0c390d69a8e86",
24749.           "name" : "direction",
24750.           "type" : "STRING",
24751.           "byDefault" : true,
24752.           "sequence" : 2
24753.         }, {
24754.           "id" : "58efec8ee4b0c390d69a8e87",
24755.           "name" : "src_ip",
24756.           "type" : "IPV4IPV6",
24757.           "byDefault" : true,
24758.           "sequence" : 3
24759.         }, {
24760.           "id" : "58efec8ee4b0c390d69a8e88",
24761.           "name" : "src_port",
24762.           "type" : "NUMBER",
24763.           "byDefault" : true,
24764.           "sequence" : 4
24765.         }, {
24766.           "id" : "58efec8ee4b0c390d69a8e89",
24767.           "name" : "dst_ip",
24768.           "type" : "IPV4IPV6",
24769.           "byDefault" : true,
24770.           "sequence" : 5
24771.         }, {
24772.           "id" : "58efec8ee4b0c390d69a8e8a",
24773.           "name" : "dst_port",
24774.           "type" : "NUMBER",
24775.           "byDefault" : true,
24776.           "sequence" : 6
24777.         }, {
24778.           "id" : "58efec8ee4b0c390d69a8e8b",
24779.           "name" : "status",
24780.           "type" : "STRING",
24781.           "byDefault" : true,
24782.           "sequence" : 7
24783.         }, {
24784.           "id" : "58efec8ee4b0c390d69a8e8c",
24785.           "name" : "proto",
24786.           "type" : "STRING",
24787.           "byDefault" : true,
24788.           "sequence" : 8
24789.         }, {
24790.           "id" : "58efec8ee4b0c390d69a8e8d",
24791.           "name" : "ip_class",
24792.           "type" : "NUMBER",
24793.           "byDefault" : false,
24794.           "sequence" : 9
24795.         }, {
24796.           "id" : "58efec8ee4b0c390d69a8e8e",
24797.           "name" : "seq_number",
24798.           "type" : "NUMBER",
24799.           "byDefault" : false,
24800.           "sequence" : 10
24801.         }, {
24802.           "id" : "58efec8ee4b0c390d69a8e8f",
24803.           "name" : "src_mac",
24804.           "type" : "STRING",
24805.           "byDefault" : false,
24806.           "sequence" : 11
24807.         }, {
24808.           "id" : "58efec8ee4b0c390d69a8e90",
24809.           "name" : "dst_mac",
24810.           "type" : "STRING",
24811.           "byDefault" : false,
24812.           "sequence" : 12
24813.         }, {
24814.           "id" : "58efec8ee4b0c390d69a8e91",
24815.           "name" : "process",
24816.           "type" : "STRING",
24817.           "byDefault" : true,
24818.           "sequence" : 13
24819.         }, {
24820.           "id" : "58efec8ee4b0c390d69a8e92",
24821.           "name" : "process_id",
24822.           "type" : "NUMBER",
24823.           "byDefault" : false,
24824.           "sequence" : 14
24825.         }, {
24826.           "id" : "58efec8ee4b0c390d69a8e93",
24827.           "name" : "md5",
24828.           "type" : "STRING",
24829.           "byDefault" : false,
24830.           "sequence" : 15
24831.         }, {
24832.           "id" : "58efec8ee4b0c390d69a8e94",
24833.           "name" : "sha1",
24834.           "type" : "STRING",
24835.           "byDefault" : false,
24836.           "sequence" : 16
24837.         }, {
24838.           "id" : "58efec8ee4b0c390d69a8e95",
24839.           "name" : "user",
24840.           "type" : "STRING",
24841.           "byDefault" : true,
24842.           "sequence" : 17
24843.         }, {
24844.           "id" : "58efec8ee4b0c390d69a8e96",
24845.           "name" : "user_id",
24846.           "type" : "STRING",
24847.           "byDefault" : false,
24848.           "sequence" : 18
24849.         }, {
24850.           "id" : "5a1a45cbe4b0401274ab7191",
24851.           "name" : "sha256",
24852.           "type" : "STRING",
24853.           "byDefault" : false,
24854.           "sequence" : 19
24855.         } ]
24856.       },
24857.       "sequence" : "1",
24858.       "output" : [ ]
24859.     } ],
24860.     "disjunction" : {
24861.       "conjunctions" : [ {
24862.         "terms" : [ {
24863.           "output" : {
24864.             "id" : "58efec8ee4b0c390d69a8e87",
24865.             "name" : "src_ip",
24866.             "type" : "IPV4IPV6",
24867.             "byDefault" : true,
24868.             "sequence" : 3
24869.           },
24870.           "operator" : "EQUALS",
24871.           "value" : "192.168.1.254",
24872.           "negated" : true,
24873.           "collector" : {
24874.             "catalogVersion" : 230233,
24875.             "dbVersion" : 2,
24876.             "id" : "58efec8ee4b0c390d69a8e97",
24877.             "name" : "NetworkFlow",
24878.             "description" : "Shows the network flow",
24879.             "type" : "BUILTIN",
24880.             "contents" : [ {
24881.               "platform" : {
24882.                 "catalogVersion" : 230233,
24883.                 "dbVersion" : 2,
24884.                 "id" : "58efec8ee4b0c390d69a8e0f",
24885.                 "name" : "linux",
24886.                 "topic" : "/mcafee/mar/agent/query/linux",
24887.                 "enabled" : true
24888.               },
24889.               "capability" : {
24890.                 "catalogVersion" : 230233,
24891.                 "dbVersion" : 2,
24892.                 "id" : "58efec8ee4b0c390d69a8e1f",
24893.                 "name" : "NetworkFlow",
24894.                 "description" : "Gets flow information",
24895.                 "module" : "NetworkFlow",
24896.                 "function" : "FindFlow",
24897.                 "contentEnabled" : false,
24898.                 "arguments" : [ ],
24899.                 "outputs" : [ ],
24900.                 "formatArgs" : { },
24901.                 "format" : "BIN",
24902.                 "platforms" : [ {
24903.                   "catalogVersion" : 230233,
24904.                   "dbVersion" : 2,
24905.                   "id" : "58efec8ee4b0c390d69a8e0e",
24906.                   "name" : "windows",
24907.                   "topic" : "/mcafee/mar/agent/query/windows",
24908.                   "enabled" : true
24909.                 }, {
24910.                   "catalogVersion" : 230233,
24911.                   "dbVersion" : 2,
24912.                   "id" : "58efec8ee4b0c390d69a8e0f",
24913.                   "name" : "linux",
24914.                   "topic" : "/mcafee/mar/agent/query/linux",
24915.                   "enabled" : true
24916.                 }, {
24917.                   "catalogVersion" : 230233,
24918.                   "dbVersion" : 2,
24919.                   "id" : "5a1a45c9e4b0401274ab7141",
24920.                   "name" : "macos",
24921.                   "topic" : "/mcafee/mar/agent/query/macos",
24922.                   "enabled" : true
24923.                 } ],
24924.                 "platformSettings" : [ {
24925.                   "platform" : {
24926.                     "catalogVersion" : 230233,
24927.                     "dbVersion" : 2,
24928.                     "id" : "58efec8ee4b0c390d69a8e0e",
24929.                     "name" : "windows",
24930.                     "topic" : "/mcafee/mar/agent/query/windows",
24931.                     "enabled" : true
24932.                   },
24933.                   "utf8Sensitive" : false
24934.                 }, {
24935.                   "platform" : {
24936.                     "catalogVersion" : 230233,
24937.                     "dbVersion" : 2,
24938.                     "id" : "58efec8ee4b0c390d69a8e0f",
24939.                     "name" : "linux",
24940.                     "topic" : "/mcafee/mar/agent/query/linux",
24941.                     "enabled" : true
24942.                   },
24943.                   "utf8Sensitive" : false
24944.                 }, {
24945.                   "platform" : {
24946.                     "catalogVersion" : 230233,
24947.                     "dbVersion" : 2,
24948.                     "id" : "5a1a45c9e4b0401274ab7141",
24949.                     "name" : "macos",
24950.                     "topic" : "/mcafee/mar/agent/query/macos",
24951.                     "enabled" : true
24952.                   },
24953.                   "utf8Sensitive" : false
24954.                 } ],
24955.                 "itemType" : "BUILTIN",
24956.                 "catalogItems" : [ "COLLECTOR" ]
24957.               },
24958.               "content" : null,
24959.               "arguments" : [ ],
24960.               "utf8Sensitive" : false
24961.             }, {
24962.               "platform" : {
24963.                 "catalogVersion" : 230233,
24964.                 "dbVersion" : 2,
24965.                 "id" : "58efec8ee4b0c390d69a8e0e",
24966.                 "name" : "windows",
24967.                 "topic" : "/mcafee/mar/agent/query/windows",
24968.                 "enabled" : true
24969.               },
24970.               "capability" : {
24971.                 "catalogVersion" : 230233,
24972.                 "dbVersion" : 2,
24973.                 "id" : "58efec8ee4b0c390d69a8e1f",
24974.                 "name" : "NetworkFlow",
24975.                 "description" : "Gets flow information",
24976.                 "module" : "NetworkFlow",
24977.                 "function" : "FindFlow",
24978.                 "contentEnabled" : false,
24979.                 "arguments" : [ ],
24980.                 "outputs" : [ ],
24981.                 "formatArgs" : { },
24982.                 "format" : "BIN",
24983.                 "platforms" : [ {
24984.                   "catalogVersion" : 230233,
24985.                   "dbVersion" : 2,
24986.                   "id" : "58efec8ee4b0c390d69a8e0e",
24987.                   "name" : "windows",
24988.                   "topic" : "/mcafee/mar/agent/query/windows",
24989.                   "enabled" : true
24990.                 }, {
24991.                   "catalogVersion" : 230233,
24992.                   "dbVersion" : 2,
24993.                   "id" : "58efec8ee4b0c390d69a8e0f",
24994.                   "name" : "linux",
24995.                   "topic" : "/mcafee/mar/agent/query/linux",
24996.                   "enabled" : true
24997.                 }, {
24998.                   "catalogVersion" : 230233,
24999.                   "dbVersion" : 2,
25000.                   "id" : "5a1a45c9e4b0401274ab7141",
25001.                   "name" : "macos",
25002.                   "topic" : "/mcafee/mar/agent/query/macos",
25003.                   "enabled" : true
25004.                 } ],
25005.                 "platformSettings" : [ {
25006.                   "platform" : {
25007.                     "catalogVersion" : 230233,
25008.                     "dbVersion" : 2,
25009.                     "id" : "58efec8ee4b0c390d69a8e0e",
25010.                     "name" : "windows",
25011.                     "topic" : "/mcafee/mar/agent/query/windows",
25012.                     "enabled" : true
25013.                   },
25014.                   "utf8Sensitive" : false
25015.                 }, {
25016.                   "platform" : {
25017.                     "catalogVersion" : 230233,
25018.                     "dbVersion" : 2,
25019.                     "id" : "58efec8ee4b0c390d69a8e0f",
25020.                     "name" : "linux",
25021.                     "topic" : "/mcafee/mar/agent/query/linux",
25022.                     "enabled" : true
25023.                   },
25024.                   "utf8Sensitive" : false
25025.                 }, {
25026.                   "platform" : {
25027.                     "catalogVersion" : 230233,
25028.                     "dbVersion" : 2,
25029.                     "id" : "5a1a45c9e4b0401274ab7141",
25030.                     "name" : "macos",
25031.                     "topic" : "/mcafee/mar/agent/query/macos",
25032.                     "enabled" : true
25033.                   },
25034.                   "utf8Sensitive" : false
25035.                 } ],
25036.                 "itemType" : "BUILTIN",
25037.                 "catalogItems" : [ "COLLECTOR" ]
25038.               },
25039.               "content" : null,
25040.               "arguments" : [ ],
25041.               "utf8Sensitive" : false
25042.             }, {
25043.               "platform" : {
25044.                 "catalogVersion" : 230233,
25045.                 "dbVersion" : 2,
25046.                 "id" : "5a1a45c9e4b0401274ab7141",
25047.                 "name" : "macos",
25048.                 "topic" : "/mcafee/mar/agent/query/macos",
25049.                 "enabled" : true
25050.               },
25051.               "capability" : {
25052.                 "catalogVersion" : 230233,
25053.                 "dbVersion" : 2,
25054.                 "id" : "58efec8ee4b0c390d69a8e1f",
25055.                 "name" : "NetworkFlow",
25056.                 "description" : "Gets flow information",
25057.                 "module" : "NetworkFlow",
25058.                 "function" : "FindFlow",
25059.                 "contentEnabled" : false,
25060.                 "arguments" : [ ],
25061.                 "outputs" : [ ],
25062.                 "formatArgs" : { },
25063.                 "format" : "BIN",
25064.                 "platforms" : [ {
25065.                   "catalogVersion" : 230233,
25066.                   "dbVersion" : 2,
25067.                   "id" : "58efec8ee4b0c390d69a8e0e",
25068.                   "name" : "windows",
25069.                   "topic" : "/mcafee/mar/agent/query/windows",
25070.                   "enabled" : true
25071.                 }, {
25072.                   "catalogVersion" : 230233,
25073.                   "dbVersion" : 2,
25074.                   "id" : "58efec8ee4b0c390d69a8e0f",
25075.                   "name" : "linux",
25076.                   "topic" : "/mcafee/mar/agent/query/linux",
25077.                   "enabled" : true
25078.                 }, {
25079.                   "catalogVersion" : 230233,
25080.                   "dbVersion" : 2,
25081.                   "id" : "5a1a45c9e4b0401274ab7141",
25082.                   "name" : "macos",
25083.                   "topic" : "/mcafee/mar/agent/query/macos",
25084.                   "enabled" : true
25085.                 } ],
25086.                 "platformSettings" : [ {
25087.                   "platform" : {
25088.                     "catalogVersion" : 230233,
25089.                     "dbVersion" : 2,
25090.                     "id" : "58efec8ee4b0c390d69a8e0e",
25091.                     "name" : "windows",
25092.                     "topic" : "/mcafee/mar/agent/query/windows",
25093.                     "enabled" : true
25094.                   },
25095.                   "utf8Sensitive" : false
25096.                 }, {
25097.                   "platform" : {
25098.                     "catalogVersion" : 230233,
25099.                     "dbVersion" : 2,
25100.                     "id" : "58efec8ee4b0c390d69a8e0f",
25101.                     "name" : "linux",
25102.                     "topic" : "/mcafee/mar/agent/query/linux",
25103.                     "enabled" : true
25104.                   },
25105.                   "utf8Sensitive" : false
25106.                 }, {
25107.                   "platform" : {
25108.                     "catalogVersion" : 230233,
25109.                     "dbVersion" : 2,
25110.                     "id" : "5a1a45c9e4b0401274ab7141",
25111.                     "name" : "macos",
25112.                     "topic" : "/mcafee/mar/agent/query/macos",
25113.                     "enabled" : true
25114.                   },
25115.                   "utf8Sensitive" : false
25116.                 } ],
25117.                 "itemType" : "BUILTIN",
25118.                 "catalogItems" : [ "COLLECTOR" ]
25119.               },
25120.               "content" : null,
25121.               "arguments" : [ ],
25122.               "utf8Sensitive" : false
25123.             } ],
25124.             "timeout" : 60,
25125.             "outputs" : [ {
25126.               "id" : "58efec8ee4b0c390d69a8e85",
25127.               "name" : "time",
25128.               "type" : "DATE",
25129.               "byDefault" : true,
25130.               "sequence" : 1
25131.             }, {
25132.               "id" : "58efec8ee4b0c390d69a8e86",
25133.               "name" : "direction",
25134.               "type" : "STRING",
25135.               "byDefault" : true,
25136.               "sequence" : 2
25137.             }, {
25138.               "id" : "58efec8ee4b0c390d69a8e87",
25139.               "name" : "src_ip",
25140.               "type" : "IPV4IPV6",
25141.               "byDefault" : true,
25142.               "sequence" : 3
25143.             }, {
25144.               "id" : "58efec8ee4b0c390d69a8e88",
25145.               "name" : "src_port",
25146.               "type" : "NUMBER",
25147.               "byDefault" : true,
25148.               "sequence" : 4
25149.             }, {
25150.               "id" : "58efec8ee4b0c390d69a8e89",
25151.               "name" : "dst_ip",
25152.               "type" : "IPV4IPV6",
25153.               "byDefault" : true,
25154.               "sequence" : 5
25155.             }, {
25156.               "id" : "58efec8ee4b0c390d69a8e8a",
25157.               "name" : "dst_port",
25158.               "type" : "NUMBER",
25159.               "byDefault" : true,
25160.               "sequence" : 6
25161.             }, {
25162.               "id" : "58efec8ee4b0c390d69a8e8b",
25163.               "name" : "status",
25164.               "type" : "STRING",
25165.               "byDefault" : true,
25166.               "sequence" : 7
25167.             }, {
25168.               "id" : "58efec8ee4b0c390d69a8e8c",
25169.               "name" : "proto",
25170.               "type" : "STRING",
25171.               "byDefault" : true,
25172.               "sequence" : 8
25173.             }, {
25174.               "id" : "58efec8ee4b0c390d69a8e8d",
25175.               "name" : "ip_class",
25176.               "type" : "NUMBER",
25177.               "byDefault" : false,
25178.               "sequence" : 9
25179.             }, {
25180.               "id" : "58efec8ee4b0c390d69a8e8e",
25181.               "name" : "seq_number",
25182.               "type" : "NUMBER",
25183.               "byDefault" : false,
25184.               "sequence" : 10
25185.             }, {
25186.               "id" : "58efec8ee4b0c390d69a8e8f",
25187.               "name" : "src_mac",
25188.               "type" : "STRING",
25189.               "byDefault" : false,
25190.               "sequence" : 11
25191.             }, {
25192.               "id" : "58efec8ee4b0c390d69a8e90",
25193.               "name" : "dst_mac",
25194.               "type" : "STRING",
25195.               "byDefault" : false,
25196.               "sequence" : 12
25197.             }, {
25198.               "id" : "58efec8ee4b0c390d69a8e91",
25199.               "name" : "process",
25200.               "type" : "STRING",
25201.               "byDefault" : true,
25202.               "sequence" : 13
25203.             }, {
25204.               "id" : "58efec8ee4b0c390d69a8e92",
25205.               "name" : "process_id",
25206.               "type" : "NUMBER",
25207.               "byDefault" : false,
25208.               "sequence" : 14
25209.             }, {
25210.               "id" : "58efec8ee4b0c390d69a8e93",
25211.               "name" : "md5",
25212.               "type" : "STRING",
25213.               "byDefault" : false,
25214.               "sequence" : 15
25215.             }, {
25216.               "id" : "58efec8ee4b0c390d69a8e94",
25217.               "name" : "sha1",
25218.               "type" : "STRING",
25219.               "byDefault" : false,
25220.               "sequence" : 16
25221.             }, {
25222.               "id" : "58efec8ee4b0c390d69a8e95",
25223.               "name" : "user",
25224.               "type" : "STRING",
25225.               "byDefault" : true,
25226.               "sequence" : 17
25227.             }, {
25228.               "id" : "58efec8ee4b0c390d69a8e96",
25229.               "name" : "user_id",
25230.               "type" : "STRING",
25231.               "byDefault" : false,
25232.               "sequence" : 18
25233.             }, {
25234.               "id" : "5a1a45cbe4b0401274ab7191",
25235.               "name" : "sha256",
25236.               "type" : "STRING",
25237.               "byDefault" : false,
25238.               "sequence" : 19
25239.             } ]
25240.           }
25241.         }, {
25242.           "output" : {
25243.             "id" : "58efec8ee4b0c390d69a8e8a",
25244.             "name" : "dst_port",
25245.             "type" : "NUMBER",
25246.             "byDefault" : true,
25247.             "sequence" : 6
25248.           },
25249.           "operator" : "EQUALS",
25250.           "value" : "53",
25251.           "negated" : false,
25252.           "collector" : {
25253.             "catalogVersion" : 230233,
25254.             "dbVersion" : 2,
25255.             "id" : "58efec8ee4b0c390d69a8e97",
25256.             "name" : "NetworkFlow",
25257.             "description" : "Shows the network flow",
25258.             "type" : "BUILTIN",
25259.             "contents" : [ {
25260.               "platform" : {
25261.                 "catalogVersion" : 230233,
25262.                 "dbVersion" : 2,
25263.                 "id" : "58efec8ee4b0c390d69a8e0f",
25264.                 "name" : "linux",
25265.                 "topic" : "/mcafee/mar/agent/query/linux",
25266.                 "enabled" : true
25267.               },
25268.               "capability" : {
25269.                 "catalogVersion" : 230233,
25270.                 "dbVersion" : 2,
25271.                 "id" : "58efec8ee4b0c390d69a8e1f",
25272.                 "name" : "NetworkFlow",
25273.                 "description" : "Gets flow information",
25274.                 "module" : "NetworkFlow",
25275.                 "function" : "FindFlow",
25276.                 "contentEnabled" : false,
25277.                 "arguments" : [ ],
25278.                 "outputs" : [ ],
25279.                 "formatArgs" : { },
25280.                 "format" : "BIN",
25281.                 "platforms" : [ {
25282.                   "catalogVersion" : 230233,
25283.                   "dbVersion" : 2,
25284.                   "id" : "58efec8ee4b0c390d69a8e0e",
25285.                   "name" : "windows",
25286.                   "topic" : "/mcafee/mar/agent/query/windows",
25287.                   "enabled" : true
25288.                 }, {
25289.                   "catalogVersion" : 230233,
25290.                   "dbVersion" : 2,
25291.                   "id" : "58efec8ee4b0c390d69a8e0f",
25292.                   "name" : "linux",
25293.                   "topic" : "/mcafee/mar/agent/query/linux",
25294.                   "enabled" : true
25295.                 }, {
25296.                   "catalogVersion" : 230233,
25297.                   "dbVersion" : 2,
25298.                   "id" : "5a1a45c9e4b0401274ab7141",
25299.                   "name" : "macos",
25300.                   "topic" : "/mcafee/mar/agent/query/macos",
25301.                   "enabled" : true
25302.                 } ],
25303.                 "platformSettings" : [ {
25304.                   "platform" : {
25305.                     "catalogVersion" : 230233,
25306.                     "dbVersion" : 2,
25307.                     "id" : "58efec8ee4b0c390d69a8e0e",
25308.                     "name" : "windows",
25309.                     "topic" : "/mcafee/mar/agent/query/windows",
25310.                     "enabled" : true
25311.                   },
25312.                   "utf8Sensitive" : false
25313.                 }, {
25314.                   "platform" : {
25315.                     "catalogVersion" : 230233,
25316.                     "dbVersion" : 2,
25317.                     "id" : "58efec8ee4b0c390d69a8e0f",
25318.                     "name" : "linux",
25319.                     "topic" : "/mcafee/mar/agent/query/linux",
25320.                     "enabled" : true
25321.                   },
25322.                   "utf8Sensitive" : false
25323.                 }, {
25324.                   "platform" : {
25325.                     "catalogVersion" : 230233,
25326.                     "dbVersion" : 2,
25327.                     "id" : "5a1a45c9e4b0401274ab7141",
25328.                     "name" : "macos",
25329.                     "topic" : "/mcafee/mar/agent/query/macos",
25330.                     "enabled" : true
25331.                   },
25332.                   "utf8Sensitive" : false
25333.                 } ],
25334.                 "itemType" : "BUILTIN",
25335.                 "catalogItems" : [ "COLLECTOR" ]
25336.               },
25337.               "content" : null,
25338.               "arguments" : [ ],
25339.               "utf8Sensitive" : false
25340.             }, {
25341.               "platform" : {
25342.                 "catalogVersion" : 230233,
25343.                 "dbVersion" : 2,
25344.                 "id" : "58efec8ee4b0c390d69a8e0e",
25345.                 "name" : "windows",
25346.                 "topic" : "/mcafee/mar/agent/query/windows",
25347.                 "enabled" : true
25348.               },
25349.               "capability" : {
25350.                 "catalogVersion" : 230233,
25351.                 "dbVersion" : 2,
25352.                 "id" : "58efec8ee4b0c390d69a8e1f",
25353.                 "name" : "NetworkFlow",
25354.                 "description" : "Gets flow information",
25355.                 "module" : "NetworkFlow",
25356.                 "function" : "FindFlow",
25357.                 "contentEnabled" : false,
25358.                 "arguments" : [ ],
25359.                 "outputs" : [ ],
25360.                 "formatArgs" : { },
25361.                 "format" : "BIN",
25362.                 "platforms" : [ {
25363.                   "catalogVersion" : 230233,
25364.                   "dbVersion" : 2,
25365.                   "id" : "58efec8ee4b0c390d69a8e0e",
25366.                   "name" : "windows",
25367.                   "topic" : "/mcafee/mar/agent/query/windows",
25368.                   "enabled" : true
25369.                 }, {
25370.                   "catalogVersion" : 230233,
25371.                   "dbVersion" : 2,
25372.                   "id" : "58efec8ee4b0c390d69a8e0f",
25373.                   "name" : "linux",
25374.                   "topic" : "/mcafee/mar/agent/query/linux",
25375.                   "enabled" : true
25376.                 }, {
25377.                   "catalogVersion" : 230233,
25378.                   "dbVersion" : 2,
25379.                   "id" : "5a1a45c9e4b0401274ab7141",
25380.                   "name" : "macos",
25381.                   "topic" : "/mcafee/mar/agent/query/macos",
25382.                   "enabled" : true
25383.                 } ],
25384.                 "platformSettings" : [ {
25385.                   "platform" : {
25386.                     "catalogVersion" : 230233,
25387.                     "dbVersion" : 2,
25388.                     "id" : "58efec8ee4b0c390d69a8e0e",
25389.                     "name" : "windows",
25390.                     "topic" : "/mcafee/mar/agent/query/windows",
25391.                     "enabled" : true
25392.                   },
25393.                   "utf8Sensitive" : false
25394.                 }, {
25395.                   "platform" : {
25396.                     "catalogVersion" : 230233,
25397.                     "dbVersion" : 2,
25398.                     "id" : "58efec8ee4b0c390d69a8e0f",
25399.                     "name" : "linux",
25400.                     "topic" : "/mcafee/mar/agent/query/linux",
25401.                     "enabled" : true
25402.                   },
25403.                   "utf8Sensitive" : false
25404.                 }, {
25405.                   "platform" : {
25406.                     "catalogVersion" : 230233,
25407.                     "dbVersion" : 2,
25408.                     "id" : "5a1a45c9e4b0401274ab7141",
25409.                     "name" : "macos",
25410.                     "topic" : "/mcafee/mar/agent/query/macos",
25411.                     "enabled" : true
25412.                   },
25413.                   "utf8Sensitive" : false
25414.                 } ],
25415.                 "itemType" : "BUILTIN",
25416.                 "catalogItems" : [ "COLLECTOR" ]
25417.               },
25418.               "content" : null,
25419.               "arguments" : [ ],
25420.               "utf8Sensitive" : false
25421.             }, {
25422.               "platform" : {
25423.                 "catalogVersion" : 230233,
25424.                 "dbVersion" : 2,
25425.                 "id" : "5a1a45c9e4b0401274ab7141",
25426.                 "name" : "macos",
25427.                 "topic" : "/mcafee/mar/agent/query/macos",
25428.                 "enabled" : true
25429.               },
25430.               "capability" : {
25431.                 "catalogVersion" : 230233,
25432.                 "dbVersion" : 2,
25433.                 "id" : "58efec8ee4b0c390d69a8e1f",
25434.                 "name" : "NetworkFlow",
25435.                 "description" : "Gets flow information",
25436.                 "module" : "NetworkFlow",
25437.                 "function" : "FindFlow",
25438.                 "contentEnabled" : false,
25439.                 "arguments" : [ ],
25440.                 "outputs" : [ ],
25441.                 "formatArgs" : { },
25442.                 "format" : "BIN",
25443.                 "platforms" : [ {
25444.                   "catalogVersion" : 230233,
25445.                   "dbVersion" : 2,
25446.                   "id" : "58efec8ee4b0c390d69a8e0e",
25447.                   "name" : "windows",
25448.                   "topic" : "/mcafee/mar/agent/query/windows",
25449.                   "enabled" : true
25450.                 }, {
25451.                   "catalogVersion" : 230233,
25452.                   "dbVersion" : 2,
25453.                   "id" : "58efec8ee4b0c390d69a8e0f",
25454.                   "name" : "linux",
25455.                   "topic" : "/mcafee/mar/agent/query/linux",
25456.                   "enabled" : true
25457.                 }, {
25458.                   "catalogVersion" : 230233,
25459.                   "dbVersion" : 2,
25460.                   "id" : "5a1a45c9e4b0401274ab7141",
25461.                   "name" : "macos",
25462.                   "topic" : "/mcafee/mar/agent/query/macos",
25463.                   "enabled" : true
25464.                 } ],
25465.                 "platformSettings" : [ {
25466.                   "platform" : {
25467.                     "catalogVersion" : 230233,
25468.                     "dbVersion" : 2,
25469.                     "id" : "58efec8ee4b0c390d69a8e0e",
25470.                     "name" : "windows",
25471.                     "topic" : "/mcafee/mar/agent/query/windows",
25472.                     "enabled" : true
25473.                   },
25474.                   "utf8Sensitive" : false
25475.                 }, {
25476.                   "platform" : {
25477.                     "catalogVersion" : 230233,
25478.                     "dbVersion" : 2,
25479.                     "id" : "58efec8ee4b0c390d69a8e0f",
25480.                     "name" : "linux",
25481.                     "topic" : "/mcafee/mar/agent/query/linux",
25482.                     "enabled" : true
25483.                   },
25484.                   "utf8Sensitive" : false
25485.                 }, {
25486.                   "platform" : {
25487.                     "catalogVersion" : 230233,
25488.                     "dbVersion" : 2,
25489.                     "id" : "5a1a45c9e4b0401274ab7141",
25490.                     "name" : "macos",
25491.                     "topic" : "/mcafee/mar/agent/query/macos",
25492.                     "enabled" : true
25493.                   },
25494.                   "utf8Sensitive" : false
25495.                 } ],
25496.                 "itemType" : "BUILTIN",
25497.                 "catalogItems" : [ "COLLECTOR" ]
25498.               },
25499.               "content" : null,
25500.               "arguments" : [ ],
25501.               "utf8Sensitive" : false
25502.             } ],
25503.             "timeout" : 60,
25504.             "outputs" : [ {
25505.               "id" : "58efec8ee4b0c390d69a8e85",
25506.               "name" : "time",
25507.               "type" : "DATE",
25508.               "byDefault" : true,
25509.               "sequence" : 1
25510.             }, {
25511.               "id" : "58efec8ee4b0c390d69a8e86",
25512.               "name" : "direction",
25513.               "type" : "STRING",
25514.               "byDefault" : true,
25515.               "sequence" : 2
25516.             }, {
25517.               "id" : "58efec8ee4b0c390d69a8e87",
25518.               "name" : "src_ip",
25519.               "type" : "IPV4IPV6",
25520.               "byDefault" : true,
25521.               "sequence" : 3
25522.             }, {
25523.               "id" : "58efec8ee4b0c390d69a8e88",
25524.               "name" : "src_port",
25525.               "type" : "NUMBER",
25526.               "byDefault" : true,
25527.               "sequence" : 4
25528.             }, {
25529.               "id" : "58efec8ee4b0c390d69a8e89",
25530.               "name" : "dst_ip",
25531.               "type" : "IPV4IPV6",
25532.               "byDefault" : true,
25533.               "sequence" : 5
25534.             }, {
25535.               "id" : "58efec8ee4b0c390d69a8e8a",
25536.               "name" : "dst_port",
25537.               "type" : "NUMBER",
25538.               "byDefault" : true,
25539.               "sequence" : 6
25540.             }, {
25541.               "id" : "58efec8ee4b0c390d69a8e8b",
25542.               "name" : "status",
25543.               "type" : "STRING",
25544.               "byDefault" : true,
25545.               "sequence" : 7
25546.             }, {
25547.               "id" : "58efec8ee4b0c390d69a8e8c",
25548.               "name" : "proto",
25549.               "type" : "STRING",
25550.               "byDefault" : true,
25551.               "sequence" : 8
25552.             }, {
25553.               "id" : "58efec8ee4b0c390d69a8e8d",
25554.               "name" : "ip_class",
25555.               "type" : "NUMBER",
25556.               "byDefault" : false,
25557.               "sequence" : 9
25558.             }, {
25559.               "id" : "58efec8ee4b0c390d69a8e8e",
25560.               "name" : "seq_number",
25561.               "type" : "NUMBER",
25562.               "byDefault" : false,
25563.               "sequence" : 10
25564.             }, {
25565.               "id" : "58efec8ee4b0c390d69a8e8f",
25566.               "name" : "src_mac",
25567.               "type" : "STRING",
25568.               "byDefault" : false,
25569.               "sequence" : 11
25570.             }, {
25571.               "id" : "58efec8ee4b0c390d69a8e90",
25572.               "name" : "dst_mac",
25573.               "type" : "STRING",
25574.               "byDefault" : false,
25575.               "sequence" : 12
25576.             }, {
25577.               "id" : "58efec8ee4b0c390d69a8e91",
25578.               "name" : "process",
25579.               "type" : "STRING",
25580.               "byDefault" : true,
25581.               "sequence" : 13
25582.             }, {
25583.               "id" : "58efec8ee4b0c390d69a8e92",
25584.               "name" : "process_id",
25585.               "type" : "NUMBER",
25586.               "byDefault" : false,
25587.               "sequence" : 14
25588.             }, {
25589.               "id" : "58efec8ee4b0c390d69a8e93",
25590.               "name" : "md5",
25591.               "type" : "STRING",
25592.               "byDefault" : false,
25593.               "sequence" : 15
25594.             }, {
25595.               "id" : "58efec8ee4b0c390d69a8e94",
25596.               "name" : "sha1",
25597.               "type" : "STRING",
25598.               "byDefault" : false,
25599.               "sequence" : 16
25600.             }, {
25601.               "id" : "58efec8ee4b0c390d69a8e95",
25602.               "name" : "user",
25603.               "type" : "STRING",
25604.               "byDefault" : true,
25605.               "sequence" : 17
25606.             }, {
25607.               "id" : "58efec8ee4b0c390d69a8e96",
25608.               "name" : "user_id",
25609.               "type" : "STRING",
25610.               "byDefault" : false,
25611.               "sequence" : 18
25612.             }, {
25613.               "id" : "5a1a45cbe4b0401274ab7191",
25614.               "name" : "sha256",
25615.               "type" : "STRING",
25616.               "byDefault" : false,
25617.               "sequence" : 19
25618.             } ]
25619.           }
25620.         } ]
25621.       } ]
25622.     },
25623.     "running" : false,
25624.     "createdAt" : 1530900630411,
25625.     "executedAt" : null,
25626.     "status" : "CREATED",
25627.     "ttl" : 60000,
25628.     "startTime" : null,
25629.     "endpointPermission" : null,
25630.     "maGuidsTarget" : null,
25631.     "expectedHostResponses" : 0
25632.   },
25633.   "type" : "com.intel.mar.model.search.Search"
25634. }, {
25635.   "item" : {
25636.     "catalogVersion" : 1,
25637.     "dbVersion" : 2,
25638.     "id" : "5b3fb096e4b0cbe06dd67328",
25639.     "name" : "UNUSUAL BEHAVIOR - Outbound SSH",
25640.     "description" : "Outbound SSH sessions.  High number of connections out may indicate data leakage",
25641.     "type" : null,
25642.     "expression" : "NetworkFlow where NetworkFlow direction equals \"out\" and NetworkFlow dst_port equals 22 ",
25643.     "temporal" : false,
25644.     "invalid" : false,
25645.     "aggregated" : true,
25646.     "projections" : [ {
25647.       "collector" : {
25648.         "catalogVersion" : 230233,
25649.         "dbVersion" : 2,
25650.         "id" : "58efec8ee4b0c390d69a8e97",
25651.         "name" : "NetworkFlow",
25652.         "description" : "Shows the network flow",
25653.         "type" : "BUILTIN",
25654.         "contents" : [ {
25655.           "platform" : {
25656.             "catalogVersion" : 230233,
25657.             "dbVersion" : 2,
25658.             "id" : "58efec8ee4b0c390d69a8e0f",
25659.             "name" : "linux",
25660.             "topic" : "/mcafee/mar/agent/query/linux",
25661.             "enabled" : true
25662.           },
25663.           "capability" : {
25664.             "catalogVersion" : 230233,
25665.             "dbVersion" : 2,
25666.             "id" : "58efec8ee4b0c390d69a8e1f",
25667.             "name" : "NetworkFlow",
25668.             "description" : "Gets flow information",
25669.             "module" : "NetworkFlow",
25670.             "function" : "FindFlow",
25671.             "contentEnabled" : false,
25672.             "arguments" : [ ],
25673.             "outputs" : [ ],
25674.             "formatArgs" : { },
25675.             "format" : "BIN",
25676.             "platforms" : [ {
25677.               "catalogVersion" : 230233,
25678.               "dbVersion" : 2,
25679.               "id" : "58efec8ee4b0c390d69a8e0e",
25680.               "name" : "windows",
25681.               "topic" : "/mcafee/mar/agent/query/windows",
25682.               "enabled" : true
25683.             }, {
25684.               "catalogVersion" : 230233,
25685.               "dbVersion" : 2,
25686.               "id" : "58efec8ee4b0c390d69a8e0f",
25687.               "name" : "linux",
25688.               "topic" : "/mcafee/mar/agent/query/linux",
25689.               "enabled" : true
25690.             }, {
25691.               "catalogVersion" : 230233,
25692.               "dbVersion" : 2,
25693.               "id" : "5a1a45c9e4b0401274ab7141",
25694.               "name" : "macos",
25695.               "topic" : "/mcafee/mar/agent/query/macos",
25696.               "enabled" : true
25697.             } ],
25698.             "platformSettings" : [ {
25699.               "platform" : {
25700.                 "catalogVersion" : 230233,
25701.                 "dbVersion" : 2,
25702.                 "id" : "58efec8ee4b0c390d69a8e0e",
25703.                 "name" : "windows",
25704.                 "topic" : "/mcafee/mar/agent/query/windows",
25705.                 "enabled" : true
25706.               },
25707.               "utf8Sensitive" : false
25708.             }, {
25709.               "platform" : {
25710.                 "catalogVersion" : 230233,
25711.                 "dbVersion" : 2,
25712.                 "id" : "58efec8ee4b0c390d69a8e0f",
25713.                 "name" : "linux",
25714.                 "topic" : "/mcafee/mar/agent/query/linux",
25715.                 "enabled" : true
25716.               },
25717.               "utf8Sensitive" : false
25718.             }, {
25719.               "platform" : {
25720.                 "catalogVersion" : 230233,
25721.                 "dbVersion" : 2,
25722.                 "id" : "5a1a45c9e4b0401274ab7141",
25723.                 "name" : "macos",
25724.                 "topic" : "/mcafee/mar/agent/query/macos",
25725.                 "enabled" : true
25726.               },
25727.               "utf8Sensitive" : false
25728.             } ],
25729.             "itemType" : "BUILTIN",
25730.             "catalogItems" : [ "COLLECTOR" ]
25731.           },
25732.           "content" : null,
25733.           "arguments" : [ ],
25734.           "utf8Sensitive" : false
25735.         }, {
25736.           "platform" : {
25737.             "catalogVersion" : 230233,
25738.             "dbVersion" : 2,
25739.             "id" : "58efec8ee4b0c390d69a8e0e",
25740.             "name" : "windows",
25741.             "topic" : "/mcafee/mar/agent/query/windows",
25742.             "enabled" : true
25743.           },
25744.           "capability" : {
25745.             "catalogVersion" : 230233,
25746.             "dbVersion" : 2,
25747.             "id" : "58efec8ee4b0c390d69a8e1f",
25748.             "name" : "NetworkFlow",
25749.             "description" : "Gets flow information",
25750.             "module" : "NetworkFlow",
25751.             "function" : "FindFlow",
25752.             "contentEnabled" : false,
25753.             "arguments" : [ ],
25754.             "outputs" : [ ],
25755.             "formatArgs" : { },
25756.             "format" : "BIN",
25757.             "platforms" : [ {
25758.               "catalogVersion" : 230233,
25759.               "dbVersion" : 2,
25760.               "id" : "58efec8ee4b0c390d69a8e0e",
25761.               "name" : "windows",
25762.               "topic" : "/mcafee/mar/agent/query/windows",
25763.               "enabled" : true
25764.             }, {
25765.               "catalogVersion" : 230233,
25766.               "dbVersion" : 2,
25767.               "id" : "58efec8ee4b0c390d69a8e0f",
25768.               "name" : "linux",
25769.               "topic" : "/mcafee/mar/agent/query/linux",
25770.               "enabled" : true
25771.             }, {
25772.               "catalogVersion" : 230233,
25773.               "dbVersion" : 2,
25774.               "id" : "5a1a45c9e4b0401274ab7141",
25775.               "name" : "macos",
25776.               "topic" : "/mcafee/mar/agent/query/macos",
25777.               "enabled" : true
25778.             } ],
25779.             "platformSettings" : [ {
25780.               "platform" : {
25781.                 "catalogVersion" : 230233,
25782.                 "dbVersion" : 2,
25783.                 "id" : "58efec8ee4b0c390d69a8e0e",
25784.                 "name" : "windows",
25785.                 "topic" : "/mcafee/mar/agent/query/windows",
25786.                 "enabled" : true
25787.               },
25788.               "utf8Sensitive" : false
25789.             }, {
25790.               "platform" : {
25791.                 "catalogVersion" : 230233,
25792.                 "dbVersion" : 2,
25793.                 "id" : "58efec8ee4b0c390d69a8e0f",
25794.                 "name" : "linux",
25795.                 "topic" : "/mcafee/mar/agent/query/linux",
25796.                 "enabled" : true
25797.               },
25798.               "utf8Sensitive" : false
25799.             }, {
25800.               "platform" : {
25801.                 "catalogVersion" : 230233,
25802.                 "dbVersion" : 2,
25803.                 "id" : "5a1a45c9e4b0401274ab7141",
25804.                 "name" : "macos",
25805.                 "topic" : "/mcafee/mar/agent/query/macos",
25806.                 "enabled" : true
25807.               },
25808.               "utf8Sensitive" : false
25809.             } ],
25810.             "itemType" : "BUILTIN",
25811.             "catalogItems" : [ "COLLECTOR" ]
25812.           },
25813.           "content" : null,
25814.           "arguments" : [ ],
25815.           "utf8Sensitive" : false
25816.         }, {
25817.           "platform" : {
25818.             "catalogVersion" : 230233,
25819.             "dbVersion" : 2,
25820.             "id" : "5a1a45c9e4b0401274ab7141",
25821.             "name" : "macos",
25822.             "topic" : "/mcafee/mar/agent/query/macos",
25823.             "enabled" : true
25824.           },
25825.           "capability" : {
25826.             "catalogVersion" : 230233,
25827.             "dbVersion" : 2,
25828.             "id" : "58efec8ee4b0c390d69a8e1f",
25829.             "name" : "NetworkFlow",
25830.             "description" : "Gets flow information",
25831.             "module" : "NetworkFlow",
25832.             "function" : "FindFlow",
25833.             "contentEnabled" : false,
25834.             "arguments" : [ ],
25835.             "outputs" : [ ],
25836.             "formatArgs" : { },
25837.             "format" : "BIN",
25838.             "platforms" : [ {
25839.               "catalogVersion" : 230233,
25840.               "dbVersion" : 2,
25841.               "id" : "58efec8ee4b0c390d69a8e0e",
25842.               "name" : "windows",
25843.               "topic" : "/mcafee/mar/agent/query/windows",
25844.               "enabled" : true
25845.             }, {
25846.               "catalogVersion" : 230233,
25847.               "dbVersion" : 2,
25848.               "id" : "58efec8ee4b0c390d69a8e0f",
25849.               "name" : "linux",
25850.               "topic" : "/mcafee/mar/agent/query/linux",
25851.               "enabled" : true
25852.             }, {
25853.               "catalogVersion" : 230233,
25854.               "dbVersion" : 2,
25855.               "id" : "5a1a45c9e4b0401274ab7141",
25856.               "name" : "macos",
25857.               "topic" : "/mcafee/mar/agent/query/macos",
25858.               "enabled" : true
25859.             } ],
25860.             "platformSettings" : [ {
25861.               "platform" : {
25862.                 "catalogVersion" : 230233,
25863.                 "dbVersion" : 2,
25864.                 "id" : "58efec8ee4b0c390d69a8e0e",
25865.                 "name" : "windows",
25866.                 "topic" : "/mcafee/mar/agent/query/windows",
25867.                 "enabled" : true
25868.               },
25869.               "utf8Sensitive" : false
25870.             }, {
25871.               "platform" : {
25872.                 "catalogVersion" : 230233,
25873.                 "dbVersion" : 2,
25874.                 "id" : "58efec8ee4b0c390d69a8e0f",
25875.                 "name" : "linux",
25876.                 "topic" : "/mcafee/mar/agent/query/linux",
25877.                 "enabled" : true
25878.               },
25879.               "utf8Sensitive" : false
25880.             }, {
25881.               "platform" : {
25882.                 "catalogVersion" : 230233,
25883.                 "dbVersion" : 2,
25884.                 "id" : "5a1a45c9e4b0401274ab7141",
25885.                 "name" : "macos",
25886.                 "topic" : "/mcafee/mar/agent/query/macos",
25887.                 "enabled" : true
25888.               },
25889.               "utf8Sensitive" : false
25890.             } ],
25891.             "itemType" : "BUILTIN",
25892.             "catalogItems" : [ "COLLECTOR" ]
25893.           },
25894.           "content" : null,
25895.           "arguments" : [ ],
25896.           "utf8Sensitive" : false
25897.         } ],
25898.         "timeout" : 60,
25899.         "outputs" : [ {
25900.           "id" : "58efec8ee4b0c390d69a8e85",
25901.           "name" : "time",
25902.           "type" : "DATE",
25903.           "byDefault" : true,
25904.           "sequence" : 1
25905.         }, {
25906.           "id" : "58efec8ee4b0c390d69a8e86",
25907.           "name" : "direction",
25908.           "type" : "STRING",
25909.           "byDefault" : true,
25910.           "sequence" : 2
25911.         }, {
25912.           "id" : "58efec8ee4b0c390d69a8e87",
25913.           "name" : "src_ip",
25914.           "type" : "IPV4IPV6",
25915.           "byDefault" : true,
25916.           "sequence" : 3
25917.         }, {
25918.           "id" : "58efec8ee4b0c390d69a8e88",
25919.           "name" : "src_port",
25920.           "type" : "NUMBER",
25921.           "byDefault" : true,
25922.           "sequence" : 4
25923.         }, {
25924.           "id" : "58efec8ee4b0c390d69a8e89",
25925.           "name" : "dst_ip",
25926.           "type" : "IPV4IPV6",
25927.           "byDefault" : true,
25928.           "sequence" : 5
25929.         }, {
25930.           "id" : "58efec8ee4b0c390d69a8e8a",
25931.           "name" : "dst_port",
25932.           "type" : "NUMBER",
25933.           "byDefault" : true,
25934.           "sequence" : 6
25935.         }, {
25936.           "id" : "58efec8ee4b0c390d69a8e8b",
25937.           "name" : "status",
25938.           "type" : "STRING",
25939.           "byDefault" : true,
25940.           "sequence" : 7
25941.         }, {
25942.           "id" : "58efec8ee4b0c390d69a8e8c",
25943.           "name" : "proto",
25944.           "type" : "STRING",
25945.           "byDefault" : true,
25946.           "sequence" : 8
25947.         }, {
25948.           "id" : "58efec8ee4b0c390d69a8e8d",
25949.           "name" : "ip_class",
25950.           "type" : "NUMBER",
25951.           "byDefault" : false,
25952.           "sequence" : 9
25953.         }, {
25954.           "id" : "58efec8ee4b0c390d69a8e8e",
25955.           "name" : "seq_number",
25956.           "type" : "NUMBER",
25957.           "byDefault" : false,
25958.           "sequence" : 10
25959.         }, {
25960.           "id" : "58efec8ee4b0c390d69a8e8f",
25961.           "name" : "src_mac",
25962.           "type" : "STRING",
25963.           "byDefault" : false,
25964.           "sequence" : 11
25965.         }, {
25966.           "id" : "58efec8ee4b0c390d69a8e90",
25967.           "name" : "dst_mac",
25968.           "type" : "STRING",
25969.           "byDefault" : false,
25970.           "sequence" : 12
25971.         }, {
25972.           "id" : "58efec8ee4b0c390d69a8e91",
25973.           "name" : "process",
25974.           "type" : "STRING",
25975.           "byDefault" : true,
25976.           "sequence" : 13
25977.         }, {
25978.           "id" : "58efec8ee4b0c390d69a8e92",
25979.           "name" : "process_id",
25980.           "type" : "NUMBER",
25981.           "byDefault" : false,
25982.           "sequence" : 14
25983.         }, {
25984.           "id" : "58efec8ee4b0c390d69a8e93",
25985.           "name" : "md5",
25986.           "type" : "STRING",
25987.           "byDefault" : false,
25988.           "sequence" : 15
25989.         }, {
25990.           "id" : "58efec8ee4b0c390d69a8e94",
25991.           "name" : "sha1",
25992.           "type" : "STRING",
25993.           "byDefault" : false,
25994.           "sequence" : 16
25995.         }, {
25996.           "id" : "58efec8ee4b0c390d69a8e95",
25997.           "name" : "user",
25998.           "type" : "STRING",
25999.           "byDefault" : true,
26000.           "sequence" : 17
26001.         }, {
26002.           "id" : "58efec8ee4b0c390d69a8e96",
26003.           "name" : "user_id",
26004.           "type" : "STRING",
26005.           "byDefault" : false,
26006.           "sequence" : 18
26007.         }, {
26008.           "id" : "5a1a45cbe4b0401274ab7191",
26009.           "name" : "sha256",
26010.           "type" : "STRING",
26011.           "byDefault" : false,
26012.           "sequence" : 19
26013.         } ]
26014.       },
26015.       "sequence" : "1",
26016.       "output" : [ ]
26017.     } ],
26018.     "disjunction" : {
26019.       "conjunctions" : [ {
26020.         "terms" : [ {
26021.           "output" : {
26022.             "id" : "58efec8ee4b0c390d69a8e86",
26023.             "name" : "direction",
26024.             "type" : "STRING",
26025.             "byDefault" : true,
26026.             "sequence" : 2
26027.           },
26028.           "operator" : "EQUALS",
26029.           "value" : "out",
26030.           "negated" : false,
26031.           "collector" : {
26032.             "catalogVersion" : 230233,
26033.             "dbVersion" : 2,
26034.             "id" : "58efec8ee4b0c390d69a8e97",
26035.             "name" : "NetworkFlow",
26036.             "description" : "Shows the network flow",
26037.             "type" : "BUILTIN",
26038.             "contents" : [ {
26039.               "platform" : {
26040.                 "catalogVersion" : 230233,
26041.                 "dbVersion" : 2,
26042.                 "id" : "58efec8ee4b0c390d69a8e0f",
26043.                 "name" : "linux",
26044.                 "topic" : "/mcafee/mar/agent/query/linux",
26045.                 "enabled" : true
26046.               },
26047.               "capability" : {
26048.                 "catalogVersion" : 230233,
26049.                 "dbVersion" : 2,
26050.                 "id" : "58efec8ee4b0c390d69a8e1f",
26051.                 "name" : "NetworkFlow",
26052.                 "description" : "Gets flow information",
26053.                 "module" : "NetworkFlow",
26054.                 "function" : "FindFlow",
26055.                 "contentEnabled" : false,
26056.                 "arguments" : [ ],
26057.                 "outputs" : [ ],
26058.                 "formatArgs" : { },
26059.                 "format" : "BIN",
26060.                 "platforms" : [ {
26061.                   "catalogVersion" : 230233,
26062.                   "dbVersion" : 2,
26063.                   "id" : "58efec8ee4b0c390d69a8e0e",
26064.                   "name" : "windows",
26065.                   "topic" : "/mcafee/mar/agent/query/windows",
26066.                   "enabled" : true
26067.                 }, {
26068.                   "catalogVersion" : 230233,
26069.                   "dbVersion" : 2,
26070.                   "id" : "58efec8ee4b0c390d69a8e0f",
26071.                   "name" : "linux",
26072.                   "topic" : "/mcafee/mar/agent/query/linux",
26073.                   "enabled" : true
26074.                 }, {
26075.                   "catalogVersion" : 230233,
26076.                   "dbVersion" : 2,
26077.                   "id" : "5a1a45c9e4b0401274ab7141",
26078.                   "name" : "macos",
26079.                   "topic" : "/mcafee/mar/agent/query/macos",
26080.                   "enabled" : true
26081.                 } ],
26082.                 "platformSettings" : [ {
26083.                   "platform" : {
26084.                     "catalogVersion" : 230233,
26085.                     "dbVersion" : 2,
26086.                     "id" : "58efec8ee4b0c390d69a8e0e",
26087.                     "name" : "windows",
26088.                     "topic" : "/mcafee/mar/agent/query/windows",
26089.                     "enabled" : true
26090.                   },
26091.                   "utf8Sensitive" : false
26092.                 }, {
26093.                   "platform" : {
26094.                     "catalogVersion" : 230233,
26095.                     "dbVersion" : 2,
26096.                     "id" : "58efec8ee4b0c390d69a8e0f",
26097.                     "name" : "linux",
26098.                     "topic" : "/mcafee/mar/agent/query/linux",
26099.                     "enabled" : true
26100.                   },
26101.                   "utf8Sensitive" : false
26102.                 }, {
26103.                   "platform" : {
26104.                     "catalogVersion" : 230233,
26105.                     "dbVersion" : 2,
26106.                     "id" : "5a1a45c9e4b0401274ab7141",
26107.                     "name" : "macos",
26108.                     "topic" : "/mcafee/mar/agent/query/macos",
26109.                     "enabled" : true
26110.                   },
26111.                   "utf8Sensitive" : false
26112.                 } ],
26113.                 "itemType" : "BUILTIN",
26114.                 "catalogItems" : [ "COLLECTOR" ]
26115.               },
26116.               "content" : null,
26117.               "arguments" : [ ],
26118.               "utf8Sensitive" : false
26119.             }, {
26120.               "platform" : {
26121.                 "catalogVersion" : 230233,
26122.                 "dbVersion" : 2,
26123.                 "id" : "58efec8ee4b0c390d69a8e0e",
26124.                 "name" : "windows",
26125.                 "topic" : "/mcafee/mar/agent/query/windows",
26126.                 "enabled" : true
26127.               },
26128.               "capability" : {
26129.                 "catalogVersion" : 230233,
26130.                 "dbVersion" : 2,
26131.                 "id" : "58efec8ee4b0c390d69a8e1f",
26132.                 "name" : "NetworkFlow",
26133.                 "description" : "Gets flow information",
26134.                 "module" : "NetworkFlow",
26135.                 "function" : "FindFlow",
26136.                 "contentEnabled" : false,
26137.                 "arguments" : [ ],
26138.                 "outputs" : [ ],
26139.                 "formatArgs" : { },
26140.                 "format" : "BIN",
26141.                 "platforms" : [ {
26142.                   "catalogVersion" : 230233,
26143.                   "dbVersion" : 2,
26144.                   "id" : "58efec8ee4b0c390d69a8e0e",
26145.                   "name" : "windows",
26146.                   "topic" : "/mcafee/mar/agent/query/windows",
26147.                   "enabled" : true
26148.                 }, {
26149.                   "catalogVersion" : 230233,
26150.                   "dbVersion" : 2,
26151.                   "id" : "58efec8ee4b0c390d69a8e0f",
26152.                   "name" : "linux",
26153.                   "topic" : "/mcafee/mar/agent/query/linux",
26154.                   "enabled" : true
26155.                 }, {
26156.                   "catalogVersion" : 230233,
26157.                   "dbVersion" : 2,
26158.                   "id" : "5a1a45c9e4b0401274ab7141",
26159.                   "name" : "macos",
26160.                   "topic" : "/mcafee/mar/agent/query/macos",
26161.                   "enabled" : true
26162.                 } ],
26163.                 "platformSettings" : [ {
26164.                   "platform" : {
26165.                     "catalogVersion" : 230233,
26166.                     "dbVersion" : 2,
26167.                     "id" : "58efec8ee4b0c390d69a8e0e",
26168.                     "name" : "windows",
26169.                     "topic" : "/mcafee/mar/agent/query/windows",
26170.                     "enabled" : true
26171.                   },
26172.                   "utf8Sensitive" : false
26173.                 }, {
26174.                   "platform" : {
26175.                     "catalogVersion" : 230233,
26176.                     "dbVersion" : 2,
26177.                     "id" : "58efec8ee4b0c390d69a8e0f",
26178.                     "name" : "linux",
26179.                     "topic" : "/mcafee/mar/agent/query/linux",
26180.                     "enabled" : true
26181.                   },
26182.                   "utf8Sensitive" : false
26183.                 }, {
26184.                   "platform" : {
26185.                     "catalogVersion" : 230233,
26186.                     "dbVersion" : 2,
26187.                     "id" : "5a1a45c9e4b0401274ab7141",
26188.                     "name" : "macos",
26189.                     "topic" : "/mcafee/mar/agent/query/macos",
26190.                     "enabled" : true
26191.                   },
26192.                   "utf8Sensitive" : false
26193.                 } ],
26194.                 "itemType" : "BUILTIN",
26195.                 "catalogItems" : [ "COLLECTOR" ]
26196.               },
26197.               "content" : null,
26198.               "arguments" : [ ],
26199.               "utf8Sensitive" : false
26200.             }, {
26201.               "platform" : {
26202.                 "catalogVersion" : 230233,
26203.                 "dbVersion" : 2,
26204.                 "id" : "5a1a45c9e4b0401274ab7141",
26205.                 "name" : "macos",
26206.                 "topic" : "/mcafee/mar/agent/query/macos",
26207.                 "enabled" : true
26208.               },
26209.               "capability" : {
26210.                 "catalogVersion" : 230233,
26211.                 "dbVersion" : 2,
26212.                 "id" : "58efec8ee4b0c390d69a8e1f",
26213.                 "name" : "NetworkFlow",
26214.                 "description" : "Gets flow information",
26215.                 "module" : "NetworkFlow",
26216.                 "function" : "FindFlow",
26217.                 "contentEnabled" : false,
26218.                 "arguments" : [ ],
26219.                 "outputs" : [ ],
26220.                 "formatArgs" : { },
26221.                 "format" : "BIN",
26222.                 "platforms" : [ {
26223.                   "catalogVersion" : 230233,
26224.                   "dbVersion" : 2,
26225.                   "id" : "58efec8ee4b0c390d69a8e0e",
26226.                   "name" : "windows",
26227.                   "topic" : "/mcafee/mar/agent/query/windows",
26228.                   "enabled" : true
26229.                 }, {
26230.                   "catalogVersion" : 230233,
26231.                   "dbVersion" : 2,
26232.                   "id" : "58efec8ee4b0c390d69a8e0f",
26233.                   "name" : "linux",
26234.                   "topic" : "/mcafee/mar/agent/query/linux",
26235.                   "enabled" : true
26236.                 }, {
26237.                   "catalogVersion" : 230233,
26238.                   "dbVersion" : 2,
26239.                   "id" : "5a1a45c9e4b0401274ab7141",
26240.                   "name" : "macos",
26241.                   "topic" : "/mcafee/mar/agent/query/macos",
26242.                   "enabled" : true
26243.                 } ],
26244.                 "platformSettings" : [ {
26245.                   "platform" : {
26246.                     "catalogVersion" : 230233,
26247.                     "dbVersion" : 2,
26248.                     "id" : "58efec8ee4b0c390d69a8e0e",
26249.                     "name" : "windows",
26250.                     "topic" : "/mcafee/mar/agent/query/windows",
26251.                     "enabled" : true
26252.                   },
26253.                   "utf8Sensitive" : false
26254.                 }, {
26255.                   "platform" : {
26256.                     "catalogVersion" : 230233,
26257.                     "dbVersion" : 2,
26258.                     "id" : "58efec8ee4b0c390d69a8e0f",
26259.                     "name" : "linux",
26260.                     "topic" : "/mcafee/mar/agent/query/linux",
26261.                     "enabled" : true
26262.                   },
26263.                   "utf8Sensitive" : false
26264.                 }, {
26265.                   "platform" : {
26266.                     "catalogVersion" : 230233,
26267.                     "dbVersion" : 2,
26268.                     "id" : "5a1a45c9e4b0401274ab7141",
26269.                     "name" : "macos",
26270.                     "topic" : "/mcafee/mar/agent/query/macos",
26271.                     "enabled" : true
26272.                   },
26273.                   "utf8Sensitive" : false
26274.                 } ],
26275.                 "itemType" : "BUILTIN",
26276.                 "catalogItems" : [ "COLLECTOR" ]
26277.               },
26278.               "content" : null,
26279.               "arguments" : [ ],
26280.               "utf8Sensitive" : false
26281.             } ],
26282.             "timeout" : 60,
26283.             "outputs" : [ {
26284.               "id" : "58efec8ee4b0c390d69a8e85",
26285.               "name" : "time",
26286.               "type" : "DATE",
26287.               "byDefault" : true,
26288.               "sequence" : 1
26289.             }, {
26290.               "id" : "58efec8ee4b0c390d69a8e86",
26291.               "name" : "direction",
26292.               "type" : "STRING",
26293.               "byDefault" : true,
26294.               "sequence" : 2
26295.             }, {
26296.               "id" : "58efec8ee4b0c390d69a8e87",
26297.               "name" : "src_ip",
26298.               "type" : "IPV4IPV6",
26299.               "byDefault" : true,
26300.               "sequence" : 3
26301.             }, {
26302.               "id" : "58efec8ee4b0c390d69a8e88",
26303.               "name" : "src_port",
26304.               "type" : "NUMBER",
26305.               "byDefault" : true,
26306.               "sequence" : 4
26307.             }, {
26308.               "id" : "58efec8ee4b0c390d69a8e89",
26309.               "name" : "dst_ip",
26310.               "type" : "IPV4IPV6",
26311.               "byDefault" : true,
26312.               "sequence" : 5
26313.             }, {
26314.               "id" : "58efec8ee4b0c390d69a8e8a",
26315.               "name" : "dst_port",
26316.               "type" : "NUMBER",
26317.               "byDefault" : true,
26318.               "sequence" : 6
26319.             }, {
26320.               "id" : "58efec8ee4b0c390d69a8e8b",
26321.               "name" : "status",
26322.               "type" : "STRING",
26323.               "byDefault" : true,
26324.               "sequence" : 7
26325.             }, {
26326.               "id" : "58efec8ee4b0c390d69a8e8c",
26327.               "name" : "proto",
26328.               "type" : "STRING",
26329.               "byDefault" : true,
26330.               "sequence" : 8
26331.             }, {
26332.               "id" : "58efec8ee4b0c390d69a8e8d",
26333.               "name" : "ip_class",
26334.               "type" : "NUMBER",
26335.               "byDefault" : false,
26336.               "sequence" : 9
26337.             }, {
26338.               "id" : "58efec8ee4b0c390d69a8e8e",
26339.               "name" : "seq_number",
26340.               "type" : "NUMBER",
26341.               "byDefault" : false,
26342.               "sequence" : 10
26343.             }, {
26344.               "id" : "58efec8ee4b0c390d69a8e8f",
26345.               "name" : "src_mac",
26346.               "type" : "STRING",
26347.               "byDefault" : false,
26348.               "sequence" : 11
26349.             }, {
26350.               "id" : "58efec8ee4b0c390d69a8e90",
26351.               "name" : "dst_mac",
26352.               "type" : "STRING",
26353.               "byDefault" : false,
26354.               "sequence" : 12
26355.             }, {
26356.               "id" : "58efec8ee4b0c390d69a8e91",
26357.               "name" : "process",
26358.               "type" : "STRING",
26359.               "byDefault" : true,
26360.               "sequence" : 13
26361.             }, {
26362.               "id" : "58efec8ee4b0c390d69a8e92",
26363.               "name" : "process_id",
26364.               "type" : "NUMBER",
26365.               "byDefault" : false,
26366.               "sequence" : 14
26367.             }, {
26368.               "id" : "58efec8ee4b0c390d69a8e93",
26369.               "name" : "md5",
26370.               "type" : "STRING",
26371.               "byDefault" : false,
26372.               "sequence" : 15
26373.             }, {
26374.               "id" : "58efec8ee4b0c390d69a8e94",
26375.               "name" : "sha1",
26376.               "type" : "STRING",
26377.               "byDefault" : false,
26378.               "sequence" : 16
26379.             }, {
26380.               "id" : "58efec8ee4b0c390d69a8e95",
26381.               "name" : "user",
26382.               "type" : "STRING",
26383.               "byDefault" : true,
26384.               "sequence" : 17
26385.             }, {
26386.               "id" : "58efec8ee4b0c390d69a8e96",
26387.               "name" : "user_id",
26388.               "type" : "STRING",
26389.               "byDefault" : false,
26390.               "sequence" : 18
26391.             }, {
26392.               "id" : "5a1a45cbe4b0401274ab7191",
26393.               "name" : "sha256",
26394.               "type" : "STRING",
26395.               "byDefault" : false,
26396.               "sequence" : 19
26397.             } ]
26398.           }
26399.         }, {
26400.           "output" : {
26401.             "id" : "58efec8ee4b0c390d69a8e8a",
26402.             "name" : "dst_port",
26403.             "type" : "NUMBER",
26404.             "byDefault" : true,
26405.             "sequence" : 6
26406.           },
26407.           "operator" : "EQUALS",
26408.           "value" : "22",
26409.           "negated" : false,
26410.           "collector" : {
26411.             "catalogVersion" : 230233,
26412.             "dbVersion" : 2,
26413.             "id" : "58efec8ee4b0c390d69a8e97",
26414.             "name" : "NetworkFlow",
26415.             "description" : "Shows the network flow",
26416.             "type" : "BUILTIN",
26417.             "contents" : [ {
26418.               "platform" : {
26419.                 "catalogVersion" : 230233,
26420.                 "dbVersion" : 2,
26421.                 "id" : "58efec8ee4b0c390d69a8e0f",
26422.                 "name" : "linux",
26423.                 "topic" : "/mcafee/mar/agent/query/linux",
26424.                 "enabled" : true
26425.               },
26426.               "capability" : {
26427.                 "catalogVersion" : 230233,
26428.                 "dbVersion" : 2,
26429.                 "id" : "58efec8ee4b0c390d69a8e1f",
26430.                 "name" : "NetworkFlow",
26431.                 "description" : "Gets flow information",
26432.                 "module" : "NetworkFlow",
26433.                 "function" : "FindFlow",
26434.                 "contentEnabled" : false,
26435.                 "arguments" : [ ],
26436.                 "outputs" : [ ],
26437.                 "formatArgs" : { },
26438.                 "format" : "BIN",
26439.                 "platforms" : [ {
26440.                   "catalogVersion" : 230233,
26441.                   "dbVersion" : 2,
26442.                   "id" : "58efec8ee4b0c390d69a8e0e",
26443.                   "name" : "windows",
26444.                   "topic" : "/mcafee/mar/agent/query/windows",
26445.                   "enabled" : true
26446.                 }, {
26447.                   "catalogVersion" : 230233,
26448.                   "dbVersion" : 2,
26449.                   "id" : "58efec8ee4b0c390d69a8e0f",
26450.                   "name" : "linux",
26451.                   "topic" : "/mcafee/mar/agent/query/linux",
26452.                   "enabled" : true
26453.                 }, {
26454.                   "catalogVersion" : 230233,
26455.                   "dbVersion" : 2,
26456.                   "id" : "5a1a45c9e4b0401274ab7141",
26457.                   "name" : "macos",
26458.                   "topic" : "/mcafee/mar/agent/query/macos",
26459.                   "enabled" : true
26460.                 } ],
26461.                 "platformSettings" : [ {
26462.                   "platform" : {
26463.                     "catalogVersion" : 230233,
26464.                     "dbVersion" : 2,
26465.                     "id" : "58efec8ee4b0c390d69a8e0e",
26466.                     "name" : "windows",
26467.                     "topic" : "/mcafee/mar/agent/query/windows",
26468.                     "enabled" : true
26469.                   },
26470.                   "utf8Sensitive" : false
26471.                 }, {
26472.                   "platform" : {
26473.                     "catalogVersion" : 230233,
26474.                     "dbVersion" : 2,
26475.                     "id" : "58efec8ee4b0c390d69a8e0f",
26476.                     "name" : "linux",
26477.                     "topic" : "/mcafee/mar/agent/query/linux",
26478.                     "enabled" : true
26479.                   },
26480.                   "utf8Sensitive" : false
26481.                 }, {
26482.                   "platform" : {
26483.                     "catalogVersion" : 230233,
26484.                     "dbVersion" : 2,
26485.                     "id" : "5a1a45c9e4b0401274ab7141",
26486.                     "name" : "macos",
26487.                     "topic" : "/mcafee/mar/agent/query/macos",
26488.                     "enabled" : true
26489.                   },
26490.                   "utf8Sensitive" : false
26491.                 } ],
26492.                 "itemType" : "BUILTIN",
26493.                 "catalogItems" : [ "COLLECTOR" ]
26494.               },
26495.               "content" : null,
26496.               "arguments" : [ ],
26497.               "utf8Sensitive" : false
26498.             }, {
26499.               "platform" : {
26500.                 "catalogVersion" : 230233,
26501.                 "dbVersion" : 2,
26502.                 "id" : "58efec8ee4b0c390d69a8e0e",
26503.                 "name" : "windows",
26504.                 "topic" : "/mcafee/mar/agent/query/windows",
26505.                 "enabled" : true
26506.               },
26507.               "capability" : {
26508.                 "catalogVersion" : 230233,
26509.                 "dbVersion" : 2,
26510.                 "id" : "58efec8ee4b0c390d69a8e1f",
26511.                 "name" : "NetworkFlow",
26512.                 "description" : "Gets flow information",
26513.                 "module" : "NetworkFlow",
26514.                 "function" : "FindFlow",
26515.                 "contentEnabled" : false,
26516.                 "arguments" : [ ],
26517.                 "outputs" : [ ],
26518.                 "formatArgs" : { },
26519.                 "format" : "BIN",
26520.                 "platforms" : [ {
26521.                   "catalogVersion" : 230233,
26522.                   "dbVersion" : 2,
26523.                   "id" : "58efec8ee4b0c390d69a8e0e",
26524.                   "name" : "windows",
26525.                   "topic" : "/mcafee/mar/agent/query/windows",
26526.                   "enabled" : true
26527.                 }, {
26528.                   "catalogVersion" : 230233,
26529.                   "dbVersion" : 2,
26530.                   "id" : "58efec8ee4b0c390d69a8e0f",
26531.                   "name" : "linux",
26532.                   "topic" : "/mcafee/mar/agent/query/linux",
26533.                   "enabled" : true
26534.                 }, {
26535.                   "catalogVersion" : 230233,
26536.                   "dbVersion" : 2,
26537.                   "id" : "5a1a45c9e4b0401274ab7141",
26538.                   "name" : "macos",
26539.                   "topic" : "/mcafee/mar/agent/query/macos",
26540.                   "enabled" : true
26541.                 } ],
26542.                 "platformSettings" : [ {
26543.                   "platform" : {
26544.                     "catalogVersion" : 230233,
26545.                     "dbVersion" : 2,
26546.                     "id" : "58efec8ee4b0c390d69a8e0e",
26547.                     "name" : "windows",
26548.                     "topic" : "/mcafee/mar/agent/query/windows",
26549.                     "enabled" : true
26550.                   },
26551.                   "utf8Sensitive" : false
26552.                 }, {
26553.                   "platform" : {
26554.                     "catalogVersion" : 230233,
26555.                     "dbVersion" : 2,
26556.                     "id" : "58efec8ee4b0c390d69a8e0f",
26557.                     "name" : "linux",
26558.                     "topic" : "/mcafee/mar/agent/query/linux",
26559.                     "enabled" : true
26560.                   },
26561.                   "utf8Sensitive" : false
26562.                 }, {
26563.                   "platform" : {
26564.                     "catalogVersion" : 230233,
26565.                     "dbVersion" : 2,
26566.                     "id" : "5a1a45c9e4b0401274ab7141",
26567.                     "name" : "macos",
26568.                     "topic" : "/mcafee/mar/agent/query/macos",
26569.                     "enabled" : true
26570.                   },
26571.                   "utf8Sensitive" : false
26572.                 } ],
26573.                 "itemType" : "BUILTIN",
26574.                 "catalogItems" : [ "COLLECTOR" ]
26575.               },
26576.               "content" : null,
26577.               "arguments" : [ ],
26578.               "utf8Sensitive" : false
26579.             }, {
26580.               "platform" : {
26581.                 "catalogVersion" : 230233,
26582.                 "dbVersion" : 2,
26583.                 "id" : "5a1a45c9e4b0401274ab7141",
26584.                 "name" : "macos",
26585.                 "topic" : "/mcafee/mar/agent/query/macos",
26586.                 "enabled" : true
26587.               },
26588.               "capability" : {
26589.                 "catalogVersion" : 230233,
26590.                 "dbVersion" : 2,
26591.                 "id" : "58efec8ee4b0c390d69a8e1f",
26592.                 "name" : "NetworkFlow",
26593.                 "description" : "Gets flow information",
26594.                 "module" : "NetworkFlow",
26595.                 "function" : "FindFlow",
26596.                 "contentEnabled" : false,
26597.                 "arguments" : [ ],
26598.                 "outputs" : [ ],
26599.                 "formatArgs" : { },
26600.                 "format" : "BIN",
26601.                 "platforms" : [ {
26602.                   "catalogVersion" : 230233,
26603.                   "dbVersion" : 2,
26604.                   "id" : "58efec8ee4b0c390d69a8e0e",
26605.                   "name" : "windows",
26606.                   "topic" : "/mcafee/mar/agent/query/windows",
26607.                   "enabled" : true
26608.                 }, {
26609.                   "catalogVersion" : 230233,
26610.                   "dbVersion" : 2,
26611.                   "id" : "58efec8ee4b0c390d69a8e0f",
26612.                   "name" : "linux",
26613.                   "topic" : "/mcafee/mar/agent/query/linux",
26614.                   "enabled" : true
26615.                 }, {
26616.                   "catalogVersion" : 230233,
26617.                   "dbVersion" : 2,
26618.                   "id" : "5a1a45c9e4b0401274ab7141",
26619.                   "name" : "macos",
26620.                   "topic" : "/mcafee/mar/agent/query/macos",
26621.                   "enabled" : true
26622.                 } ],
26623.                 "platformSettings" : [ {
26624.                   "platform" : {
26625.                     "catalogVersion" : 230233,
26626.                     "dbVersion" : 2,
26627.                     "id" : "58efec8ee4b0c390d69a8e0e",
26628.                     "name" : "windows",
26629.                     "topic" : "/mcafee/mar/agent/query/windows",
26630.                     "enabled" : true
26631.                   },
26632.                   "utf8Sensitive" : false
26633.                 }, {
26634.                   "platform" : {
26635.                     "catalogVersion" : 230233,
26636.                     "dbVersion" : 2,
26637.                     "id" : "58efec8ee4b0c390d69a8e0f",
26638.                     "name" : "linux",
26639.                     "topic" : "/mcafee/mar/agent/query/linux",
26640.                     "enabled" : true
26641.                   },
26642.                   "utf8Sensitive" : false
26643.                 }, {
26644.                   "platform" : {
26645.                     "catalogVersion" : 230233,
26646.                     "dbVersion" : 2,
26647.                     "id" : "5a1a45c9e4b0401274ab7141",
26648.                     "name" : "macos",
26649.                     "topic" : "/mcafee/mar/agent/query/macos",
26650.                     "enabled" : true
26651.                   },
26652.                   "utf8Sensitive" : false
26653.                 } ],
26654.                 "itemType" : "BUILTIN",
26655.                 "catalogItems" : [ "COLLECTOR" ]
26656.               },
26657.               "content" : null,
26658.               "arguments" : [ ],
26659.               "utf8Sensitive" : false
26660.             } ],
26661.             "timeout" : 60,
26662.             "outputs" : [ {
26663.               "id" : "58efec8ee4b0c390d69a8e85",
26664.               "name" : "time",
26665.               "type" : "DATE",
26666.               "byDefault" : true,
26667.               "sequence" : 1
26668.             }, {
26669.               "id" : "58efec8ee4b0c390d69a8e86",
26670.               "name" : "direction",
26671.               "type" : "STRING",
26672.               "byDefault" : true,
26673.               "sequence" : 2
26674.             }, {
26675.               "id" : "58efec8ee4b0c390d69a8e87",
26676.               "name" : "src_ip",
26677.               "type" : "IPV4IPV6",
26678.               "byDefault" : true,
26679.               "sequence" : 3
26680.             }, {
26681.               "id" : "58efec8ee4b0c390d69a8e88",
26682.               "name" : "src_port",
26683.               "type" : "NUMBER",
26684.               "byDefault" : true,
26685.               "sequence" : 4
26686.             }, {
26687.               "id" : "58efec8ee4b0c390d69a8e89",
26688.               "name" : "dst_ip",
26689.               "type" : "IPV4IPV6",
26690.               "byDefault" : true,
26691.               "sequence" : 5
26692.             }, {
26693.               "id" : "58efec8ee4b0c390d69a8e8a",
26694.               "name" : "dst_port",
26695.               "type" : "NUMBER",
26696.               "byDefault" : true,
26697.               "sequence" : 6
26698.             }, {
26699.               "id" : "58efec8ee4b0c390d69a8e8b",
26700.               "name" : "status",
26701.               "type" : "STRING",
26702.               "byDefault" : true,
26703.               "sequence" : 7
26704.             }, {
26705.               "id" : "58efec8ee4b0c390d69a8e8c",
26706.               "name" : "proto",
26707.               "type" : "STRING",
26708.               "byDefault" : true,
26709.               "sequence" : 8
26710.             }, {
26711.               "id" : "58efec8ee4b0c390d69a8e8d",
26712.               "name" : "ip_class",
26713.               "type" : "NUMBER",
26714.               "byDefault" : false,
26715.               "sequence" : 9
26716.             }, {
26717.               "id" : "58efec8ee4b0c390d69a8e8e",
26718.               "name" : "seq_number",
26719.               "type" : "NUMBER",
26720.               "byDefault" : false,
26721.               "sequence" : 10
26722.             }, {
26723.               "id" : "58efec8ee4b0c390d69a8e8f",
26724.               "name" : "src_mac",
26725.               "type" : "STRING",
26726.               "byDefault" : false,
26727.               "sequence" : 11
26728.             }, {
26729.               "id" : "58efec8ee4b0c390d69a8e90",
26730.               "name" : "dst_mac",
26731.               "type" : "STRING",
26732.               "byDefault" : false,
26733.               "sequence" : 12
26734.             }, {
26735.               "id" : "58efec8ee4b0c390d69a8e91",
26736.               "name" : "process",
26737.               "type" : "STRING",
26738.               "byDefault" : true,
26739.               "sequence" : 13
26740.             }, {
26741.               "id" : "58efec8ee4b0c390d69a8e92",
26742.               "name" : "process_id",
26743.               "type" : "NUMBER",
26744.               "byDefault" : false,
26745.               "sequence" : 14
26746.             }, {
26747.               "id" : "58efec8ee4b0c390d69a8e93",
26748.               "name" : "md5",
26749.               "type" : "STRING",
26750.               "byDefault" : false,
26751.               "sequence" : 15
26752.             }, {
26753.               "id" : "58efec8ee4b0c390d69a8e94",
26754.               "name" : "sha1",
26755.               "type" : "STRING",
26756.               "byDefault" : false,
26757.               "sequence" : 16
26758.             }, {
26759.               "id" : "58efec8ee4b0c390d69a8e95",
26760.               "name" : "user",
26761.               "type" : "STRING",
26762.               "byDefault" : true,
26763.               "sequence" : 17
26764.             }, {
26765.               "id" : "58efec8ee4b0c390d69a8e96",
26766.               "name" : "user_id",
26767.               "type" : "STRING",
26768.               "byDefault" : false,
26769.               "sequence" : 18
26770.             }, {
26771.               "id" : "5a1a45cbe4b0401274ab7191",
26772.               "name" : "sha256",
26773.               "type" : "STRING",
26774.               "byDefault" : false,
26775.               "sequence" : 19
26776.             } ]
26777.           }
26778.         } ]
26779.       } ]
26780.     },
26781.     "running" : false,
26782.     "createdAt" : 1530900630419,
26783.     "executedAt" : null,
26784.     "status" : "CREATED",
26785.     "ttl" : 60000,
26786.     "startTime" : null,
26787.     "endpointPermission" : null,
26788.     "maGuidsTarget" : null,
26789.     "expectedHostResponses" : 0
26790.   },
26791.   "type" : "com.intel.mar.model.search.Search"
26792. }, {
26793.   "item" : {
26794.     "catalogVersion" : 1,
26795.     "dbVersion" : 2,
26796.     "id" : "5b3fb096e4b0cbe06dd67329",
26797.     "name" : "USER INVESTIGATION - REALTIME - Proccesses",
26798.     "description" : "Show all running processes where user = X",
26799.     "type" : null,
26800.     "expression" : "Processes where Processes user contains \"xxx\"",
26801.     "temporal" : false,
26802.     "invalid" : false,
26803.     "aggregated" : true,
26804.     "projections" : [ {
26805.       "collector" : {
26806.         "catalogVersion" : 230233,
26807.         "dbVersion" : 2,
26808.         "id" : "58efec8ee4b0c390d69a8e79",
26809.         "name" : "Processes",
26810.         "description" : "Shows the running processes",
26811.         "type" : "BUILTIN",
26812.         "contents" : [ {
26813.           "platform" : {
26814.             "catalogVersion" : 230233,
26815.             "dbVersion" : 2,
26816.             "id" : "58efec8ee4b0c390d69a8e0f",
26817.             "name" : "linux",
26818.             "topic" : "/mcafee/mar/agent/query/linux",
26819.             "enabled" : true
26820.           },
26821.           "capability" : {
26822.             "catalogVersion" : 230233,
26823.             "dbVersion" : 2,
26824.             "id" : "58efec8ee4b0c390d69a8e10",
26825.             "name" : "Running Processes",
26826.             "description" : "Obtains the list of the running processes",
26827.             "module" : "SystemInfo",
26828.             "function" : "CollectProcess",
26829.             "contentEnabled" : false,
26830.             "arguments" : [ ],
26831.             "outputs" : [ ],
26832.             "formatArgs" : { },
26833.             "format" : "BIN",
26834.             "platforms" : [ {
26835.               "catalogVersion" : 230233,
26836.               "dbVersion" : 2,
26837.               "id" : "58efec8ee4b0c390d69a8e0e",
26838.               "name" : "windows",
26839.               "topic" : "/mcafee/mar/agent/query/windows",
26840.               "enabled" : true
26841.             }, {
26842.               "catalogVersion" : 230233,
26843.               "dbVersion" : 2,
26844.               "id" : "58efec8ee4b0c390d69a8e0f",
26845.               "name" : "linux",
26846.               "topic" : "/mcafee/mar/agent/query/linux",
26847.               "enabled" : true
26848.             }, {
26849.               "catalogVersion" : 230233,
26850.               "dbVersion" : 2,
26851.               "id" : "5a1a45c9e4b0401274ab7141",
26852.               "name" : "macos",
26853.               "topic" : "/mcafee/mar/agent/query/macos",
26854.               "enabled" : true
26855.             } ],
26856.             "platformSettings" : [ {
26857.               "platform" : {
26858.                 "catalogVersion" : 230233,
26859.                 "dbVersion" : 2,
26860.                 "id" : "58efec8ee4b0c390d69a8e0e",
26861.                 "name" : "windows",
26862.                 "topic" : "/mcafee/mar/agent/query/windows",
26863.                 "enabled" : true
26864.               },
26865.               "utf8Sensitive" : false
26866.             }, {
26867.               "platform" : {
26868.                 "catalogVersion" : 230233,
26869.                 "dbVersion" : 2,
26870.                 "id" : "58efec8ee4b0c390d69a8e0f",
26871.                 "name" : "linux",
26872.                 "topic" : "/mcafee/mar/agent/query/linux",
26873.                 "enabled" : true
26874.               },
26875.               "utf8Sensitive" : false
26876.             }, {
26877.               "platform" : {
26878.                 "catalogVersion" : 230233,
26879.                 "dbVersion" : 2,
26880.                 "id" : "5a1a45c9e4b0401274ab7141",
26881.                 "name" : "macos",
26882.                 "topic" : "/mcafee/mar/agent/query/macos",
26883.                 "enabled" : true
26884.               },
26885.               "utf8Sensitive" : false
26886.             } ],
26887.             "itemType" : "BUILTIN",
26888.             "catalogItems" : [ "COLLECTOR" ]
26889.           },
26890.           "content" : null,
26891.           "arguments" : [ ],
26892.           "utf8Sensitive" : false
26893.         }, {
26894.           "platform" : {
26895.             "catalogVersion" : 230233,
26896.             "dbVersion" : 2,
26897.             "id" : "58efec8ee4b0c390d69a8e0e",
26898.             "name" : "windows",
26899.             "topic" : "/mcafee/mar/agent/query/windows",
26900.             "enabled" : true
26901.           },
26902.           "capability" : {
26903.             "catalogVersion" : 230233,
26904.             "dbVersion" : 2,
26905.             "id" : "58efec8ee4b0c390d69a8e10",
26906.             "name" : "Running Processes",
26907.             "description" : "Obtains the list of the running processes",
26908.             "module" : "SystemInfo",
26909.             "function" : "CollectProcess",
26910.             "contentEnabled" : false,
26911.             "arguments" : [ ],
26912.             "outputs" : [ ],
26913.             "formatArgs" : { },
26914.             "format" : "BIN",
26915.             "platforms" : [ {
26916.               "catalogVersion" : 230233,
26917.               "dbVersion" : 2,
26918.               "id" : "58efec8ee4b0c390d69a8e0e",
26919.               "name" : "windows",
26920.               "topic" : "/mcafee/mar/agent/query/windows",
26921.               "enabled" : true
26922.             }, {
26923.               "catalogVersion" : 230233,
26924.               "dbVersion" : 2,
26925.               "id" : "58efec8ee4b0c390d69a8e0f",
26926.               "name" : "linux",
26927.               "topic" : "/mcafee/mar/agent/query/linux",
26928.               "enabled" : true
26929.             }, {
26930.               "catalogVersion" : 230233,
26931.               "dbVersion" : 2,
26932.               "id" : "5a1a45c9e4b0401274ab7141",
26933.               "name" : "macos",
26934.               "topic" : "/mcafee/mar/agent/query/macos",
26935.               "enabled" : true
26936.             } ],
26937.             "platformSettings" : [ {
26938.               "platform" : {
26939.                 "catalogVersion" : 230233,
26940.                 "dbVersion" : 2,
26941.                 "id" : "58efec8ee4b0c390d69a8e0e",
26942.                 "name" : "windows",
26943.                 "topic" : "/mcafee/mar/agent/query/windows",
26944.                 "enabled" : true
26945.               },
26946.               "utf8Sensitive" : false
26947.             }, {
26948.               "platform" : {
26949.                 "catalogVersion" : 230233,
26950.                 "dbVersion" : 2,
26951.                 "id" : "58efec8ee4b0c390d69a8e0f",
26952.                 "name" : "linux",
26953.                 "topic" : "/mcafee/mar/agent/query/linux",
26954.                 "enabled" : true
26955.               },
26956.               "utf8Sensitive" : false
26957.             }, {
26958.               "platform" : {
26959.                 "catalogVersion" : 230233,
26960.                 "dbVersion" : 2,
26961.                 "id" : "5a1a45c9e4b0401274ab7141",
26962.                 "name" : "macos",
26963.                 "topic" : "/mcafee/mar/agent/query/macos",
26964.                 "enabled" : true
26965.               },
26966.               "utf8Sensitive" : false
26967.             } ],
26968.             "itemType" : "BUILTIN",
26969.             "catalogItems" : [ "COLLECTOR" ]
26970.           },
26971.           "content" : null,
26972.           "arguments" : [ ],
26973.           "utf8Sensitive" : false
26974.         }, {
26975.           "platform" : {
26976.             "catalogVersion" : 230233,
26977.             "dbVersion" : 2,
26978.             "id" : "5a1a45c9e4b0401274ab7141",
26979.             "name" : "macos",
26980.             "topic" : "/mcafee/mar/agent/query/macos",
26981.             "enabled" : true
26982.           },
26983.           "capability" : {
26984.             "catalogVersion" : 230233,
26985.             "dbVersion" : 2,
26986.             "id" : "58efec8ee4b0c390d69a8e10",
26987.             "name" : "Running Processes",
26988.             "description" : "Obtains the list of the running processes",
26989.             "module" : "SystemInfo",
26990.             "function" : "CollectProcess",
26991.             "contentEnabled" : false,
26992.             "arguments" : [ ],
26993.             "outputs" : [ ],
26994.             "formatArgs" : { },
26995.             "format" : "BIN",
26996.             "platforms" : [ {
26997.               "catalogVersion" : 230233,
26998.               "dbVersion" : 2,
26999.               "id" : "58efec8ee4b0c390d69a8e0e",
27000.               "name" : "windows",
27001.               "topic" : "/mcafee/mar/agent/query/windows",
27002.               "enabled" : true
27003.             }, {
27004.               "catalogVersion" : 230233,
27005.               "dbVersion" : 2,
27006.               "id" : "58efec8ee4b0c390d69a8e0f",
27007.               "name" : "linux",
27008.               "topic" : "/mcafee/mar/agent/query/linux",
27009.               "enabled" : true
27010.             }, {
27011.               "catalogVersion" : 230233,
27012.               "dbVersion" : 2,
27013.               "id" : "5a1a45c9e4b0401274ab7141",
27014.               "name" : "macos",
27015.               "topic" : "/mcafee/mar/agent/query/macos",
27016.               "enabled" : true
27017.             } ],
27018.             "platformSettings" : [ {
27019.               "platform" : {
27020.                 "catalogVersion" : 230233,
27021.                 "dbVersion" : 2,
27022.                 "id" : "58efec8ee4b0c390d69a8e0e",
27023.                 "name" : "windows",
27024.                 "topic" : "/mcafee/mar/agent/query/windows",
27025.                 "enabled" : true
27026.               },
27027.               "utf8Sensitive" : false
27028.             }, {
27029.               "platform" : {
27030.                 "catalogVersion" : 230233,
27031.                 "dbVersion" : 2,
27032.                 "id" : "58efec8ee4b0c390d69a8e0f",
27033.                 "name" : "linux",
27034.                 "topic" : "/mcafee/mar/agent/query/linux",
27035.                 "enabled" : true
27036.               },
27037.               "utf8Sensitive" : false
27038.             }, {
27039.               "platform" : {
27040.                 "catalogVersion" : 230233,
27041.                 "dbVersion" : 2,
27042.                 "id" : "5a1a45c9e4b0401274ab7141",
27043.                 "name" : "macos",
27044.                 "topic" : "/mcafee/mar/agent/query/macos",
27045.                 "enabled" : true
27046.               },
27047.               "utf8Sensitive" : false
27048.             } ],
27049.             "itemType" : "BUILTIN",
27050.             "catalogItems" : [ "COLLECTOR" ]
27051.           },
27052.           "content" : null,
27053.           "arguments" : [ ],
27054.           "utf8Sensitive" : false
27055.         } ],
27056.         "timeout" : 60,
27057.         "outputs" : [ {
27058.           "id" : "58efec8ee4b0c390d69a8e6a",
27059.           "name" : "name",
27060.           "type" : "STRING",
27061.           "byDefault" : true,
27062.           "sequence" : 1
27063.         }, {
27064.           "id" : "58efec8ee4b0c390d69a8e6b",
27065.           "name" : "id",
27066.           "type" : "NUMBER",
27067.           "byDefault" : false,
27068.           "sequence" : 2
27069.         }, {
27070.           "id" : "58efec8ee4b0c390d69a8e6c",
27071.           "name" : "threadcount",
27072.           "type" : "NUMBER",
27073.           "byDefault" : false,
27074.           "sequence" : 3
27075.         }, {
27076.           "id" : "58efec8ee4b0c390d69a8e6d",
27077.           "name" : "parentid",
27078.           "type" : "NUMBER",
27079.           "byDefault" : false,
27080.           "sequence" : 4
27081.         }, {
27082.           "id" : "58efec8ee4b0c390d69a8e6e",
27083.           "name" : "parentname",
27084.           "type" : "STRING",
27085.           "byDefault" : false,
27086.           "sequence" : 999
27087.         }, {
27088.           "id" : "5a1a45cae4b0401274ab718e",
27089.           "name" : "parentimagepath",
27090.           "type" : "STRING",
27091.           "byDefault" : false,
27092.           "sequence" : 1000
27093.         }, {
27094.           "id" : "5a1a45cae4b0401274ab718f",
27095.           "name" : "file_reputation",
27096.           "type" : "REPUTATION",
27097.           "byDefault" : false,
27098.           "sequence" : 1001
27099.         }, {
27100.           "id" : "5b3f9b64e4b0dfaf321a630e",
27101.           "name" : "process_reputation",
27102.           "type" : "REPUTATION",
27103.           "byDefault" : false,
27104.           "sequence" : 1002
27105.         }, {
27106.           "id" : "5b3f9b64e4b0dfaf321a630f",
27107.           "name" : "started_at",
27108.           "type" : "DATE",
27109.           "byDefault" : false,
27110.           "sequence" : 1003
27111.         }, {
27112.           "id" : "5b3f9b64e4b0dfaf321a6310",
27113.           "name" : "content_size",
27114.           "type" : "NUMBER",
27115.           "byDefault" : false,
27116.           "sequence" : 1004
27117.         }, {
27118.           "id" : "5b3f9b64e4b0dfaf321a6311",
27119.           "name" : "content",
27120.           "type" : "STRING",
27121.           "byDefault" : false,
27122.           "sequence" : 1005
27123.         }, {
27124.           "id" : "5b3f9b64e4b0dfaf321a6312",
27125.           "name" : "content_file",
27126.           "type" : "STRING",
27127.           "byDefault" : false,
27128.           "sequence" : 1006
27129.         }, {
27130.           "id" : "5b3f9b64e4b0dfaf321a6313",
27131.           "name" : "execution_mode",
27132.           "type" : "STRING",
27133.           "byDefault" : false,
27134.           "sequence" : 1007
27135.         }, {
27136.           "id" : "58efec8ee4b0c390d69a8e6f",
27137.           "name" : "size",
27138.           "type" : "NUMBER",
27139.           "byDefault" : false,
27140.           "sequence" : 5
27141.         }, {
27142.           "id" : "58efec8ee4b0c390d69a8e70",
27143.           "name" : "md5",
27144.           "type" : "STRING",
27145.           "byDefault" : true,
27146.           "sequence" : 6
27147.         }, {
27148.           "id" : "58efec8ee4b0c390d69a8e71",
27149.           "name" : "sha1",
27150.           "type" : "STRING",
27151.           "byDefault" : true,
27152.           "sequence" : 7
27153.         }, {
27154.           "id" : "58efec8ee4b0c390d69a8e72",
27155.           "name" : "cmdline",
27156.           "type" : "STRING",
27157.           "byDefault" : true,
27158.           "sequence" : 8
27159.         }, {
27160.           "id" : "58efec8ee4b0c390d69a8e73",
27161.           "name" : "imagepath",
27162.           "type" : "STRING",
27163.           "byDefault" : true,
27164.           "sequence" : 9
27165.         }, {
27166.           "id" : "58efec8ee4b0c390d69a8e74",
27167.           "name" : "kerneltime",
27168.           "type" : "NUMBER",
27169.           "byDefault" : false,
27170.           "sequence" : 10
27171.         }, {
27172.           "id" : "58efec8ee4b0c390d69a8e75",
27173.           "name" : "usertime",
27174.           "type" : "NUMBER",
27175.           "byDefault" : false,
27176.           "sequence" : 11
27177.         }, {
27178.           "id" : "58efec8ee4b0c390d69a8e76",
27179.           "name" : "uptime",
27180.           "type" : "NUMBER",
27181.           "byDefault" : false,
27182.           "sequence" : 12
27183.         }, {
27184.           "id" : "58efec8ee4b0c390d69a8e77",
27185.           "name" : "user",
27186.           "type" : "STRING",
27187.           "byDefault" : false,
27188.           "sequence" : 13
27189.         }, {
27190.           "id" : "58efec8ee4b0c390d69a8e78",
27191.           "name" : "user_id",
27192.           "type" : "STRING",
27193.           "byDefault" : false,
27194.           "sequence" : 14
27195.         }, {
27196.           "id" : "5a1a45cae4b0401274ab7190",
27197.           "name" : "sha256",
27198.           "type" : "STRING",
27199.           "byDefault" : true,
27200.           "sequence" : 15
27201.         }, {
27202.           "id" : "5b3f9b64e4b0dfaf321a6314",
27203.           "name" : "normalized_cmdline",
27204.           "type" : "STRING",
27205.           "byDefault" : false,
27206.           "sequence" : 1009
27207.         }, {
27208.           "id" : "5b3f9b64e4b0dfaf321a6315",
27209.           "name" : "parent_cmdline",
27210.           "type" : "STRING",
27211.           "byDefault" : false,
27212.           "sequence" : 1010
27213.         } ]
27214.       },
27215.       "sequence" : "1",
27216.       "output" : [ ]
27217.     } ],
27218.     "disjunction" : {
27219.       "conjunctions" : [ {
27220.         "terms" : [ {
27221.           "output" : {
27222.             "id" : "58efec8ee4b0c390d69a8e77",
27223.             "name" : "user",
27224.             "type" : "STRING",
27225.             "byDefault" : false,
27226.             "sequence" : 13
27227.           },
27228.           "operator" : "CONTAINS",
27229.           "value" : "xxx",
27230.           "negated" : false,
27231.           "collector" : {
27232.             "catalogVersion" : 230233,
27233.             "dbVersion" : 2,
27234.             "id" : "58efec8ee4b0c390d69a8e79",
27235.             "name" : "Processes",
27236.             "description" : "Shows the running processes",
27237.             "type" : "BUILTIN",
27238.             "contents" : [ {
27239.               "platform" : {
27240.                 "catalogVersion" : 230233,
27241.                 "dbVersion" : 2,
27242.                 "id" : "58efec8ee4b0c390d69a8e0f",
27243.                 "name" : "linux",
27244.                 "topic" : "/mcafee/mar/agent/query/linux",
27245.                 "enabled" : true
27246.               },
27247.               "capability" : {
27248.                 "catalogVersion" : 230233,
27249.                 "dbVersion" : 2,
27250.                 "id" : "58efec8ee4b0c390d69a8e10",
27251.                 "name" : "Running Processes",
27252.                 "description" : "Obtains the list of the running processes",
27253.                 "module" : "SystemInfo",
27254.                 "function" : "CollectProcess",
27255.                 "contentEnabled" : false,
27256.                 "arguments" : [ ],
27257.                 "outputs" : [ ],
27258.                 "formatArgs" : { },
27259.                 "format" : "BIN",
27260.                 "platforms" : [ {
27261.                   "catalogVersion" : 230233,
27262.                   "dbVersion" : 2,
27263.                   "id" : "58efec8ee4b0c390d69a8e0e",
27264.                   "name" : "windows",
27265.                   "topic" : "/mcafee/mar/agent/query/windows",
27266.                   "enabled" : true
27267.                 }, {
27268.                   "catalogVersion" : 230233,
27269.                   "dbVersion" : 2,
27270.                   "id" : "58efec8ee4b0c390d69a8e0f",
27271.                   "name" : "linux",
27272.                   "topic" : "/mcafee/mar/agent/query/linux",
27273.                   "enabled" : true
27274.                 }, {
27275.                   "catalogVersion" : 230233,
27276.                   "dbVersion" : 2,
27277.                   "id" : "5a1a45c9e4b0401274ab7141",
27278.                   "name" : "macos",
27279.                   "topic" : "/mcafee/mar/agent/query/macos",
27280.                   "enabled" : true
27281.                 } ],
27282.                 "platformSettings" : [ {
27283.                   "platform" : {
27284.                     "catalogVersion" : 230233,
27285.                     "dbVersion" : 2,
27286.                     "id" : "58efec8ee4b0c390d69a8e0e",
27287.                     "name" : "windows",
27288.                     "topic" : "/mcafee/mar/agent/query/windows",
27289.                     "enabled" : true
27290.                   },
27291.                   "utf8Sensitive" : false
27292.                 }, {
27293.                   "platform" : {
27294.                     "catalogVersion" : 230233,
27295.                     "dbVersion" : 2,
27296.                     "id" : "58efec8ee4b0c390d69a8e0f",
27297.                     "name" : "linux",
27298.                     "topic" : "/mcafee/mar/agent/query/linux",
27299.                     "enabled" : true
27300.                   },
27301.                   "utf8Sensitive" : false
27302.                 }, {
27303.                   "platform" : {
27304.                     "catalogVersion" : 230233,
27305.                     "dbVersion" : 2,
27306.                     "id" : "5a1a45c9e4b0401274ab7141",
27307.                     "name" : "macos",
27308.                     "topic" : "/mcafee/mar/agent/query/macos",
27309.                     "enabled" : true
27310.                   },
27311.                   "utf8Sensitive" : false
27312.                 } ],
27313.                 "itemType" : "BUILTIN",
27314.                 "catalogItems" : [ "COLLECTOR" ]
27315.               },
27316.               "content" : null,
27317.               "arguments" : [ ],
27318.               "utf8Sensitive" : false
27319.             }, {
27320.               "platform" : {
27321.                 "catalogVersion" : 230233,
27322.                 "dbVersion" : 2,
27323.                 "id" : "58efec8ee4b0c390d69a8e0e",
27324.                 "name" : "windows",
27325.                 "topic" : "/mcafee/mar/agent/query/windows",
27326.                 "enabled" : true
27327.               },
27328.               "capability" : {
27329.                 "catalogVersion" : 230233,
27330.                 "dbVersion" : 2,
27331.                 "id" : "58efec8ee4b0c390d69a8e10",
27332.                 "name" : "Running Processes",
27333.                 "description" : "Obtains the list of the running processes",
27334.                 "module" : "SystemInfo",
27335.                 "function" : "CollectProcess",
27336.                 "contentEnabled" : false,
27337.                 "arguments" : [ ],
27338.                 "outputs" : [ ],
27339.                 "formatArgs" : { },
27340.                 "format" : "BIN",
27341.                 "platforms" : [ {
27342.                   "catalogVersion" : 230233,
27343.                   "dbVersion" : 2,
27344.                   "id" : "58efec8ee4b0c390d69a8e0e",
27345.                   "name" : "windows",
27346.                   "topic" : "/mcafee/mar/agent/query/windows",
27347.                   "enabled" : true
27348.                 }, {
27349.                   "catalogVersion" : 230233,
27350.                   "dbVersion" : 2,
27351.                   "id" : "58efec8ee4b0c390d69a8e0f",
27352.                   "name" : "linux",
27353.                   "topic" : "/mcafee/mar/agent/query/linux",
27354.                   "enabled" : true
27355.                 }, {
27356.                   "catalogVersion" : 230233,
27357.                   "dbVersion" : 2,
27358.                   "id" : "5a1a45c9e4b0401274ab7141",
27359.                   "name" : "macos",
27360.                   "topic" : "/mcafee/mar/agent/query/macos",
27361.                   "enabled" : true
27362.                 } ],
27363.                 "platformSettings" : [ {
27364.                   "platform" : {
27365.                     "catalogVersion" : 230233,
27366.                     "dbVersion" : 2,
27367.                     "id" : "58efec8ee4b0c390d69a8e0e",
27368.                     "name" : "windows",
27369.                     "topic" : "/mcafee/mar/agent/query/windows",
27370.                     "enabled" : true
27371.                   },
27372.                   "utf8Sensitive" : false
27373.                 }, {
27374.                   "platform" : {
27375.                     "catalogVersion" : 230233,
27376.                     "dbVersion" : 2,
27377.                     "id" : "58efec8ee4b0c390d69a8e0f",
27378.                     "name" : "linux",
27379.                     "topic" : "/mcafee/mar/agent/query/linux",
27380.                     "enabled" : true
27381.                   },
27382.                   "utf8Sensitive" : false
27383.                 }, {
27384.                   "platform" : {
27385.                     "catalogVersion" : 230233,
27386.                     "dbVersion" : 2,
27387.                     "id" : "5a1a45c9e4b0401274ab7141",
27388.                     "name" : "macos",
27389.                     "topic" : "/mcafee/mar/agent/query/macos",
27390.                     "enabled" : true
27391.                   },
27392.                   "utf8Sensitive" : false
27393.                 } ],
27394.                 "itemType" : "BUILTIN",
27395.                 "catalogItems" : [ "COLLECTOR" ]
27396.               },
27397.               "content" : null,
27398.               "arguments" : [ ],
27399.               "utf8Sensitive" : false
27400.             }, {
27401.               "platform" : {
27402.                 "catalogVersion" : 230233,
27403.                 "dbVersion" : 2,
27404.                 "id" : "5a1a45c9e4b0401274ab7141",
27405.                 "name" : "macos",
27406.                 "topic" : "/mcafee/mar/agent/query/macos",
27407.                 "enabled" : true
27408.               },
27409.               "capability" : {
27410.                 "catalogVersion" : 230233,
27411.                 "dbVersion" : 2,
27412.                 "id" : "58efec8ee4b0c390d69a8e10",
27413.                 "name" : "Running Processes",
27414.                 "description" : "Obtains the list of the running processes",
27415.                 "module" : "SystemInfo",
27416.                 "function" : "CollectProcess",
27417.                 "contentEnabled" : false,
27418.                 "arguments" : [ ],
27419.                 "outputs" : [ ],
27420.                 "formatArgs" : { },
27421.                 "format" : "BIN",
27422.                 "platforms" : [ {
27423.                   "catalogVersion" : 230233,
27424.                   "dbVersion" : 2,
27425.                   "id" : "58efec8ee4b0c390d69a8e0e",
27426.                   "name" : "windows",
27427.                   "topic" : "/mcafee/mar/agent/query/windows",
27428.                   "enabled" : true
27429.                 }, {
27430.                   "catalogVersion" : 230233,
27431.                   "dbVersion" : 2,
27432.                   "id" : "58efec8ee4b0c390d69a8e0f",
27433.                   "name" : "linux",
27434.                   "topic" : "/mcafee/mar/agent/query/linux",
27435.                   "enabled" : true
27436.                 }, {
27437.                   "catalogVersion" : 230233,
27438.                   "dbVersion" : 2,
27439.                   "id" : "5a1a45c9e4b0401274ab7141",
27440.                   "name" : "macos",
27441.                   "topic" : "/mcafee/mar/agent/query/macos",
27442.                   "enabled" : true
27443.                 } ],
27444.                 "platformSettings" : [ {
27445.                   "platform" : {
27446.                     "catalogVersion" : 230233,
27447.                     "dbVersion" : 2,
27448.                     "id" : "58efec8ee4b0c390d69a8e0e",
27449.                     "name" : "windows",
27450.                     "topic" : "/mcafee/mar/agent/query/windows",
27451.                     "enabled" : true
27452.                   },
27453.                   "utf8Sensitive" : false
27454.                 }, {
27455.                   "platform" : {
27456.                     "catalogVersion" : 230233,
27457.                     "dbVersion" : 2,
27458.                     "id" : "58efec8ee4b0c390d69a8e0f",
27459.                     "name" : "linux",
27460.                     "topic" : "/mcafee/mar/agent/query/linux",
27461.                     "enabled" : true
27462.                   },
27463.                   "utf8Sensitive" : false
27464.                 }, {
27465.                   "platform" : {
27466.                     "catalogVersion" : 230233,
27467.                     "dbVersion" : 2,
27468.                     "id" : "5a1a45c9e4b0401274ab7141",
27469.                     "name" : "macos",
27470.                     "topic" : "/mcafee/mar/agent/query/macos",
27471.                     "enabled" : true
27472.                   },
27473.                   "utf8Sensitive" : false
27474.                 } ],
27475.                 "itemType" : "BUILTIN",
27476.                 "catalogItems" : [ "COLLECTOR" ]
27477.               },
27478.               "content" : null,
27479.               "arguments" : [ ],
27480.               "utf8Sensitive" : false
27481.             } ],
27482.             "timeout" : 60,
27483.             "outputs" : [ {
27484.               "id" : "58efec8ee4b0c390d69a8e6a",
27485.               "name" : "name",
27486.               "type" : "STRING",
27487.               "byDefault" : true,
27488.               "sequence" : 1
27489.             }, {
27490.               "id" : "58efec8ee4b0c390d69a8e6b",
27491.               "name" : "id",
27492.               "type" : "NUMBER",
27493.               "byDefault" : false,
27494.               "sequence" : 2
27495.             }, {
27496.               "id" : "58efec8ee4b0c390d69a8e6c",
27497.               "name" : "threadcount",
27498.               "type" : "NUMBER",
27499.               "byDefault" : false,
27500.               "sequence" : 3
27501.             }, {
27502.               "id" : "58efec8ee4b0c390d69a8e6d",
27503.               "name" : "parentid",
27504.               "type" : "NUMBER",
27505.               "byDefault" : false,
27506.               "sequence" : 4
27507.             }, {
27508.               "id" : "58efec8ee4b0c390d69a8e6e",
27509.               "name" : "parentname",
27510.               "type" : "STRING",
27511.               "byDefault" : false,
27512.               "sequence" : 999
27513.             }, {
27514.               "id" : "5a1a45cae4b0401274ab718e",
27515.               "name" : "parentimagepath",
27516.               "type" : "STRING",
27517.               "byDefault" : false,
27518.               "sequence" : 1000
27519.             }, {
27520.               "id" : "5a1a45cae4b0401274ab718f",
27521.               "name" : "file_reputation",
27522.               "type" : "REPUTATION",
27523.               "byDefault" : false,
27524.               "sequence" : 1001
27525.             }, {
27526.               "id" : "5b3f9b64e4b0dfaf321a630e",
27527.               "name" : "process_reputation",
27528.               "type" : "REPUTATION",
27529.               "byDefault" : false,
27530.               "sequence" : 1002
27531.             }, {
27532.               "id" : "5b3f9b64e4b0dfaf321a630f",
27533.               "name" : "started_at",
27534.               "type" : "DATE",
27535.               "byDefault" : false,
27536.               "sequence" : 1003
27537.             }, {
27538.               "id" : "5b3f9b64e4b0dfaf321a6310",
27539.               "name" : "content_size",
27540.               "type" : "NUMBER",
27541.               "byDefault" : false,
27542.               "sequence" : 1004
27543.             }, {
27544.               "id" : "5b3f9b64e4b0dfaf321a6311",
27545.               "name" : "content",
27546.               "type" : "STRING",
27547.               "byDefault" : false,
27548.               "sequence" : 1005
27549.             }, {
27550.               "id" : "5b3f9b64e4b0dfaf321a6312",
27551.               "name" : "content_file",
27552.               "type" : "STRING",
27553.               "byDefault" : false,
27554.               "sequence" : 1006
27555.             }, {
27556.               "id" : "5b3f9b64e4b0dfaf321a6313",
27557.               "name" : "execution_mode",
27558.               "type" : "STRING",
27559.               "byDefault" : false,
27560.               "sequence" : 1007
27561.             }, {
27562.               "id" : "58efec8ee4b0c390d69a8e6f",
27563.               "name" : "size",
27564.               "type" : "NUMBER",
27565.               "byDefault" : false,
27566.               "sequence" : 5
27567.             }, {
27568.               "id" : "58efec8ee4b0c390d69a8e70",
27569.               "name" : "md5",
27570.               "type" : "STRING",
27571.               "byDefault" : true,
27572.               "sequence" : 6
27573.             }, {
27574.               "id" : "58efec8ee4b0c390d69a8e71",
27575.               "name" : "sha1",
27576.               "type" : "STRING",
27577.               "byDefault" : true,
27578.               "sequence" : 7
27579.             }, {
27580.               "id" : "58efec8ee4b0c390d69a8e72",
27581.               "name" : "cmdline",
27582.               "type" : "STRING",
27583.               "byDefault" : true,
27584.               "sequence" : 8
27585.             }, {
27586.               "id" : "58efec8ee4b0c390d69a8e73",
27587.               "name" : "imagepath",
27588.               "type" : "STRING",
27589.               "byDefault" : true,
27590.               "sequence" : 9
27591.             }, {
27592.               "id" : "58efec8ee4b0c390d69a8e74",
27593.               "name" : "kerneltime",
27594.               "type" : "NUMBER",
27595.               "byDefault" : false,
27596.               "sequence" : 10
27597.             }, {
27598.               "id" : "58efec8ee4b0c390d69a8e75",
27599.               "name" : "usertime",
27600.               "type" : "NUMBER",
27601.               "byDefault" : false,
27602.               "sequence" : 11
27603.             }, {
27604.               "id" : "58efec8ee4b0c390d69a8e76",
27605.               "name" : "uptime",
27606.               "type" : "NUMBER",
27607.               "byDefault" : false,
27608.               "sequence" : 12
27609.             }, {
27610.               "id" : "58efec8ee4b0c390d69a8e77",
27611.               "name" : "user",
27612.               "type" : "STRING",
27613.               "byDefault" : false,
27614.               "sequence" : 13
27615.             }, {
27616.               "id" : "58efec8ee4b0c390d69a8e78",
27617.               "name" : "user_id",
27618.               "type" : "STRING",
27619.               "byDefault" : false,
27620.               "sequence" : 14
27621.             }, {
27622.               "id" : "5a1a45cae4b0401274ab7190",
27623.               "name" : "sha256",
27624.               "type" : "STRING",
27625.               "byDefault" : true,
27626.               "sequence" : 15
27627.             }, {
27628.               "id" : "5b3f9b64e4b0dfaf321a6314",
27629.               "name" : "normalized_cmdline",
27630.               "type" : "STRING",
27631.               "byDefault" : false,
27632.               "sequence" : 1009
27633.             }, {
27634.               "id" : "5b3f9b64e4b0dfaf321a6315",
27635.               "name" : "parent_cmdline",
27636.               "type" : "STRING",
27637.               "byDefault" : false,
27638.               "sequence" : 1010
27639.             } ]
27640.           }
27641.         } ]
27642.       } ]
27643.     },
27644.     "running" : false,
27645.     "createdAt" : 1530900630426,
27646.     "executedAt" : null,
27647.     "status" : "CREATED",
27648.     "ttl" : 60000,
27649.     "startTime" : null,
27650.     "endpointPermission" : null,
27651.     "maGuidsTarget" : null,
27652.     "expectedHostResponses" : 0
27653.   },
27654.   "type" : "com.intel.mar.model.search.Search"
27655. }, {
27656.   "item" : {
27657.     "catalogVersion" : 1,
27658.     "dbVersion" : 2,
27659.     "id" : "5b3fb096e4b0cbe06dd6732a",
27660.     "name" : "WinRegistry Runkeys Info",
27661.     "description" : "",
27662.     "type" : null,
27663.     "expression" : null,
27664.     "temporal" : false,
27665.     "invalid" : false,
27666.     "aggregated" : false,
27667.     "projections" : [ {
27668.       "collector" : {
27669.         "catalogVersion" : 230233,
27670.         "dbVersion" : 2,
27671.         "id" : "58efec8ee4b0c390d69a8ec5",
27672.         "name" : "HostInfo",
27673.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
27674.         "type" : "BUILTIN",
27675.         "contents" : [ {
27676.           "platform" : {
27677.             "catalogVersion" : 230233,
27678.             "dbVersion" : 2,
27679.             "id" : "58efec8ee4b0c390d69a8e0f",
27680.             "name" : "linux",
27681.             "topic" : "/mcafee/mar/agent/query/linux",
27682.             "enabled" : true
27683.           },
27684.           "capability" : {
27685.             "catalogVersion" : 230233,
27686.             "dbVersion" : 2,
27687.             "id" : "58efec8ee4b0c390d69a8e14",
27688.             "name" : "Bash Script",
27689.             "description" : "Executes Bash script on target client",
27690.             "module" : "SystemRuntime",
27691.             "function" : "executeBash",
27692.             "contentEnabled" : true,
27693.             "arguments" : [ ],
27694.             "outputs" : [ ],
27695.             "formatArgs" : {
27696.               "hasHeaders" : false,
27697.               "delimiter" : ","
27698.             },
27699.             "format" : "CSV",
27700.             "platforms" : [ {
27701.               "catalogVersion" : 230233,
27702.               "dbVersion" : 2,
27703.               "id" : "58efec8ee4b0c390d69a8e0f",
27704.               "name" : "linux",
27705.               "topic" : "/mcafee/mar/agent/query/linux",
27706.               "enabled" : true
27707.             }, {
27708.               "catalogVersion" : 230233,
27709.               "dbVersion" : 2,
27710.               "id" : "5a1a45c9e4b0401274ab7141",
27711.               "name" : "macos",
27712.               "topic" : "/mcafee/mar/agent/query/macos",
27713.               "enabled" : true
27714.             } ],
27715.             "platformSettings" : [ {
27716.               "platform" : {
27717.                 "catalogVersion" : 230233,
27718.                 "dbVersion" : 2,
27719.                 "id" : "58efec8ee4b0c390d69a8e0f",
27720.                 "name" : "linux",
27721.                 "topic" : "/mcafee/mar/agent/query/linux",
27722.                 "enabled" : true
27723.               },
27724.               "utf8Sensitive" : false
27725.             }, {
27726.               "platform" : {
27727.                 "catalogVersion" : 230233,
27728.                 "dbVersion" : 2,
27729.                 "id" : "5a1a45c9e4b0401274ab7141",
27730.                 "name" : "macos",
27731.                 "topic" : "/mcafee/mar/agent/query/macos",
27732.                 "enabled" : true
27733.               },
27734.               "utf8Sensitive" : false
27735.             } ],
27736.             "itemType" : "CUSTOM",
27737.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
27738.           },
27739.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
27740.           "arguments" : [ ],
27741.           "utf8Sensitive" : false
27742.         }, {
27743.           "platform" : {
27744.             "catalogVersion" : 230233,
27745.             "dbVersion" : 2,
27746.             "id" : "58efec8ee4b0c390d69a8e0e",
27747.             "name" : "windows",
27748.             "topic" : "/mcafee/mar/agent/query/windows",
27749.             "enabled" : true
27750.           },
27751.           "capability" : {
27752.             "catalogVersion" : 230233,
27753.             "dbVersion" : 2,
27754.             "id" : "58efec8ee4b0c390d69a8e12",
27755.             "name" : "Visual Basic Script",
27756.             "description" : "Executes VBS script on target client",
27757.             "module" : "SystemRuntime",
27758.             "function" : "executeVBS",
27759.             "contentEnabled" : true,
27760.             "arguments" : [ ],
27761.             "outputs" : [ ],
27762.             "formatArgs" : {
27763.               "hasHeaders" : false,
27764.               "delimiter" : ","
27765.             },
27766.             "format" : "CSV",
27767.             "platforms" : [ {
27768.               "catalogVersion" : 230233,
27769.               "dbVersion" : 2,
27770.               "id" : "58efec8ee4b0c390d69a8e0e",
27771.               "name" : "windows",
27772.               "topic" : "/mcafee/mar/agent/query/windows",
27773.               "enabled" : true
27774.             } ],
27775.             "platformSettings" : [ {
27776.               "platform" : {
27777.                 "catalogVersion" : 230233,
27778.                 "dbVersion" : 2,
27779.                 "id" : "58efec8ee4b0c390d69a8e0e",
27780.                 "name" : "windows",
27781.                 "topic" : "/mcafee/mar/agent/query/windows",
27782.                 "enabled" : true
27783.               },
27784.               "utf8Sensitive" : false
27785.             } ],
27786.             "itemType" : "CUSTOM",
27787.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
27788.           },
27789.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
27790.           "arguments" : [ ],
27791.           "utf8Sensitive" : false
27792.         }, {
27793.           "platform" : {
27794.             "catalogVersion" : 230233,
27795.             "dbVersion" : 2,
27796.             "id" : "5a1a45c9e4b0401274ab7141",
27797.             "name" : "macos",
27798.             "topic" : "/mcafee/mar/agent/query/macos",
27799.             "enabled" : true
27800.           },
27801.           "capability" : {
27802.             "catalogVersion" : 230233,
27803.             "dbVersion" : 2,
27804.             "id" : "5a1a45cae4b0401274ab7183",
27805.             "name" : "HostInfo SysInfo",
27806.             "description" : "Shows Hostname, 1st IP Address and OS version",
27807.             "module" : "SysInfo",
27808.             "function" : "HostInfo",
27809.             "contentEnabled" : false,
27810.             "arguments" : [ ],
27811.             "outputs" : [ ],
27812.             "formatArgs" : { },
27813.             "format" : "BIN",
27814.             "platforms" : [ {
27815.               "catalogVersion" : 230233,
27816.               "dbVersion" : 2,
27817.               "id" : "5a1a45c9e4b0401274ab7141",
27818.               "name" : "macos",
27819.               "topic" : "/mcafee/mar/agent/query/macos",
27820.               "enabled" : true
27821.             } ],
27822.             "platformSettings" : [ {
27823.               "platform" : {
27824.                 "catalogVersion" : 230233,
27825.                 "dbVersion" : 2,
27826.                 "id" : "5a1a45c9e4b0401274ab7141",
27827.                 "name" : "macos",
27828.                 "topic" : "/mcafee/mar/agent/query/macos",
27829.                 "enabled" : true
27830.               },
27831.               "utf8Sensitive" : false
27832.             } ],
27833.             "itemType" : "BUILTIN",
27834.             "catalogItems" : [ "COLLECTOR" ]
27835.           },
27836.           "content" : null,
27837.           "arguments" : [ ],
27838.           "utf8Sensitive" : false
27839.         } ],
27840.         "timeout" : 60,
27841.         "outputs" : [ {
27842.           "id" : "58efec8ee4b0c390d69a8ec2",
27843.           "name" : "hostname",
27844.           "type" : "STRING",
27845.           "byDefault" : false,
27846.           "sequence" : 1
27847.         }, {
27848.           "id" : "58efec8ee4b0c390d69a8ec3",
27849.           "name" : "ip_address",
27850.           "type" : "IPV4IPV6",
27851.           "byDefault" : false,
27852.           "sequence" : 2
27853.         }, {
27854.           "id" : "58efec8ee4b0c390d69a8ec4",
27855.           "name" : "os",
27856.           "type" : "STRING",
27857.           "byDefault" : false,
27858.           "sequence" : 3
27859.         }, {
27860.           "id" : "5b3f9b64e4b0dfaf321a6346",
27861.           "name" : "connection_status",
27862.           "type" : "STRING",
27863.           "byDefault" : false,
27864.           "sequence" : 4
27865.         }, {
27866.           "id" : "5b3f9b64e4b0dfaf321a6347",
27867.           "name" : "platform",
27868.           "type" : "STRING",
27869.           "byDefault" : false,
27870.           "sequence" : 5
27871.         } ]
27872.       },
27873.       "sequence" : "1",
27874.       "output" : [ {
27875.         "id" : "58efec8ee4b0c390d69a8ec2",
27876.         "name" : "hostname",
27877.         "type" : "STRING",
27878.         "byDefault" : false,
27879.         "sequence" : 1
27880.       } ]
27881.     }, {
27882.       "collector" : {
27883.         "catalogVersion" : 1,
27884.         "dbVersion" : 2,
27885.         "id" : "5b3fb07ce4b0cbe06dd672fe",
27886.         "name" : "Runkeys",
27887.         "description" : "Executes VBS script on target client",
27888.         "type" : "CUSTOM",
27889.         "contents" : [ {
27890.           "platform" : {
27891.             "catalogVersion" : 230233,
27892.             "dbVersion" : 2,
27893.             "id" : "58efec8ee4b0c390d69a8e0f",
27894.             "name" : "linux",
27895.             "topic" : "/mcafee/mar/agent/query/linux",
27896.             "enabled" : true
27897.           },
27898.           "capability" : {
27899.             "catalogVersion" : 230233,
27900.             "dbVersion" : 2,
27901.             "id" : "58efec8ee4b0c390d69a8e51",
27902.             "name" : "NotAvailable",
27903.             "description" : "Capability not available",
27904.             "module" : "Internal",
27905.             "function" : "GetFalseResult",
27906.             "contentEnabled" : false,
27907.             "arguments" : [ ],
27908.             "outputs" : [ ],
27909.             "formatArgs" : { },
27910.             "format" : "BIN",
27911.             "platforms" : [ {
27912.               "catalogVersion" : 230233,
27913.               "dbVersion" : 2,
27914.               "id" : "58efec8ee4b0c390d69a8e0e",
27915.               "name" : "windows",
27916.               "topic" : "/mcafee/mar/agent/query/windows",
27917.               "enabled" : true
27918.             }, {
27919.               "catalogVersion" : 230233,
27920.               "dbVersion" : 2,
27921.               "id" : "58efec8ee4b0c390d69a8e0f",
27922.               "name" : "linux",
27923.               "topic" : "/mcafee/mar/agent/query/linux",
27924.               "enabled" : true
27925.             } ],
27926.             "platformSettings" : [ ],
27927.             "itemType" : "BUILTIN",
27928.             "catalogItems" : [ ]
27929.           },
27930.           "content" : null,
27931.           "arguments" : null,
27932.           "utf8Sensitive" : false
27933.         }, {
27934.           "platform" : {
27935.             "catalogVersion" : 230233,
27936.             "dbVersion" : 2,
27937.             "id" : "5a1a45c9e4b0401274ab7141",
27938.             "name" : "macos",
27939.             "topic" : "/mcafee/mar/agent/query/macos",
27940.             "enabled" : true
27941.           },
27942.           "capability" : {
27943.             "catalogVersion" : 230233,
27944.             "dbVersion" : 2,
27945.             "id" : "58efec8ee4b0c390d69a8e51",
27946.             "name" : "NotAvailable",
27947.             "description" : "Capability not available",
27948.             "module" : "Internal",
27949.             "function" : "GetFalseResult",
27950.             "contentEnabled" : false,
27951.             "arguments" : [ ],
27952.             "outputs" : [ ],
27953.             "formatArgs" : { },
27954.             "format" : "BIN",
27955.             "platforms" : [ {
27956.               "catalogVersion" : 230233,
27957.               "dbVersion" : 2,
27958.               "id" : "58efec8ee4b0c390d69a8e0e",
27959.               "name" : "windows",
27960.               "topic" : "/mcafee/mar/agent/query/windows",
27961.               "enabled" : true
27962.             }, {
27963.               "catalogVersion" : 230233,
27964.               "dbVersion" : 2,
27965.               "id" : "58efec8ee4b0c390d69a8e0f",
27966.               "name" : "linux",
27967.               "topic" : "/mcafee/mar/agent/query/linux",
27968.               "enabled" : true
27969.             } ],
27970.             "platformSettings" : [ ],
27971.             "itemType" : "BUILTIN",
27972.             "catalogItems" : [ ]
27973.           },
27974.           "content" : null,
27975.           "arguments" : null,
27976.           "utf8Sensitive" : false
27977.         }, {
27978.           "platform" : {
27979.             "catalogVersion" : 230233,
27980.             "dbVersion" : 2,
27981.             "id" : "58efec8ee4b0c390d69a8e0e",
27982.             "name" : "windows",
27983.             "topic" : "/mcafee/mar/agent/query/windows",
27984.             "enabled" : true
27985.           },
27986.           "capability" : {
27987.             "catalogVersion" : 230233,
27988.             "dbVersion" : 2,
27989.             "id" : "58efec8ee4b0c390d69a8e12",
27990.             "name" : "Visual Basic Script",
27991.             "description" : "Executes VBS script on target client",
27992.             "module" : "SystemRuntime",
27993.             "function" : "executeVBS",
27994.             "contentEnabled" : true,
27995.             "arguments" : [ ],
27996.             "outputs" : [ ],
27997.             "formatArgs" : {
27998.               "hasHeaders" : false,
27999.               "delimiter" : ","
28000.             },
28001.             "format" : "CSV",
28002.             "platforms" : [ {
28003.               "catalogVersion" : 230233,
28004.               "dbVersion" : 2,
28005.               "id" : "58efec8ee4b0c390d69a8e0e",
28006.               "name" : "windows",
28007.               "topic" : "/mcafee/mar/agent/query/windows",
28008.               "enabled" : true
28009.             } ],
28010.             "platformSettings" : [ {
28011.               "platform" : {
28012.                 "catalogVersion" : 230233,
28013.                 "dbVersion" : 2,
28014.                 "id" : "58efec8ee4b0c390d69a8e0e",
28015.                 "name" : "windows",
28016.                 "topic" : "/mcafee/mar/agent/query/windows",
28017.                 "enabled" : true
28018.               },
28019.               "utf8Sensitive" : false
28020.             } ],
28021.             "itemType" : "CUSTOM",
28022.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
28023.           },
28024.           "content" : "'\n' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n' This Script will enumerate the Run and RunOnce Keys from the registry and return a list of Values\n' Created by Nick Mauriello of Intel Security\n'\n'\n' ***********************************************\n' Declare all variables\n' ***********************************************\nOption Explicit\nDim objectShell, objectReg, objWMIService, strKeyValuePath, strKeyValueData, strKeyPath, arrValueNames, I, user, strFullPath, arrValueNames2, dict\nConst HKEY_LOCAL_MACHINE = &H80000002\nConst HKEY_USERS = &H80000003\nSet objectShell = WScript.CreateObject(\"WScript.Shell\")\nSet objectReg = GetObject(\"winmgmts:{impersonationLevel=impersonate}!\\\\.\\root\\default:StdRegProv\")\nSet objWMIService = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")\n' ***********************************************\n' Ignore Values in this list. They are known safe so we can filter them out during collection\n' If you want all keys returned without any filtering just remove lives from below section\n' ***********************************************\nSet dict = CreateObject(\"Scripting.Dictionary\")\ndict.Add \"\", \"\"\ndict.Add \"McAfeeUpdaterUI\", \"McAfee\"\ndict.Add \"TIEStatusExe\", \"McAfee\"\ndict.Add \"ShStatEXE\", \"McAfee\"\ndict.Add \"McAfee Host Intrusion Prevention Tray\", \"McAfee Host Intrusion Prevention Tray\"\ndict.Add \"Sidebar\", \"Sidebar\"\ndict.Add \"McAfeeTalkBackMonitor\", \"McAfeeTalkBackMonitor\"\ndict.Add \"MfeEpePcMonitor\", \"MfeEpePcMonitor\"\ndict.Add \"MfeFfCore\", \"MfeFfCore\"\ndict.Add \"VMware User Process\", \"VMware User Process\"\ndict.Add \"SunJavaUpdateSched\", \"SunJavaUpdateSched\"\ndict.Add \"Persistence\", \"Persistence\"\ndict.Add \"IgfxTray\", \"IgfxTray\"\ndict.Add \"HotKeysCmds\", \"HotKeysCmds\"\ndict.Add \"RTHDVCPL\", \"RTHDVCPL\"\ndict.Add \"Adobe ARM\", \"Adobe ARM\"\ndict.Add \"QuickTime Task\", \"QuickTime Task\"\ndict.Add \"Lync\", \"Lync\"\ndict.Add \"BCSSync\", \"BCSSync\"\ndict.Add \"!!SecureLogin\", \"!!SecureLogin\"\ndict.Add \"Acrobat Assistant 8.0\", \"Acrobat Assistant 8.0\"\ndict.Add \"AdobeAAMUpdater-1.0\", \"AdobeAAMUpdater-1.0\"\ndict.Add \"OfficeSyncProcess\", \"OfficeSyncProcess\"\ndict.Add \"Bginfo\", \"Bginfo\"\ndict.Add \"MSPCLOCK\", \"MSCLOCK\"\ndict.Add \"MSKSSR\", \"Streaming\"\ndict.Add \"MSTEE.Splitter\", \"Streaming 2\"\ndict.Add \"MSPQM\", \"Streaming 3\"\ndict.Add \"MSKSSRV\", \"Streaming 4\"\ndict.Add \"MSTEE.CxTransform\", \"MSTEE.CxTransform1\"\ndict.Add \"WDM_DRMKAUD\", \"Audio Descrambler\"\ndict.Add \"mctadmin\", \"mctadmin1\"\n' ***********************************************\n' Enumerate standard 32 Bit Run keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate standard 32 Bit RunOnce keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate 64 Bit Run keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate 64 Bit RunOnce keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate User Run Keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumKey HKEY_USERS, \"\", arrValueNames\nIF IsArray(arrValueNames) Then\n\tFor Each user in arrValueNames\n\t\tstrFullPath = user & \"\\\" & strKeyPath\n\t\tIF user <> \".DEFAULT\" Then\n\t\t\tobjectReg.EnumValues HKEY_USERS, strFullPath, arrValueNames2\n\t\t\tIF IsArray(arrValueNames2) Then\n\t\t\t\tFor I=0 To UBound(arrValueNames2)\n\t\t\t\t\tstrKeyValuePath = \"HKEY_USERS\" & \"\\\" & user & \"\\\" & strKeyPath & \"\\\" & arrValueNames2(I)\n\t\t\t\t\tstrKeyValueData = objectShell.RegRead(strKeyValuePath)\n\t\t\t\t\tIF arrValueNames2(I) <> \"\" Then\n\t\t\t\t\t\tIF dict.Exists(arrValueNames2(I)) Then\n\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",\" & _\n\t\t\t\t\t\t\t(objWMIService.Get(\"Win32_SID.SID='\" & user & \"'\").AccountName) & \",\" & arrValueNames2(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\t\t\t\tEnd IF\n\t\t\t\t\tEnd IF\n\t\t\t\tNext\n\t\t\tEnd IF\n\t\tEnd IF\n\tNext\nEnd IF\n' ***********************************************\n' Enumerate User RunOnce Keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumKey HKEY_USERS, \"\", arrValueNames\nIF IsArray(arrValueNames) Then\n\tFor Each user in arrValueNames\n\t\tstrFullPath = user & \"\\\" & strKeyPath\n\t\tIF user <> \".DEFAULT\" Then\n\t\t\tobjectReg.EnumValues HKEY_USERS, strFullPath, arrValueNames2\n\t\t\tIF IsArray(arrValueNames2) Then\n\t\t\t\tFor I=0 To UBound(arrValueNames2)\n\t\t\t\t\tstrKeyValuePath = \"HKEY_USERS\" & \"\\\" & user & \"\\\" & strKeyPath & \"\\\" & arrValueNames2(I)\n\t\t\t\t\tstrKeyValueData = objectShell.RegRead(strKeyValuePath)\n\t\t\t\t\tIF arrValueNames2(I) <> \"\" Then\n\t\t\t\t\t\tIF dict.Exists(arrValueNames2(I)) Then\n\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",\" & _\n\t\t\t\t\t\t\t(objWMIService.Get(\"Win32_SID.SID='\" & user & \"'\").AccountName) & \",\" & arrValueNames2(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\t\t\t\tEnd IF\n\t\t\t\t\tEnd IF\n\t\t\t\tNext\n\t\t\tEnd IF\n\t\tEnd IF\n\tNext\nEnd IF",
28025.           "arguments" : null,
28026.           "utf8Sensitive" : false
28027.         } ],
28028.         "timeout" : 60,
28029.         "outputs" : [ {
28030.           "id" : "5b3fb07ce4b0cbe06dd672dd",
28031.           "name" : "fullpath",
28032.           "type" : "STRING",
28033.           "byDefault" : true,
28034.           "sequence" : 1
28035.         }, {
28036.           "id" : "5b3fb07ce4b0cbe06dd672de",
28037.           "name" : "user",
28038.           "type" : "STRING",
28039.           "byDefault" : true,
28040.           "sequence" : 2
28041.         }, {
28042.           "id" : "5b3fb07ce4b0cbe06dd672df",
28043.           "name" : "keypath",
28044.           "type" : "REG_STR",
28045.           "byDefault" : true,
28046.           "sequence" : 3
28047.         }, {
28048.           "id" : "5b3fb07ce4b0cbe06dd672e0",
28049.           "name" : "keyvalue",
28050.           "type" : "REG_STR",
28051.           "byDefault" : true,
28052.           "sequence" : 4
28053.         }, {
28054.           "id" : "5b3fb07ce4b0cbe06dd672e1",
28055.           "name" : "valuedata",
28056.           "type" : "REG_STR",
28057.           "byDefault" : true,
28058.           "sequence" : 5
28059.         }, {
28060.           "id" : "5b3fb07ce4b0cbe06dd672e2",
28061.           "name" : "valuetype",
28062.           "type" : "REG_STR",
28063.           "byDefault" : true,
28064.           "sequence" : 6
28065.         } ]
28066.       },
28067.       "sequence" : "2",
28068.       "output" : [ ]
28069.     } ],
28070.     "disjunction" : {
28071.       "conjunctions" : [ {
28072.         "terms" : [ {
28073.           "output" : {
28074.             "id" : "5b3fb07ce4b0cbe06dd672dd",
28075.             "name" : "fullpath",
28076.             "type" : "STRING",
28077.             "byDefault" : true,
28078.             "sequence" : 1
28079.           },
28080.           "operator" : "EQUALS",
28081.           "value" : "",
28082.           "negated" : true,
28083.           "collector" : {
28084.             "catalogVersion" : 1,
28085.             "dbVersion" : 2,
28086.             "id" : "5b3fb07ce4b0cbe06dd672fe",
28087.             "name" : "Runkeys",
28088.             "description" : "Executes VBS script on target client",
28089.             "type" : "CUSTOM",
28090.             "contents" : [ {
28091.               "platform" : {
28092.                 "catalogVersion" : 230233,
28093.                 "dbVersion" : 2,
28094.                 "id" : "58efec8ee4b0c390d69a8e0f",
28095.                 "name" : "linux",
28096.                 "topic" : "/mcafee/mar/agent/query/linux",
28097.                 "enabled" : true
28098.               },
28099.               "capability" : {
28100.                 "catalogVersion" : 230233,
28101.                 "dbVersion" : 2,
28102.                 "id" : "58efec8ee4b0c390d69a8e51",
28103.                 "name" : "NotAvailable",
28104.                 "description" : "Capability not available",
28105.                 "module" : "Internal",
28106.                 "function" : "GetFalseResult",
28107.                 "contentEnabled" : false,
28108.                 "arguments" : [ ],
28109.                 "outputs" : [ ],
28110.                 "formatArgs" : { },
28111.                 "format" : "BIN",
28112.                 "platforms" : [ {
28113.                   "catalogVersion" : 230233,
28114.                   "dbVersion" : 2,
28115.                   "id" : "58efec8ee4b0c390d69a8e0e",
28116.                   "name" : "windows",
28117.                   "topic" : "/mcafee/mar/agent/query/windows",
28118.                   "enabled" : true
28119.                 }, {
28120.                   "catalogVersion" : 230233,
28121.                   "dbVersion" : 2,
28122.                   "id" : "58efec8ee4b0c390d69a8e0f",
28123.                   "name" : "linux",
28124.                   "topic" : "/mcafee/mar/agent/query/linux",
28125.                   "enabled" : true
28126.                 } ],
28127.                 "platformSettings" : [ ],
28128.                 "itemType" : "BUILTIN",
28129.                 "catalogItems" : [ ]
28130.               },
28131.               "content" : null,
28132.               "arguments" : null,
28133.               "utf8Sensitive" : false
28134.             }, {
28135.               "platform" : {
28136.                 "catalogVersion" : 230233,
28137.                 "dbVersion" : 2,
28138.                 "id" : "5a1a45c9e4b0401274ab7141",
28139.                 "name" : "macos",
28140.                 "topic" : "/mcafee/mar/agent/query/macos",
28141.                 "enabled" : true
28142.               },
28143.               "capability" : {
28144.                 "catalogVersion" : 230233,
28145.                 "dbVersion" : 2,
28146.                 "id" : "58efec8ee4b0c390d69a8e51",
28147.                 "name" : "NotAvailable",
28148.                 "description" : "Capability not available",
28149.                 "module" : "Internal",
28150.                 "function" : "GetFalseResult",
28151.                 "contentEnabled" : false,
28152.                 "arguments" : [ ],
28153.                 "outputs" : [ ],
28154.                 "formatArgs" : { },
28155.                 "format" : "BIN",
28156.                 "platforms" : [ {
28157.                   "catalogVersion" : 230233,
28158.                   "dbVersion" : 2,
28159.                   "id" : "58efec8ee4b0c390d69a8e0e",
28160.                   "name" : "windows",
28161.                   "topic" : "/mcafee/mar/agent/query/windows",
28162.                   "enabled" : true
28163.                 }, {
28164.                   "catalogVersion" : 230233,
28165.                   "dbVersion" : 2,
28166.                   "id" : "58efec8ee4b0c390d69a8e0f",
28167.                   "name" : "linux",
28168.                   "topic" : "/mcafee/mar/agent/query/linux",
28169.                   "enabled" : true
28170.                 } ],
28171.                 "platformSettings" : [ ],
28172.                 "itemType" : "BUILTIN",
28173.                 "catalogItems" : [ ]
28174.               },
28175.               "content" : null,
28176.               "arguments" : null,
28177.               "utf8Sensitive" : false
28178.             }, {
28179.               "platform" : {
28180.                 "catalogVersion" : 230233,
28181.                 "dbVersion" : 2,
28182.                 "id" : "58efec8ee4b0c390d69a8e0e",
28183.                 "name" : "windows",
28184.                 "topic" : "/mcafee/mar/agent/query/windows",
28185.                 "enabled" : true
28186.               },
28187.               "capability" : {
28188.                 "catalogVersion" : 230233,
28189.                 "dbVersion" : 2,
28190.                 "id" : "58efec8ee4b0c390d69a8e12",
28191.                 "name" : "Visual Basic Script",
28192.                 "description" : "Executes VBS script on target client",
28193.                 "module" : "SystemRuntime",
28194.                 "function" : "executeVBS",
28195.                 "contentEnabled" : true,
28196.                 "arguments" : [ ],
28197.                 "outputs" : [ ],
28198.                 "formatArgs" : {
28199.                   "hasHeaders" : false,
28200.                   "delimiter" : ","
28201.                 },
28202.                 "format" : "CSV",
28203.                 "platforms" : [ {
28204.                   "catalogVersion" : 230233,
28205.                   "dbVersion" : 2,
28206.                   "id" : "58efec8ee4b0c390d69a8e0e",
28207.                   "name" : "windows",
28208.                   "topic" : "/mcafee/mar/agent/query/windows",
28209.                   "enabled" : true
28210.                 } ],
28211.                 "platformSettings" : [ {
28212.                   "platform" : {
28213.                     "catalogVersion" : 230233,
28214.                     "dbVersion" : 2,
28215.                     "id" : "58efec8ee4b0c390d69a8e0e",
28216.                     "name" : "windows",
28217.                     "topic" : "/mcafee/mar/agent/query/windows",
28218.                     "enabled" : true
28219.                   },
28220.                   "utf8Sensitive" : false
28221.                 } ],
28222.                 "itemType" : "CUSTOM",
28223.                 "catalogItems" : [ "COLLECTOR", "REACTION" ]
28224.               },
28225.               "content" : "'\n' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n' This Script will enumerate the Run and RunOnce Keys from the registry and return a list of Values\n' Created by Nick Mauriello of Intel Security\n'\n'\n' ***********************************************\n' Declare all variables\n' ***********************************************\nOption Explicit\nDim objectShell, objectReg, objWMIService, strKeyValuePath, strKeyValueData, strKeyPath, arrValueNames, I, user, strFullPath, arrValueNames2, dict\nConst HKEY_LOCAL_MACHINE = &H80000002\nConst HKEY_USERS = &H80000003\nSet objectShell = WScript.CreateObject(\"WScript.Shell\")\nSet objectReg = GetObject(\"winmgmts:{impersonationLevel=impersonate}!\\\\.\\root\\default:StdRegProv\")\nSet objWMIService = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")\n' ***********************************************\n' Ignore Values in this list. They are known safe so we can filter them out during collection\n' If you want all keys returned without any filtering just remove lives from below section\n' ***********************************************\nSet dict = CreateObject(\"Scripting.Dictionary\")\ndict.Add \"\", \"\"\ndict.Add \"McAfeeUpdaterUI\", \"McAfee\"\ndict.Add \"TIEStatusExe\", \"McAfee\"\ndict.Add \"ShStatEXE\", \"McAfee\"\ndict.Add \"McAfee Host Intrusion Prevention Tray\", \"McAfee Host Intrusion Prevention Tray\"\ndict.Add \"Sidebar\", \"Sidebar\"\ndict.Add \"McAfeeTalkBackMonitor\", \"McAfeeTalkBackMonitor\"\ndict.Add \"MfeEpePcMonitor\", \"MfeEpePcMonitor\"\ndict.Add \"MfeFfCore\", \"MfeFfCore\"\ndict.Add \"VMware User Process\", \"VMware User Process\"\ndict.Add \"SunJavaUpdateSched\", \"SunJavaUpdateSched\"\ndict.Add \"Persistence\", \"Persistence\"\ndict.Add \"IgfxTray\", \"IgfxTray\"\ndict.Add \"HotKeysCmds\", \"HotKeysCmds\"\ndict.Add \"RTHDVCPL\", \"RTHDVCPL\"\ndict.Add \"Adobe ARM\", \"Adobe ARM\"\ndict.Add \"QuickTime Task\", \"QuickTime Task\"\ndict.Add \"Lync\", \"Lync\"\ndict.Add \"BCSSync\", \"BCSSync\"\ndict.Add \"!!SecureLogin\", \"!!SecureLogin\"\ndict.Add \"Acrobat Assistant 8.0\", \"Acrobat Assistant 8.0\"\ndict.Add \"AdobeAAMUpdater-1.0\", \"AdobeAAMUpdater-1.0\"\ndict.Add \"OfficeSyncProcess\", \"OfficeSyncProcess\"\ndict.Add \"Bginfo\", \"Bginfo\"\ndict.Add \"MSPCLOCK\", \"MSCLOCK\"\ndict.Add \"MSKSSR\", \"Streaming\"\ndict.Add \"MSTEE.Splitter\", \"Streaming 2\"\ndict.Add \"MSPQM\", \"Streaming 3\"\ndict.Add \"MSKSSRV\", \"Streaming 4\"\ndict.Add \"MSTEE.CxTransform\", \"MSTEE.CxTransform1\"\ndict.Add \"WDM_DRMKAUD\", \"Audio Descrambler\"\ndict.Add \"mctadmin\", \"mctadmin1\"\n' ***********************************************\n' Enumerate standard 32 Bit Run keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate standard 32 Bit RunOnce keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate 64 Bit Run keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate 64 Bit RunOnce keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumValues HKEY_LOCAL_MACHINE, strKeyPath, arrValueNames\nIF IsArray(arrValueNames) Then \n\tFor I=0 To UBound(arrValueNames) \n\t\tstrKeyValuePath = \"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I)\n\t\tstrKeyValueData = objectShell.RegRead(\"HKEY_LOCAL_MACHINE\" & \"\\\" & strKeyPath & \"\\\" & arrValueNames(I))\t\n\t\tIF arrValueNames(I) <> \"\" Then\n\t\t\tIF dict.Exists(arrValueNames(I)) Then\n\t\t\tELSE\n\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",,\" & arrValueNames(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\tEnd IF\n\t\tEnd IF\n    Next\nEnd IF\n' ***********************************************\n' Enumerate User Run Keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\"\nobjectReg.EnumKey HKEY_USERS, \"\", arrValueNames\nIF IsArray(arrValueNames) Then\n\tFor Each user in arrValueNames\n\t\tstrFullPath = user & \"\\\" & strKeyPath\n\t\tIF user <> \".DEFAULT\" Then\n\t\t\tobjectReg.EnumValues HKEY_USERS, strFullPath, arrValueNames2\n\t\t\tIF IsArray(arrValueNames2) Then\n\t\t\t\tFor I=0 To UBound(arrValueNames2)\n\t\t\t\t\tstrKeyValuePath = \"HKEY_USERS\" & \"\\\" & user & \"\\\" & strKeyPath & \"\\\" & arrValueNames2(I)\n\t\t\t\t\tstrKeyValueData = objectShell.RegRead(strKeyValuePath)\n\t\t\t\t\tIF arrValueNames2(I) <> \"\" Then\n\t\t\t\t\t\tIF dict.Exists(arrValueNames2(I)) Then\n\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",\" & _\n\t\t\t\t\t\t\t(objWMIService.Get(\"Win32_SID.SID='\" & user & \"'\").AccountName) & \",\" & arrValueNames2(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\t\t\t\tEnd IF\n\t\t\t\t\tEnd IF\n\t\t\t\tNext\n\t\t\tEnd IF\n\t\tEnd IF\n\tNext\nEnd IF\n' ***********************************************\n' Enumerate User RunOnce Keys\n' ***********************************************\nstrKeyPath = \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\"\nobjectReg.EnumKey HKEY_USERS, \"\", arrValueNames\nIF IsArray(arrValueNames) Then\n\tFor Each user in arrValueNames\n\t\tstrFullPath = user & \"\\\" & strKeyPath\n\t\tIF user <> \".DEFAULT\" Then\n\t\t\tobjectReg.EnumValues HKEY_USERS, strFullPath, arrValueNames2\n\t\t\tIF IsArray(arrValueNames2) Then\n\t\t\t\tFor I=0 To UBound(arrValueNames2)\n\t\t\t\t\tstrKeyValuePath = \"HKEY_USERS\" & \"\\\" & user & \"\\\" & strKeyPath & \"\\\" & arrValueNames2(I)\n\t\t\t\t\tstrKeyValueData = objectShell.RegRead(strKeyValuePath)\n\t\t\t\t\tIF arrValueNames2(I) <> \"\" Then\n\t\t\t\t\t\tIF dict.Exists(arrValueNames2(I)) Then\n\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\tWScript.Echo Replace(strKeyValuePath,\"\\\",\"\\\\\") & \",\" & _\n\t\t\t\t\t\t\t(objWMIService.Get(\"Win32_SID.SID='\" & user & \"'\").AccountName) & \",\" & arrValueNames2(I) & \",\" & Replace(Replace(Replace(strKeyValueData,\"\\\",\"\\\\\"),\"\"\"\",\"\\\"\"\"),\",\",\"\\,\")\n\t\t\t\t\t\tEnd IF\n\t\t\t\t\tEnd IF\n\t\t\t\tNext\n\t\t\tEnd IF\n\t\tEnd IF\n\tNext\nEnd IF",
28226.               "arguments" : null,
28227.               "utf8Sensitive" : false
28228.             } ],
28229.             "timeout" : 60,
28230.             "outputs" : [ {
28231.               "id" : "5b3fb07ce4b0cbe06dd672dd",
28232.               "name" : "fullpath",
28233.               "type" : "STRING",
28234.               "byDefault" : true,
28235.               "sequence" : 1
28236.             }, {
28237.               "id" : "5b3fb07ce4b0cbe06dd672de",
28238.               "name" : "user",
28239.               "type" : "STRING",
28240.               "byDefault" : true,
28241.               "sequence" : 2
28242.             }, {
28243.               "id" : "5b3fb07ce4b0cbe06dd672df",
28244.               "name" : "keypath",
28245.               "type" : "REG_STR",
28246.               "byDefault" : true,
28247.               "sequence" : 3
28248.             }, {
28249.               "id" : "5b3fb07ce4b0cbe06dd672e0",
28250.               "name" : "keyvalue",
28251.               "type" : "REG_STR",
28252.               "byDefault" : true,
28253.               "sequence" : 4
28254.             }, {
28255.               "id" : "5b3fb07ce4b0cbe06dd672e1",
28256.               "name" : "valuedata",
28257.               "type" : "REG_STR",
28258.               "byDefault" : true,
28259.               "sequence" : 5
28260.             }, {
28261.               "id" : "5b3fb07ce4b0cbe06dd672e2",
28262.               "name" : "valuetype",
28263.               "type" : "REG_STR",
28264.               "byDefault" : true,
28265.               "sequence" : 6
28266.             } ]
28267.           }
28268.         } ]
28269.       } ]
28270.     },
28271.     "running" : false,
28272.     "createdAt" : 1530900630432,
28273.     "executedAt" : null,
28274.     "status" : "CREATED",
28275.     "ttl" : 60000,
28276.     "startTime" : null,
28277.     "endpointPermission" : null,
28278.     "maGuidsTarget" : null,
28279.     "expectedHostResponses" : 0
28280.   },
28281.   "type" : "com.intel.mar.model.search.Search"
28282. }, {
28283.   "item" : {
28284.     "catalogVersion" : 1,
28285.     "dbVersion" : 2,
28286.     "id" : "5b3fb096e4b0cbe06dd6732b",
28287.     "name" : "Wireless LAN Information",
28288.     "description" : "",
28289.     "type" : null,
28290.     "expression" : null,
28291.     "temporal" : false,
28292.     "invalid" : false,
28293.     "aggregated" : false,
28294.     "projections" : [ {
28295.       "collector" : {
28296.         "catalogVersion" : 1,
28297.         "dbVersion" : 2,
28298.         "id" : "5b3fb07ce4b0cbe06dd67301",
28299.         "name" : "WLAN_Info",
28300.         "description" : "Displays WLAN Connection Status",
28301.         "type" : "CUSTOM",
28302.         "contents" : [ {
28303.           "platform" : {
28304.             "catalogVersion" : 230233,
28305.             "dbVersion" : 2,
28306.             "id" : "58efec8ee4b0c390d69a8e0e",
28307.             "name" : "windows",
28308.             "topic" : "/mcafee/mar/agent/query/windows",
28309.             "enabled" : true
28310.           },
28311.           "capability" : {
28312.             "catalogVersion" : 230233,
28313.             "dbVersion" : 2,
28314.             "id" : "58efec8ee4b0c390d69a8e12",
28315.             "name" : "Visual Basic Script",
28316.             "description" : "Executes VBS script on target client",
28317.             "module" : "SystemRuntime",
28318.             "function" : "executeVBS",
28319.             "contentEnabled" : true,
28320.             "arguments" : [ ],
28321.             "outputs" : [ ],
28322.             "formatArgs" : {
28323.               "hasHeaders" : false,
28324.               "delimiter" : ","
28325.             },
28326.             "format" : "CSV",
28327.             "platforms" : [ {
28328.               "catalogVersion" : 230233,
28329.               "dbVersion" : 2,
28330.               "id" : "58efec8ee4b0c390d69a8e0e",
28331.               "name" : "windows",
28332.               "topic" : "/mcafee/mar/agent/query/windows",
28333.               "enabled" : true
28334.             } ],
28335.             "platformSettings" : [ {
28336.               "platform" : {
28337.                 "catalogVersion" : 230233,
28338.                 "dbVersion" : 2,
28339.                 "id" : "58efec8ee4b0c390d69a8e0e",
28340.                 "name" : "windows",
28341.                 "topic" : "/mcafee/mar/agent/query/windows",
28342.                 "enabled" : true
28343.               },
28344.               "utf8Sensitive" : false
28345.             } ],
28346.             "itemType" : "CUSTOM",
28347.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
28348.           },
28349.           "content" : "' Copyright (C) 2017 McAfee, Inc.  All Rights Reserved.\n' Created by Nick Mauriello of McAfee Inc.\n' This script will display WLAN connection status\n'\nDim objShell, objRun, netshOut, individualLine, strSSID, strSignal, strDescription, strState, strBSSID\nSet objShell = CreateObject(\"WScript.Shell\")\n' ***********************************************\n' Find WLAN Connection Info\n' ***********************************************\nSet objRun = objShell.Exec(\"cmd /c netsh wlan show interfaces\")  \nnetshOut = Split(objRun.StdOut.ReadAll, vbCrLf)\n\tFor Each individualLine in netshOut\n\t\tIF Not IsNull(individualLine) Then\n\t\t\tIF len(individualLine) > 1 Then\n\t\t\t\tIF inStr(1, individualLine, \" SSID\", 1) <> 0 Then\n\t\t\t\t\tstrSSID = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"SSID\",\"\"))\n\t\t\t\tELSE\n\t\t\t\t\tIF inStr(1, individualLine, \"Signal\", 1) <> 0 Then\n\t\t\t\t\t\tstrSignal = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"Signal\",\"\"))\n\t\t\t\t\tELSE\n\t\t\t\t\t\tIF inStr(1, individualLine, \"Description\", 1) <> 0 Then\n\t\t\t\t\t\tstrDescription = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"Description\",\"\"))\n\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\tIF inStr(1, individualLine, \"State\", 1) <> 0 Then\n\t\t\t\t\t\t\tstrState = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"State\",\"\"))\n\t\t\t\t\t\t\tELSE\n\t\t\t\t\t\t\t\tIF inStr(1, individualLine, \"BSSID\", 1) <> 0 Then\n\t\t\t\t\t\t\t\tstrBSSID = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"BSSID\",\"\"))\n\t\t\t\t\t\t\t\t    ELSE\n\t\t\t\t\t\t\t        \tIF inStr(1, individualLine, \"Authentication\", 1) <> 0 Then\n\t\t\t\t\t\t\t        \tstrAuthentication = Trim(Replace(Replace(individualLine,\"  :\",\"\"),\"BSSID\",\"\"))\n\t\t\t\t\t\t\t    \tEnd IF\n\t\t\t\t\t\t\t\tEnd IF\n\t\t\t\t\t\t\tEnd IF\n\t\t\t\t\t\tEnd IF\n\t\t\t\t\tEnd IF\n\t\t\t\tEnd IF\n\t\t\tEnd IF\n\t\tEnd IF\n\tNext\nWscript.echo strSSID & \",\" & strSignal & \",\" & strDescription & \",\" & strState & \",\" & strBSSID & \",\" & strAuthentication\n' ***********************************************\n' End\n' ***********************************************\nWScript.Quit",
28350.           "arguments" : null,
28351.           "utf8Sensitive" : false
28352.         }, {
28353.           "platform" : {
28354.             "catalogVersion" : 230233,
28355.             "dbVersion" : 2,
28356.             "id" : "58efec8ee4b0c390d69a8e0f",
28357.             "name" : "linux",
28358.             "topic" : "/mcafee/mar/agent/query/linux",
28359.             "enabled" : true
28360.           },
28361.           "capability" : {
28362.             "catalogVersion" : 230233,
28363.             "dbVersion" : 2,
28364.             "id" : "58efec8ee4b0c390d69a8e51",
28365.             "name" : "NotAvailable",
28366.             "description" : "Capability not available",
28367.             "module" : "Internal",
28368.             "function" : "GetFalseResult",
28369.             "contentEnabled" : false,
28370.             "arguments" : [ ],
28371.             "outputs" : [ ],
28372.             "formatArgs" : { },
28373.             "format" : "BIN",
28374.             "platforms" : [ {
28375.               "catalogVersion" : 230233,
28376.               "dbVersion" : 2,
28377.               "id" : "58efec8ee4b0c390d69a8e0e",
28378.               "name" : "windows",
28379.               "topic" : "/mcafee/mar/agent/query/windows",
28380.               "enabled" : true
28381.             }, {
28382.               "catalogVersion" : 230233,
28383.               "dbVersion" : 2,
28384.               "id" : "58efec8ee4b0c390d69a8e0f",
28385.               "name" : "linux",
28386.               "topic" : "/mcafee/mar/agent/query/linux",
28387.               "enabled" : true
28388.             } ],
28389.             "platformSettings" : [ ],
28390.             "itemType" : "BUILTIN",
28391.             "catalogItems" : [ ]
28392.           },
28393.           "content" : null,
28394.           "arguments" : null,
28395.           "utf8Sensitive" : false
28396.         }, {
28397.           "platform" : {
28398.             "catalogVersion" : 230233,
28399.             "dbVersion" : 2,
28400.             "id" : "5a1a45c9e4b0401274ab7141",
28401.             "name" : "macos",
28402.             "topic" : "/mcafee/mar/agent/query/macos",
28403.             "enabled" : true
28404.           },
28405.           "capability" : {
28406.             "catalogVersion" : 230233,
28407.             "dbVersion" : 2,
28408.             "id" : "58efec8ee4b0c390d69a8e51",
28409.             "name" : "NotAvailable",
28410.             "description" : "Capability not available",
28411.             "module" : "Internal",
28412.             "function" : "GetFalseResult",
28413.             "contentEnabled" : false,
28414.             "arguments" : [ ],
28415.             "outputs" : [ ],
28416.             "formatArgs" : { },
28417.             "format" : "BIN",
28418.             "platforms" : [ {
28419.               "catalogVersion" : 230233,
28420.               "dbVersion" : 2,
28421.               "id" : "58efec8ee4b0c390d69a8e0e",
28422.               "name" : "windows",
28423.               "topic" : "/mcafee/mar/agent/query/windows",
28424.               "enabled" : true
28425.             }, {
28426.               "catalogVersion" : 230233,
28427.               "dbVersion" : 2,
28428.               "id" : "58efec8ee4b0c390d69a8e0f",
28429.               "name" : "linux",
28430.               "topic" : "/mcafee/mar/agent/query/linux",
28431.               "enabled" : true
28432.             } ],
28433.             "platformSettings" : [ ],
28434.             "itemType" : "BUILTIN",
28435.             "catalogItems" : [ ]
28436.           },
28437.           "content" : null,
28438.           "arguments" : null,
28439.           "utf8Sensitive" : false
28440.         } ],
28441.         "timeout" : 60,
28442.         "outputs" : [ {
28443.           "id" : "5b3fb07ce4b0cbe06dd672e8",
28444.           "name" : "ssid",
28445.           "type" : "STRING",
28446.           "byDefault" : true,
28447.           "sequence" : 1
28448.         }, {
28449.           "id" : "5b3fb07ce4b0cbe06dd672e9",
28450.           "name" : "signal",
28451.           "type" : "STRING",
28452.           "byDefault" : true,
28453.           "sequence" : 2
28454.         }, {
28455.           "id" : "5b3fb07ce4b0cbe06dd672ea",
28456.           "name" : "description",
28457.           "type" : "STRING",
28458.           "byDefault" : true,
28459.           "sequence" : 3
28460.         }, {
28461.           "id" : "5b3fb07ce4b0cbe06dd672eb",
28462.           "name" : "state",
28463.           "type" : "STRING",
28464.           "byDefault" : true,
28465.           "sequence" : 4
28466.         }, {
28467.           "id" : "5b3fb07ce4b0cbe06dd672ec",
28468.           "name" : "bssid",
28469.           "type" : "STRING",
28470.           "byDefault" : true,
28471.           "sequence" : 5
28472.         }, {
28473.           "id" : "5b3fb07ce4b0cbe06dd672ed",
28474.           "name" : "authentication",
28475.           "type" : "STRING",
28476.           "byDefault" : true,
28477.           "sequence" : 6
28478.         } ]
28479.       },
28480.       "sequence" : "1",
28481.       "output" : [ ]
28482.     }, {
28483.       "collector" : {
28484.         "catalogVersion" : 230233,
28485.         "dbVersion" : 2,
28486.         "id" : "58efec8ee4b0c390d69a8ec5",
28487.         "name" : "HostInfo",
28488.         "description" : "Shows Hostname, 1st IP Address, OS version and Connection Status",
28489.         "type" : "BUILTIN",
28490.         "contents" : [ {
28491.           "platform" : {
28492.             "catalogVersion" : 230233,
28493.             "dbVersion" : 2,
28494.             "id" : "58efec8ee4b0c390d69a8e0f",
28495.             "name" : "linux",
28496.             "topic" : "/mcafee/mar/agent/query/linux",
28497.             "enabled" : true
28498.           },
28499.           "capability" : {
28500.             "catalogVersion" : 230233,
28501.             "dbVersion" : 2,
28502.             "id" : "58efec8ee4b0c390d69a8e14",
28503.             "name" : "Bash Script",
28504.             "description" : "Executes Bash script on target client",
28505.             "module" : "SystemRuntime",
28506.             "function" : "executeBash",
28507.             "contentEnabled" : true,
28508.             "arguments" : [ ],
28509.             "outputs" : [ ],
28510.             "formatArgs" : {
28511.               "hasHeaders" : false,
28512.               "delimiter" : ","
28513.             },
28514.             "format" : "CSV",
28515.             "platforms" : [ {
28516.               "catalogVersion" : 230233,
28517.               "dbVersion" : 2,
28518.               "id" : "58efec8ee4b0c390d69a8e0f",
28519.               "name" : "linux",
28520.               "topic" : "/mcafee/mar/agent/query/linux",
28521.               "enabled" : true
28522.             }, {
28523.               "catalogVersion" : 230233,
28524.               "dbVersion" : 2,
28525.               "id" : "5a1a45c9e4b0401274ab7141",
28526.               "name" : "macos",
28527.               "topic" : "/mcafee/mar/agent/query/macos",
28528.               "enabled" : true
28529.             } ],
28530.             "platformSettings" : [ {
28531.               "platform" : {
28532.                 "catalogVersion" : 230233,
28533.                 "dbVersion" : 2,
28534.                 "id" : "58efec8ee4b0c390d69a8e0f",
28535.                 "name" : "linux",
28536.                 "topic" : "/mcafee/mar/agent/query/linux",
28537.                 "enabled" : true
28538.               },
28539.               "utf8Sensitive" : false
28540.             }, {
28541.               "platform" : {
28542.                 "catalogVersion" : 230233,
28543.                 "dbVersion" : 2,
28544.                 "id" : "5a1a45c9e4b0401274ab7141",
28545.                 "name" : "macos",
28546.                 "topic" : "/mcafee/mar/agent/query/macos",
28547.                 "enabled" : true
28548.               },
28549.               "utf8Sensitive" : false
28550.             } ],
28551.             "itemType" : "CUSTOM",
28552.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
28553.           },
28554.           "content" : "#!/bin/bash\n# Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\n#\n# Purpose: Shows information about host\n#\n# Version: 1\n\ngetOsRelease() {\n    if [[ -x /usr/bin/lsb_release ]]; then\n        lsb_release -sd\n    elif [[ -r /etc/system-release ]]; then\n         cat /etc/system-release\n    else\n        echo -e \"Unknown\"\n    fi\n}\n\ngetHostName() {\n    hostname -s\n}\n\ngetInterfacesInfoCommand() {\n    current_os=$(getOsRelease)\n    if [[ $current_os == \"Red Hat\"*\"7.\"* ]]; then\n        echo -e \"ip addr show\"\n    else\n        echo -e \"ifconfig\"\n    fi\n}\n\ngetInterfacesDir() {\n    echo -e \"/sys/class/net\"\n}\n\nisInterfacePhysical() {\n    interface_path=\"$1\"\n    if [ -z \"$interface_path\" ]; then\n        return 1\n    fi\n\n    real_location=$(readlink \"$interface_path\")\n    if [[ \"$real_location\" =~ \"virtual\" ]]; then\n        return 1\n    else\n        return 0\n    fi\n}\n\nparsePrimaryIPInterface() {\n    interface_name=\"$1\"\n    if [ -z \"$interface_name\" ]; then\n        return 1\n    fi\n    cmd=$(getInterfacesInfoCommand)\n    eval \"$cmd $interface_name\" | grep -oE \"\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b\" | grep -vE \"^2[2-5]\" | head -n 1\n}\n\ngetPrimaryIPHost() {\n    interfaces_dir=$(getInterfacesDir)\n    physical_interfaces=()\n\n    shopt -s nullglob\n    for interface in \"$interfaces_dir\"/*; do\n        if isInterfacePhysical \"$interface\"; then\n            current_interface=$(basename \"$interface\")\n            physical_interfaces+=(\"$current_interface\")\n        fi\n    done\n    shopt -u nullglob\n\n    i=0\n    for interface in \"${physical_interfaces[@]}\"; do\n        ips[$i]=$(parsePrimaryIPInterface \"$interface\")\n        ((i++))\n    done\n\n    if [ \"${#ips[@]}\" -ge 1 ]; then\n        echo -e \"${ips[0]}\"\n    fi\n}\n\n\ngetConnectionStatus() {\n    echo \"Online\"\n}\n\ngetPlatform() {\n    echo \"Linux\"\n}\n\nprocessHostInfo() {\n    name=$(getHostName)\n    os=$(getOsRelease)\n    ipaddress=$(getPrimaryIPHost)\n    connection_status=$(getConnectionStatus)\n    platform=$(getPlatform)\n\n    echo -e \"\\\"$name\\\",\\\"$ipaddress\\\",\\\"$os\\\",\\\"$connection_status\\\",\\\"$platform\\\"\"\n}\n\nmain() {\n    if [ \"$1\" == \"--no-exec\" ]; then\n        return 0\n    fi\n\n    processHostInfo\n}\n\nmain \"$@\"\n",
28555.           "arguments" : [ ],
28556.           "utf8Sensitive" : false
28557.         }, {
28558.           "platform" : {
28559.             "catalogVersion" : 230233,
28560.             "dbVersion" : 2,
28561.             "id" : "58efec8ee4b0c390d69a8e0e",
28562.             "name" : "windows",
28563.             "topic" : "/mcafee/mar/agent/query/windows",
28564.             "enabled" : true
28565.           },
28566.           "capability" : {
28567.             "catalogVersion" : 230233,
28568.             "dbVersion" : 2,
28569.             "id" : "58efec8ee4b0c390d69a8e12",
28570.             "name" : "Visual Basic Script",
28571.             "description" : "Executes VBS script on target client",
28572.             "module" : "SystemRuntime",
28573.             "function" : "executeVBS",
28574.             "contentEnabled" : true,
28575.             "arguments" : [ ],
28576.             "outputs" : [ ],
28577.             "formatArgs" : {
28578.               "hasHeaders" : false,
28579.               "delimiter" : ","
28580.             },
28581.             "format" : "CSV",
28582.             "platforms" : [ {
28583.               "catalogVersion" : 230233,
28584.               "dbVersion" : 2,
28585.               "id" : "58efec8ee4b0c390d69a8e0e",
28586.               "name" : "windows",
28587.               "topic" : "/mcafee/mar/agent/query/windows",
28588.               "enabled" : true
28589.             } ],
28590.             "platformSettings" : [ {
28591.               "platform" : {
28592.                 "catalogVersion" : 230233,
28593.                 "dbVersion" : 2,
28594.                 "id" : "58efec8ee4b0c390d69a8e0e",
28595.                 "name" : "windows",
28596.                 "topic" : "/mcafee/mar/agent/query/windows",
28597.                 "enabled" : true
28598.               },
28599.               "utf8Sensitive" : false
28600.             } ],
28601.             "itemType" : "CUSTOM",
28602.             "catalogItems" : [ "COLLECTOR", "REACTION" ]
28603.           },
28604.           "content" : "' Copyright (C) 2017 McAfee, LLC, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.mcafee.com\r\n\r\nstrComputer = \".\"\r\nFirstIP=\"\"\r\nCurrentMac=\"\"\r\nConnectionStatus = \"\"\r\nSet objWMIService=GetObject(\"winmgmts:\" & \"{impersonationLevel=impersonate}!\\\\\" & strComputer & \"\\root\\cimv2\")\r\n\r\nSet NetAdapters = objWMIService.ExecQuery(\"Select * From Win32_NetworkAdapter Where NOT PNPDeviceID LIKE 'ROOT\\\\%'\")\r\nFor Each NetAdapter in NetAdapters\r\n    CurrentMac = NetAdapter.MACAddress\r\n    Set IPConfigSet = objWMIService.ExecQuery(\"Select * from Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE AND MacAddress = '\" & CurrentMac & \"'\")\r\n    For Each IPConfig in IPConfigSet\r\n        If Not IsNull(IPConfig.IPAddress) Then\r\n            For i=LBound(IPConfig.IPAddress) to UBound(IPConfig.IPAddress)\r\n                FirstIP=IPConfig.IPAddress(i)\r\n            Exit For\r\n            Next\r\n        End If\r\n    Next\r\nNext\r\n\r\nSet objNet = CreateObject(\"WScript.Network\")\r\nstrCompName = objNet.ComputerName\r\n\r\nSet shell = CreateObject(\"WScript.Shell\")\r\nSet getOSVersion = shell.exec(\"%comspec% /D /c ver\")\r\ngetOSVersion.stdout.readLine\r\nversion = getOSVersion.stdout.readLine\r\n\r\nFunction Registry_Read(Key_Path, Key_Name)\r\n    On Error Resume Next\r\n    Set Registry = CreateObject(\"WScript.Shell\")\r\n    Registry_Read = Registry.RegRead(Key_Path & \"\\\" & Key_Name)\r\nEnd Function\r\n\r\nSet shell_arch = CreateObject(\"WScript.Shell\")\r\nIf shell_arch.ExpandEnvironmentStrings(\"%PROCESSOR_ARCHITECTURE%\") = \"AMD64\" then\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\WOW6432Node\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nElse\r\n    ConnectionStatus = Registry_Read(\"HKLM\\SOFTWARE\\Network Associates\\ePolicy Orchestrator\\Application Plugins\\MAR_____1000\",\"connection_status\")\r\nEnd If\r\n\r\nIf ConnectionStatus = \"false\" then\r\n    ConnectionStatus = \"Quarantined\"\r\nElse\r\n    ConnectionStatus = \"Online\"\r\nEnd If\r\n\r\nplatform = \"Windows\"\r\n\r\nWScript.Echo strCompName & \",\" & FirstIP & \",\" & version & \",\" & ConnectionStatus & \",\" & platform\r\n",
28605.           "arguments" : [ ],
28606.           "utf8Sensitive" : false
28607.         }, {
28608.           "platform" : {
28609.             "catalogVersion" : 230233,
28610.             "dbVersion" : 2,
28611.             "id" : "5a1a45c9e4b0401274ab7141",
28612.             "name" : "macos",
28613.             "topic" : "/mcafee/mar/agent/query/macos",
28614.             "enabled" : true
28615.           },
28616.           "capability" : {
28617.             "catalogVersion" : 230233,
28618.             "dbVersion" : 2,
28619.             "id" : "5a1a45cae4b0401274ab7183",
28620.             "name" : "HostInfo SysInfo",
28621.             "description" : "Shows Hostname, 1st IP Address and OS version",
28622.             "module" : "SysInfo",
28623.             "function" : "HostInfo",
28624.             "contentEnabled" : false,
28625.             "arguments" : [ ],
28626.             "outputs" : [ ],
28627.             "formatArgs" : { },
28628.             "format" : "BIN",
28629.             "platforms" : [ {
28630.               "catalogVersion" : 230233,
28631.               "dbVersion" : 2,
28632.               "id" : "5a1a45c9e4b0401274ab7141",
28633.               "name" : "macos",
28634.               "topic" : "/mcafee/mar/agent/query/macos",
28635.               "enabled" : true
28636.             } ],
28637.             "platformSettings" : [ {
28638.               "platform" : {
28639.                 "catalogVersion" : 230233,
28640.                 "dbVersion" : 2,
28641.                 "id" : "5a1a45c9e4b0401274ab7141",
28642.                 "name" : "macos",
28643.                 "topic" : "/mcafee/mar/agent/query/macos",
28644.                 "enabled" : true
28645.               },
28646.               "utf8Sensitive" : false
28647.             } ],
28648.             "itemType" : "BUILTIN",
28649.             "catalogItems" : [ "COLLECTOR" ]
28650.           },
28651.           "content" : null,
28652.           "arguments" : [ ],
28653.           "utf8Sensitive" : false
28654.         } ],
28655.         "timeout" : 60,
28656.         "outputs" : [ {
28657.           "id" : "58efec8ee4b0c390d69a8ec2",
28658.           "name" : "hostname",
28659.           "type" : "STRING",
28660.           "byDefault" : false,
28661.           "sequence" : 1
28662.         }, {
28663.           "id" : "58efec8ee4b0c390d69a8ec3",
28664.           "name" : "ip_address",
28665.           "type" : "IPV4IPV6",
28666.           "byDefault" : false,
28667.           "sequence" : 2
28668.         }, {
28669.           "id" : "58efec8ee4b0c390d69a8ec4",
28670.           "name" : "os",
28671.           "type" : "STRING",
28672.           "byDefault" : false,
28673.           "sequence" : 3
28674.         }, {
28675.           "id" : "5b3f9b64e4b0dfaf321a6346",
28676.           "name" : "connection_status",
28677.           "type" : "STRING",
28678.           "byDefault" : false,
28679.           "sequence" : 4
28680.         }, {
28681.           "id" : "5b3f9b64e4b0dfaf321a6347",
28682.           "name" : "platform",
28683.           "type" : "STRING",
28684.           "byDefault" : false,
28685.           "sequence" : 5
28686.         } ]
28687.       },
28688.       "sequence" : "2",
28689.       "output" : [ {
28690.         "id" : "58efec8ee4b0c390d69a8ec2",
28691.         "name" : "hostname",
28692.         "type" : "STRING",
28693.         "byDefault" : false,
28694.         "sequence" : 1
28695.       } ]
28696.     } ],
28697.     "disjunction" : null,
28698.     "running" : false,
28699.     "createdAt" : 1530900630436,
28700.     "executedAt" : null,
28701.     "status" : "CREATED",
28702.     "ttl" : 60000,
28703.     "startTime" : null,
28704.     "endpointPermission" : null,
28705.     "maGuidsTarget" : null,
28706.     "expectedHostResponses" : 0
28707.   },
28708.   "type" : "com.intel.mar.model.search.Search"
28709. }, {
28710.   "item" : {
28711.     "catalogVersion" : 1,
28712.     "dbVersion" : 2,
28713.     "id" : "5b3fb096e4b0cbe06dd6732c",
28714.     "name" : "investigation-exfil 22",
28715.     "description" : "",
28716.     "type" : null,
28717.     "expression" : "Processes where Processes name contains \"pscp\"",
28718.     "temporal" : false,
28719.     "invalid" : false,
28720.     "aggregated" : true,
28721.     "projections" : [ {
28722.       "collector" : {
28723.         "catalogVersion" : 230233,
28724.         "dbVersion" : 2,
28725.         "id" : "58efec8ee4b0c390d69a8e79",
28726.         "name" : "Processes",
28727.         "description" : "Shows the running processes",
28728.         "type" : "BUILTIN",
28729.         "contents" : [ {
28730.           "platform" : {
28731.             "catalogVersion" : 230233,
28732.             "dbVersion" : 2,
28733.             "id" : "58efec8ee4b0c390d69a8e0f",
28734.             "name" : "linux",
28735.             "topic" : "/mcafee/mar/agent/query/linux",
28736.             "enabled" : true
28737.           },
28738.           "capability" : {
28739.             "catalogVersion" : 230233,
28740.             "dbVersion" : 2,
28741.             "id" : "58efec8ee4b0c390d69a8e10",
28742.             "name" : "Running Processes",
28743.             "description" : "Obtains the list of the running processes",
28744.             "module" : "SystemInfo",
28745.             "function" : "CollectProcess",
28746.             "contentEnabled" : false,
28747.             "arguments" : [ ],
28748.             "outputs" : [ ],
28749.             "formatArgs" : { },
28750.             "format" : "BIN",
28751.             "platforms" : [ {
28752.               "catalogVersion" : 230233,
28753.               "dbVersion" : 2,
28754.               "id" : "58efec8ee4b0c390d69a8e0e",
28755.               "name" : "windows",
28756.               "topic" : "/mcafee/mar/agent/query/windows",
28757.               "enabled" : true
28758.             }, {
28759.               "catalogVersion" : 230233,
28760.               "dbVersion" : 2,
28761.               "id" : "58efec8ee4b0c390d69a8e0f",
28762.               "name" : "linux",
28763.               "topic" : "/mcafee/mar/agent/query/linux",
28764.               "enabled" : true
28765.             }, {
28766.               "catalogVersion" : 230233,
28767.               "dbVersion" : 2,
28768.               "id" : "5a1a45c9e4b0401274ab7141",
28769.               "name" : "macos",
28770.               "topic" : "/mcafee/mar/agent/query/macos",
28771.               "enabled" : true
28772.             } ],
28773.             "platformSettings" : [ {
28774.               "platform" : {
28775.                 "catalogVersion" : 230233,
28776.                 "dbVersion" : 2,
28777.                 "id" : "58efec8ee4b0c390d69a8e0e",
28778.                 "name" : "windows",
28779.                 "topic" : "/mcafee/mar/agent/query/windows",
28780.                 "enabled" : true
28781.               },
28782.               "utf8Sensitive" : false
28783.             }, {
28784.               "platform" : {
28785.                 "catalogVersion" : 230233,
28786.                 "dbVersion" : 2,
28787.                 "id" : "58efec8ee4b0c390d69a8e0f",
28788.                 "name" : "linux",
28789.                 "topic" : "/mcafee/mar/agent/query/linux",
28790.                 "enabled" : true
28791.               },
28792.               "utf8Sensitive" : false
28793.             }, {
28794.               "platform" : {
28795.                 "catalogVersion" : 230233,
28796.                 "dbVersion" : 2,
28797.                 "id" : "5a1a45c9e4b0401274ab7141",
28798.                 "name" : "macos",
28799.                 "topic" : "/mcafee/mar/agent/query/macos",
28800.                 "enabled" : true
28801.               },
28802.               "utf8Sensitive" : false
28803.             } ],
28804.             "itemType" : "BUILTIN",
28805.             "catalogItems" : [ "COLLECTOR" ]
28806.           },
28807.           "content" : null,
28808.           "arguments" : [ ],
28809.           "utf8Sensitive" : false
28810.         }, {
28811.           "platform" : {
28812.             "catalogVersion" : 230233,
28813.             "dbVersion" : 2,
28814.             "id" : "58efec8ee4b0c390d69a8e0e",
28815.             "name" : "windows",
28816.             "topic" : "/mcafee/mar/agent/query/windows",
28817.             "enabled" : true
28818.           },
28819.           "capability" : {
28820.             "catalogVersion" : 230233,
28821.             "dbVersion" : 2,
28822.             "id" : "58efec8ee4b0c390d69a8e10",
28823.             "name" : "Running Processes",
28824.             "description" : "Obtains the list of the running processes",
28825.             "module" : "SystemInfo",
28826.             "function" : "CollectProcess",
28827.             "contentEnabled" : false,
28828.             "arguments" : [ ],
28829.             "outputs" : [ ],
28830.             "formatArgs" : { },
28831.             "format" : "BIN",
28832.             "platforms" : [ {
28833.               "catalogVersion" : 230233,
28834.               "dbVersion" : 2,
28835.               "id" : "58efec8ee4b0c390d69a8e0e",
28836.               "name" : "windows",
28837.               "topic" : "/mcafee/mar/agent/query/windows",
28838.               "enabled" : true
28839.             }, {
28840.               "catalogVersion" : 230233,
28841.               "dbVersion" : 2,
28842.               "id" : "58efec8ee4b0c390d69a8e0f",
28843.               "name" : "linux",
28844.               "topic" : "/mcafee/mar/agent/query/linux",
28845.               "enabled" : true
28846.             }, {
28847.               "catalogVersion" : 230233,
28848.               "dbVersion" : 2,
28849.               "id" : "5a1a45c9e4b0401274ab7141",
28850.               "name" : "macos",
28851.               "topic" : "/mcafee/mar/agent/query/macos",
28852.               "enabled" : true
28853.             } ],
28854.             "platformSettings" : [ {
28855.               "platform" : {
28856.                 "catalogVersion" : 230233,
28857.                 "dbVersion" : 2,
28858.                 "id" : "58efec8ee4b0c390d69a8e0e",
28859.                 "name" : "windows",
28860.                 "topic" : "/mcafee/mar/agent/query/windows",
28861.                 "enabled" : true
28862.               },
28863.               "utf8Sensitive" : false
28864.             }, {
28865.               "platform" : {
28866.                 "catalogVersion" : 230233,
28867.                 "dbVersion" : 2,
28868.                 "id" : "58efec8ee4b0c390d69a8e0f",
28869.                 "name" : "linux",
28870.                 "topic" : "/mcafee/mar/agent/query/linux",
28871.                 "enabled" : true
28872.               },
28873.               "utf8Sensitive" : false
28874.             }, {
28875.               "platform" : {
28876.                 "catalogVersion" : 230233,
28877.                 "dbVersion" : 2,
28878.                 "id" : "5a1a45c9e4b0401274ab7141",
28879.                 "name" : "macos",
28880.                 "topic" : "/mcafee/mar/agent/query/macos",
28881.                 "enabled" : true
28882.               },
28883.               "utf8Sensitive" : false
28884.             } ],
28885.             "itemType" : "BUILTIN",
28886.             "catalogItems" : [ "COLLECTOR" ]
28887.           },
28888.           "content" : null,
28889.           "arguments" : [ ],
28890.           "utf8Sensitive" : false
28891.         }, {
28892.           "platform" : {
28893.             "catalogVersion" : 230233,
28894.             "dbVersion" : 2,
28895.             "id" : "5a1a45c9e4b0401274ab7141",
28896.             "name" : "macos",
28897.             "topic" : "/mcafee/mar/agent/query/macos",
28898.             "enabled" : true
28899.           },
28900.           "capability" : {
28901.             "catalogVersion" : 230233,
28902.             "dbVersion" : 2,
28903.             "id" : "58efec8ee4b0c390d69a8e10",
28904.             "name" : "Running Processes",
28905.             "description" : "Obtains the list of the running processes",
28906.             "module" : "SystemInfo",
28907.             "function" : "CollectProcess",
28908.             "contentEnabled" : false,
28909.             "arguments" : [ ],
28910.             "outputs" : [ ],
28911.             "formatArgs" : { },
28912.             "format" : "BIN",
28913.             "platforms" : [ {
28914.               "catalogVersion" : 230233,
28915.               "dbVersion" : 2,
28916.               "id" : "58efec8ee4b0c390d69a8e0e",
28917.               "name" : "windows",
28918.               "topic" : "/mcafee/mar/agent/query/windows",
28919.               "enabled" : true
28920.             }, {
28921.               "catalogVersion" : 230233,
28922.               "dbVersion" : 2,
28923.               "id" : "58efec8ee4b0c390d69a8e0f",
28924.               "name" : "linux",
28925.               "topic" : "/mcafee/mar/agent/query/linux",
28926.               "enabled" : true
28927.             }, {
28928.               "catalogVersion" : 230233,
28929.               "dbVersion" : 2,
28930.               "id" : "5a1a45c9e4b0401274ab7141",
28931.               "name" : "macos",
28932.               "topic" : "/mcafee/mar/agent/query/macos",
28933.               "enabled" : true
28934.             } ],
28935.             "platformSettings" : [ {
28936.               "platform" : {
28937.                 "catalogVersion" : 230233,
28938.                 "dbVersion" : 2,
28939.                 "id" : "58efec8ee4b0c390d69a8e0e",
28940.                 "name" : "windows",
28941.                 "topic" : "/mcafee/mar/agent/query/windows",
28942.                 "enabled" : true
28943.               },
28944.               "utf8Sensitive" : false
28945.             }, {
28946.               "platform" : {
28947.                 "catalogVersion" : 230233,
28948.                 "dbVersion" : 2,
28949.                 "id" : "58efec8ee4b0c390d69a8e0f",
28950.                 "name" : "linux",
28951.                 "topic" : "/mcafee/mar/agent/query/linux",
28952.                 "enabled" : true
28953.               },
28954.               "utf8Sensitive" : false
28955.             }, {
28956.               "platform" : {
28957.                 "catalogVersion" : 230233,
28958.                 "dbVersion" : 2,
28959.                 "id" : "5a1a45c9e4b0401274ab7141",
28960.                 "name" : "macos",
28961.                 "topic" : "/mcafee/mar/agent/query/macos",
28962.                 "enabled" : true
28963.               },
28964.               "utf8Sensitive" : false
28965.             } ],
28966.             "itemType" : "BUILTIN",
28967.             "catalogItems" : [ "COLLECTOR" ]
28968.           },
28969.           "content" : null,
28970.           "arguments" : [ ],
28971.           "utf8Sensitive" : false
28972.         } ],
28973.         "timeout" : 60,
28974.         "outputs" : [ {
28975.           "id" : "58efec8ee4b0c390d69a8e6a",
28976.           "name" : "name",
28977.           "type" : "STRING",
28978.           "byDefault" : true,
28979.           "sequence" : 1
28980.         }, {
28981.           "id" : "58efec8ee4b0c390d69a8e6b",
28982.           "name" : "id",
28983.           "type" : "NUMBER",
28984.           "byDefault" : false,
28985.           "sequence" : 2
28986.         }, {
28987.           "id" : "58efec8ee4b0c390d69a8e6c",
28988.           "name" : "threadcount",
28989.           "type" : "NUMBER",
28990.           "byDefault" : false,
28991.           "sequence" : 3
28992.         }, {
28993.           "id" : "58efec8ee4b0c390d69a8e6d",
28994.           "name" : "parentid",
28995.           "type" : "NUMBER",
28996.           "byDefault" : false,
28997.           "sequence" : 4
28998.         }, {
28999.           "id" : "58efec8ee4b0c390d69a8e6e",
29000.           "name" : "parentname",
29001.           "type" : "STRING",
29002.           "byDefault" : false,
29003.           "sequence" : 999
29004.         }, {
29005.           "id" : "5a1a45cae4b0401274ab718e",
29006.           "name" : "parentimagepath",
29007.           "type" : "STRING",
29008.           "byDefault" : false,
29009.           "sequence" : 1000
29010.         }, {
29011.           "id" : "5a1a45cae4b0401274ab718f",
29012.           "name" : "file_reputation",
29013.           "type" : "REPUTATION",
29014.           "byDefault" : false,
29015.           "sequence" : 1001
29016.         }, {
29017.           "id" : "5b3f9b64e4b0dfaf321a630e",
29018.           "name" : "process_reputation",
29019.           "type" : "REPUTATION",
29020.           "byDefault" : false,
29021.           "sequence" : 1002
29022.         }, {
29023.           "id" : "5b3f9b64e4b0dfaf321a630f",
29024.           "name" : "started_at",
29025.           "type" : "DATE",
29026.           "byDefault" : false,
29027.           "sequence" : 1003
29028.         }, {
29029.           "id" : "5b3f9b64e4b0dfaf321a6310",
29030.           "name" : "content_size",
29031.           "type" : "NUMBER",
29032.           "byDefault" : false,
29033.           "sequence" : 1004
29034.         }, {
29035.           "id" : "5b3f9b64e4b0dfaf321a6311",
29036.           "name" : "content",
29037.           "type" : "STRING",
29038.           "byDefault" : false,
29039.           "sequence" : 1005
29040.         }, {
29041.           "id" : "5b3f9b64e4b0dfaf321a6312",
29042.           "name" : "content_file",
29043.           "type" : "STRING",
29044.           "byDefault" : false,
29045.           "sequence" : 1006
29046.         }, {
29047.           "id" : "5b3f9b64e4b0dfaf321a6313",
29048.           "name" : "execution_mode",
29049.           "type" : "STRING",
29050.           "byDefault" : false,
29051.           "sequence" : 1007
29052.         }, {
29053.           "id" : "58efec8ee4b0c390d69a8e6f",
29054.           "name" : "size",
29055.           "type" : "NUMBER",
29056.           "byDefault" : false,
29057.           "sequence" : 5
29058.         }, {
29059.           "id" : "58efec8ee4b0c390d69a8e70",
29060.           "name" : "md5",
29061.           "type" : "STRING",
29062.           "byDefault" : true,
29063.           "sequence" : 6
29064.         }, {
29065.           "id" : "58efec8ee4b0c390d69a8e71",
29066.           "name" : "sha1",
29067.           "type" : "STRING",
29068.           "byDefault" : true,
29069.           "sequence" : 7
29070.         }, {
29071.           "id" : "58efec8ee4b0c390d69a8e72",
29072.           "name" : "cmdline",
29073.           "type" : "STRING",
29074.           "byDefault" : true,
29075.           "sequence" : 8
29076.         }, {
29077.           "id" : "58efec8ee4b0c390d69a8e73",
29078.           "name" : "imagepath",
29079.           "type" : "STRING",
29080.           "byDefault" : true,
29081.           "sequence" : 9
29082.         }, {
29083.           "id" : "58efec8ee4b0c390d69a8e74",
29084.           "name" : "kerneltime",
29085.           "type" : "NUMBER",
29086.           "byDefault" : false,
29087.           "sequence" : 10
29088.         }, {
29089.           "id" : "58efec8ee4b0c390d69a8e75",
29090.           "name" : "usertime",
29091.           "type" : "NUMBER",
29092.           "byDefault" : false,
29093.           "sequence" : 11
29094.         }, {
29095.           "id" : "58efec8ee4b0c390d69a8e76",
29096.           "name" : "uptime",
29097.           "type" : "NUMBER",
29098.           "byDefault" : false,
29099.           "sequence" : 12
29100.         }, {
29101.           "id" : "58efec8ee4b0c390d69a8e77",
29102.           "name" : "user",
29103.           "type" : "STRING",
29104.           "byDefault" : false,
29105.           "sequence" : 13
29106.         }, {
29107.           "id" : "58efec8ee4b0c390d69a8e78",
29108.           "name" : "user_id",
29109.           "type" : "STRING",
29110.           "byDefault" : false,
29111.           "sequence" : 14
29112.         }, {
29113.           "id" : "5a1a45cae4b0401274ab7190",
29114.           "name" : "sha256",
29115.           "type" : "STRING",
29116.           "byDefault" : true,
29117.           "sequence" : 15
29118.         }, {
29119.           "id" : "5b3f9b64e4b0dfaf321a6314",
29120.           "name" : "normalized_cmdline",
29121.           "type" : "STRING",
29122.           "byDefault" : false,
29123.           "sequence" : 1009
29124.         }, {
29125.           "id" : "5b3f9b64e4b0dfaf321a6315",
29126.           "name" : "parent_cmdline",
29127.           "type" : "STRING",
29128.           "byDefault" : false,
29129.           "sequence" : 1010
29130.         } ]
29131.       },
29132.       "sequence" : "1",
29133.       "output" : [ ]
29134.     } ],
29135.     "disjunction" : {
29136.       "conjunctions" : [ {
29137.         "terms" : [ {
29138.           "output" : {
29139.             "id" : "58efec8ee4b0c390d69a8e6a",
29140.             "name" : "name",
29141.             "type" : "STRING",
29142.             "byDefault" : true,
29143.             "sequence" : 1
29144.           },
29145.           "operator" : "CONTAINS",
29146.           "value" : "pscp",
29147.           "negated" : false,
29148.           "collector" : {
29149.             "catalogVersion" : 230233,
29150.             "dbVersion" : 2,
29151.             "id" : "58efec8ee4b0c390d69a8e79",
29152.             "name" : "Processes",
29153.             "description" : "Shows the running processes",
29154.             "type" : "BUILTIN",
29155.             "contents" : [ {
29156.               "platform" : {
29157.                 "catalogVersion" : 230233,
29158.                 "dbVersion" : 2,
29159.                 "id" : "58efec8ee4b0c390d69a8e0f",
29160.                 "name" : "linux",
29161.                 "topic" : "/mcafee/mar/agent/query/linux",
29162.                 "enabled" : true
29163.               },
29164.               "capability" : {
29165.                 "catalogVersion" : 230233,
29166.                 "dbVersion" : 2,
29167.                 "id" : "58efec8ee4b0c390d69a8e10",
29168.                 "name" : "Running Processes",
29169.                 "description" : "Obtains the list of the running processes",
29170.                 "module" : "SystemInfo",
29171.                 "function" : "CollectProcess",
29172.                 "contentEnabled" : false,
29173.                 "arguments" : [ ],
29174.                 "outputs" : [ ],
29175.                 "formatArgs" : { },
29176.                 "format" : "BIN",
29177.                 "platforms" : [ {
29178.                   "catalogVersion" : 230233,
29179.                   "dbVersion" : 2,
29180.                   "id" : "58efec8ee4b0c390d69a8e0e",
29181.                   "name" : "windows",
29182.                   "topic" : "/mcafee/mar/agent/query/windows",
29183.                   "enabled" : true
29184.                 }, {
29185.                   "catalogVersion" : 230233,
29186.                   "dbVersion" : 2,
29187.                   "id" : "58efec8ee4b0c390d69a8e0f",
29188.                   "name" : "linux",
29189.                   "topic" : "/mcafee/mar/agent/query/linux",
29190.                   "enabled" : true
29191.                 }, {
29192.                   "catalogVersion" : 230233,
29193.                   "dbVersion" : 2,
29194.                   "id" : "5a1a45c9e4b0401274ab7141",
29195.                   "name" : "macos",
29196.                   "topic" : "/mcafee/mar/agent/query/macos",
29197.                   "enabled" : true
29198.                 } ],
29199.                 "platformSettings" : [ {
29200.                   "platform" : {
29201.                     "catalogVersion" : 230233,
29202.                     "dbVersion" : 2,
29203.                     "id" : "58efec8ee4b0c390d69a8e0e",
29204.                     "name" : "windows",
29205.                     "topic" : "/mcafee/mar/agent/query/windows",
29206.                     "enabled" : true
29207.                   },
29208.                   "utf8Sensitive" : false
29209.                 }, {
29210.                   "platform" : {
29211.                     "catalogVersion" : 230233,
29212.                     "dbVersion" : 2,
29213.                     "id" : "58efec8ee4b0c390d69a8e0f",
29214.                     "name" : "linux",
29215.                     "topic" : "/mcafee/mar/agent/query/linux",
29216.                     "enabled" : true
29217.                   },
29218.                   "utf8Sensitive" : false
29219.                 }, {
29220.                   "platform" : {
29221.                     "catalogVersion" : 230233,
29222.                     "dbVersion" : 2,
29223.                     "id" : "5a1a45c9e4b0401274ab7141",
29224.                     "name" : "macos",
29225.                     "topic" : "/mcafee/mar/agent/query/macos",
29226.                     "enabled" : true
29227.                   },
29228.                   "utf8Sensitive" : false
29229.                 } ],
29230.                 "itemType" : "BUILTIN",
29231.                 "catalogItems" : [ "COLLECTOR" ]
29232.               },
29233.               "content" : null,
29234.               "arguments" : [ ],
29235.               "utf8Sensitive" : false
29236.             }, {
29237.               "platform" : {
29238.                 "catalogVersion" : 230233,
29239.                 "dbVersion" : 2,
29240.                 "id" : "58efec8ee4b0c390d69a8e0e",
29241.                 "name" : "windows",
29242.                 "topic" : "/mcafee/mar/agent/query/windows",
29243.                 "enabled" : true
29244.               },
29245.               "capability" : {
29246.                 "catalogVersion" : 230233,
29247.                 "dbVersion" : 2,
29248.                 "id" : "58efec8ee4b0c390d69a8e10",
29249.                 "name" : "Running Processes",
29250.                 "description" : "Obtains the list of the running processes",
29251.                 "module" : "SystemInfo",
29252.                 "function" : "CollectProcess",
29253.                 "contentEnabled" : false,
29254.                 "arguments" : [ ],
29255.                 "outputs" : [ ],
29256.                 "formatArgs" : { },
29257.                 "format" : "BIN",
29258.                 "platforms" : [ {
29259.                   "catalogVersion" : 230233,
29260.                   "dbVersion" : 2,
29261.                   "id" : "58efec8ee4b0c390d69a8e0e",
29262.                   "name" : "windows",
29263.                   "topic" : "/mcafee/mar/agent/query/windows",
29264.                   "enabled" : true
29265.                 }, {
29266.                   "catalogVersion" : 230233,
29267.                   "dbVersion" : 2,
29268.                   "id" : "58efec8ee4b0c390d69a8e0f",
29269.                   "name" : "linux",
29270.                   "topic" : "/mcafee/mar/agent/query/linux",
29271.                   "enabled" : true
29272.                 }, {
29273.                   "catalogVersion" : 230233,
29274.                   "dbVersion" : 2,
29275.                   "id" : "5a1a45c9e4b0401274ab7141",
29276.                   "name" : "macos",
29277.                   "topic" : "/mcafee/mar/agent/query/macos",
29278.                   "enabled" : true
29279.                 } ],
29280.                 "platformSettings" : [ {
29281.                   "platform" : {
29282.                     "catalogVersion" : 230233,
29283.                     "dbVersion" : 2,
29284.                     "id" : "58efec8ee4b0c390d69a8e0e",
29285.                     "name" : "windows",
29286.                     "topic" : "/mcafee/mar/agent/query/windows",
29287.                     "enabled" : true
29288.                   },
29289.                   "utf8Sensitive" : false
29290.                 }, {
29291.                   "platform" : {
29292.                     "catalogVersion" : 230233,
29293.                     "dbVersion" : 2,
29294.                     "id" : "58efec8ee4b0c390d69a8e0f",
29295.                     "name" : "linux",
29296.                     "topic" : "/mcafee/mar/agent/query/linux",
29297.                     "enabled" : true
29298.                   },
29299.                   "utf8Sensitive" : false
29300.                 }, {
29301.                   "platform" : {
29302.                     "catalogVersion" : 230233,
29303.                     "dbVersion" : 2,
29304.                     "id" : "5a1a45c9e4b0401274ab7141",
29305.                     "name" : "macos",
29306.                     "topic" : "/mcafee/mar/agent/query/macos",
29307.                     "enabled" : true
29308.                   },
29309.                   "utf8Sensitive" : false
29310.                 } ],
29311.                 "itemType" : "BUILTIN",
29312.                 "catalogItems" : [ "COLLECTOR" ]
29313.               },
29314.               "content" : null,
29315.               "arguments" : [ ],
29316.               "utf8Sensitive" : false
29317.             }, {
29318.               "platform" : {
29319.                 "catalogVersion" : 230233,
29320.                 "dbVersion" : 2,
29321.                 "id" : "5a1a45c9e4b0401274ab7141",
29322.                 "name" : "macos",
29323.                 "topic" : "/mcafee/mar/agent/query/macos",
29324.                 "enabled" : true
29325.               },
29326.               "capability" : {
29327.                 "catalogVersion" : 230233,
29328.                 "dbVersion" : 2,
29329.                 "id" : "58efec8ee4b0c390d69a8e10",
29330.                 "name" : "Running Processes",
29331.                 "description" : "Obtains the list of the running processes",
29332.                 "module" : "SystemInfo",
29333.                 "function" : "CollectProcess",
29334.                 "contentEnabled" : false,
29335.                 "arguments" : [ ],
29336.                 "outputs" : [ ],
29337.                 "formatArgs" : { },
29338.                 "format" : "BIN",
29339.                 "platforms" : [ {
29340.                   "catalogVersion" : 230233,
29341.                   "dbVersion" : 2,
29342.                   "id" : "58efec8ee4b0c390d69a8e0e",
29343.                   "name" : "windows",
29344.                   "topic" : "/mcafee/mar/agent/query/windows",
29345.                   "enabled" : true
29346.                 }, {
29347.                   "catalogVersion" : 230233,
29348.                   "dbVersion" : 2,
29349.                   "id" : "58efec8ee4b0c390d69a8e0f",
29350.                   "name" : "linux",
29351.                   "topic" : "/mcafee/mar/agent/query/linux",
29352.                   "enabled" : true
29353.                 }, {
29354.                   "catalogVersion" : 230233,
29355.                   "dbVersion" : 2,
29356.                   "id" : "5a1a45c9e4b0401274ab7141",
29357.                   "name" : "macos",
29358.                   "topic" : "/mcafee/mar/agent/query/macos",
29359.                   "enabled" : true
29360.                 } ],
29361.                 "platformSettings" : [ {
29362.                   "platform" : {
29363.                     "catalogVersion" : 230233,
29364.                     "dbVersion" : 2,
29365.                     "id" : "58efec8ee4b0c390d69a8e0e",
29366.                     "name" : "windows",
29367.                     "topic" : "/mcafee/mar/agent/query/windows",
29368.                     "enabled" : true
29369.                   },
29370.                   "utf8Sensitive" : false
29371.                 }, {
29372.                   "platform" : {
29373.                     "catalogVersion" : 230233,
29374.                     "dbVersion" : 2,
29375.                     "id" : "58efec8ee4b0c390d69a8e0f",
29376.                     "name" : "linux",
29377.                     "topic" : "/mcafee/mar/agent/query/linux",
29378.                     "enabled" : true
29379.                   },
29380.                   "utf8Sensitive" : false
29381.                 }, {
29382.                   "platform" : {
29383.                     "catalogVersion" : 230233,
29384.                     "dbVersion" : 2,
29385.                     "id" : "5a1a45c9e4b0401274ab7141",
29386.                     "name" : "macos",
29387.                     "topic" : "/mcafee/mar/agent/query/macos",
29388.                     "enabled" : true
29389.                   },
29390.                   "utf8Sensitive" : false
29391.                 } ],
29392.                 "itemType" : "BUILTIN",
29393.                 "catalogItems" : [ "COLLECTOR" ]
29394.               },
29395.               "content" : null,
29396.               "arguments" : [ ],
29397.               "utf8Sensitive" : false
29398.             } ],
29399.             "timeout" : 60,
29400.             "outputs" : [ {
29401.               "id" : "58efec8ee4b0c390d69a8e6a",
29402.               "name" : "name",
29403.               "type" : "STRING",
29404.               "byDefault" : true,
29405.               "sequence" : 1
29406.             }, {
29407.               "id" : "58efec8ee4b0c390d69a8e6b",
29408.               "name" : "id",
29409.               "type" : "NUMBER",
29410.               "byDefault" : false,
29411.               "sequence" : 2
29412.             }, {
29413.               "id" : "58efec8ee4b0c390d69a8e6c",
29414.               "name" : "threadcount",
29415.               "type" : "NUMBER",
29416.               "byDefault" : false,
29417.               "sequence" : 3
29418.             }, {
29419.               "id" : "58efec8ee4b0c390d69a8e6d",
29420.               "name" : "parentid",
29421.               "type" : "NUMBER",
29422.               "byDefault" : false,
29423.               "sequence" : 4
29424.             }, {
29425.               "id" : "58efec8ee4b0c390d69a8e6e",
29426.               "name" : "parentname",
29427.               "type" : "STRING",
29428.               "byDefault" : false,
29429.               "sequence" : 999
29430.             }, {
29431.               "id" : "5a1a45cae4b0401274ab718e",
29432.               "name" : "parentimagepath",
29433.               "type" : "STRING",
29434.               "byDefault" : false,
29435.               "sequence" : 1000
29436.             }, {
29437.               "id" : "5a1a45cae4b0401274ab718f",
29438.               "name" : "file_reputation",
29439.               "type" : "REPUTATION",
29440.               "byDefault" : false,
29441.               "sequence" : 1001
29442.             }, {
29443.               "id" : "5b3f9b64e4b0dfaf321a630e",
29444.               "name" : "process_reputation",
29445.               "type" : "REPUTATION",
29446.               "byDefault" : false,
29447.               "sequence" : 1002
29448.             }, {
29449.               "id" : "5b3f9b64e4b0dfaf321a630f",
29450.               "name" : "started_at",
29451.               "type" : "DATE",
29452.               "byDefault" : false,
29453.               "sequence" : 1003
29454.             }, {
29455.               "id" : "5b3f9b64e4b0dfaf321a6310",
29456.               "name" : "content_size",
29457.               "type" : "NUMBER",
29458.               "byDefault" : false,
29459.               "sequence" : 1004
29460.             }, {
29461.               "id" : "5b3f9b64e4b0dfaf321a6311",
29462.               "name" : "content",
29463.               "type" : "STRING",
29464.               "byDefault" : false,
29465.               "sequence" : 1005
29466.             }, {
29467.               "id" : "5b3f9b64e4b0dfaf321a6312",
29468.               "name" : "content_file",
29469.               "type" : "STRING",
29470.               "byDefault" : false,
29471.               "sequence" : 1006
29472.             }, {
29473.               "id" : "5b3f9b64e4b0dfaf321a6313",
29474.               "name" : "execution_mode",
29475.               "type" : "STRING",
29476.               "byDefault" : false,
29477.               "sequence" : 1007
29478.             }, {
29479.               "id" : "58efec8ee4b0c390d69a8e6f",
29480.               "name" : "size",
29481.               "type" : "NUMBER",
29482.               "byDefault" : false,
29483.               "sequence" : 5
29484.             }, {
29485.               "id" : "58efec8ee4b0c390d69a8e70",
29486.               "name" : "md5",
29487.               "type" : "STRING",
29488.               "byDefault" : true,
29489.               "sequence" : 6
29490.             }, {
29491.               "id" : "58efec8ee4b0c390d69a8e71",
29492.               "name" : "sha1",
29493.               "type" : "STRING",
29494.               "byDefault" : true,
29495.               "sequence" : 7
29496.             }, {
29497.               "id" : "58efec8ee4b0c390d69a8e72",
29498.               "name" : "cmdline",
29499.               "type" : "STRING",
29500.               "byDefault" : true,
29501.               "sequence" : 8
29502.             }, {
29503.               "id" : "58efec8ee4b0c390d69a8e73",
29504.               "name" : "imagepath",
29505.               "type" : "STRING",
29506.               "byDefault" : true,
29507.               "sequence" : 9
29508.             }, {
29509.               "id" : "58efec8ee4b0c390d69a8e74",
29510.               "name" : "kerneltime",
29511.               "type" : "NUMBER",
29512.               "byDefault" : false,
29513.               "sequence" : 10
29514.             }, {
29515.               "id" : "58efec8ee4b0c390d69a8e75",
29516.               "name" : "usertime",
29517.               "type" : "NUMBER",
29518.               "byDefault" : false,
29519.               "sequence" : 11
29520.             }, {
29521.               "id" : "58efec8ee4b0c390d69a8e76",
29522.               "name" : "uptime",
29523.               "type" : "NUMBER",
29524.               "byDefault" : false,
29525.               "sequence" : 12
29526.             }, {
29527.               "id" : "58efec8ee4b0c390d69a8e77",
29528.               "name" : "user",
29529.               "type" : "STRING",
29530.               "byDefault" : false,
29531.               "sequence" : 13
29532.             }, {
29533.               "id" : "58efec8ee4b0c390d69a8e78",
29534.               "name" : "user_id",
29535.               "type" : "STRING",
29536.               "byDefault" : false,
29537.               "sequence" : 14
29538.             }, {
29539.               "id" : "5a1a45cae4b0401274ab7190",
29540.               "name" : "sha256",
29541.               "type" : "STRING",
29542.               "byDefault" : true,
29543.               "sequence" : 15
29544.             }, {
29545.               "id" : "5b3f9b64e4b0dfaf321a6314",
29546.               "name" : "normalized_cmdline",
29547.               "type" : "STRING",
29548.               "byDefault" : false,
29549.               "sequence" : 1009
29550.             }, {
29551.               "id" : "5b3f9b64e4b0dfaf321a6315",
29552.               "name" : "parent_cmdline",
29553.               "type" : "STRING",
29554.               "byDefault" : false,
29555.               "sequence" : 1010
29556.             } ]
29557.           }
29558.         } ]
29559.       } ]
29560.     },
29561.     "running" : false,
29562.     "createdAt" : 1530900630439,
29563.     "executedAt" : null,
29564.     "status" : "CREATED",
29565.     "ttl" : 60000,
29566.     "startTime" : null,
29567.     "endpointPermission" : null,
29568.     "maGuidsTarget" : null,
29569.     "expectedHostResponses" : 0
29570.   },
29571.   "type" : "com.intel.mar.model.search.Search"
29572. }, {
29573.   "item" : {
29574.     "catalogVersion" : 1,
29575.     "dbVersion" : 2,
29576.     "id" : "5b3fb096e4b0cbe06dd6732d",
29577.     "name" : "multithread processes making outbound net conections",
29578.     "description" : "",
29579.     "type" : null,
29580.     "expression" : "Processes name, cmdline where Processes threadcount greater than 5 and Files created_at not before \"2015-10-11\" and NetworkFlow dst_ip not equals 192.168.1.0/24",
29581.     "temporal" : false,
29582.     "invalid" : false,
29583.     "aggregated" : true,
29584.     "projections" : [ {
29585.       "collector" : {
29586.         "catalogVersion" : 230233,
29587.         "dbVersion" : 2,
29588.         "id" : "58efec8ee4b0c390d69a8e79",
29589.         "name" : "Processes",
29590.         "description" : "Shows the running processes",
29591.         "type" : "BUILTIN",
29592.         "contents" : [ {
29593.           "platform" : {
29594.             "catalogVersion" : 230233,
29595.             "dbVersion" : 2,
29596.             "id" : "58efec8ee4b0c390d69a8e0f",
29597.             "name" : "linux",
29598.             "topic" : "/mcafee/mar/agent/query/linux",
29599.             "enabled" : true
29600.           },
29601.           "capability" : {
29602.             "catalogVersion" : 230233,
29603.             "dbVersion" : 2,
29604.             "id" : "58efec8ee4b0c390d69a8e10",
29605.             "name" : "Running Processes",
29606.             "description" : "Obtains the list of the running processes",
29607.             "module" : "SystemInfo",
29608.             "function" : "CollectProcess",
29609.             "contentEnabled" : false,
29610.             "arguments" : [ ],
29611.             "outputs" : [ ],
29612.             "formatArgs" : { },
29613.             "format" : "BIN",
29614.             "platforms" : [ {
29615.               "catalogVersion" : 230233,
29616.               "dbVersion" : 2,
29617.               "id" : "58efec8ee4b0c390d69a8e0e",
29618.               "name" : "windows",
29619.               "topic" : "/mcafee/mar/agent/query/windows",
29620.               "enabled" : true
29621.             }, {
29622.               "catalogVersion" : 230233,
29623.               "dbVersion" : 2,
29624.               "id" : "58efec8ee4b0c390d69a8e0f",
29625.               "name" : "linux",
29626.               "topic" : "/mcafee/mar/agent/query/linux",
29627.               "enabled" : true
29628.             }, {
29629.               "catalogVersion" : 230233,
29630.               "dbVersion" : 2,
29631.               "id" : "5a1a45c9e4b0401274ab7141",
29632.               "name" : "macos",
29633.               "topic" : "/mcafee/mar/agent/query/macos",
29634.               "enabled" : true
29635.             } ],
29636.             "platformSettings" : [ {
29637.               "platform" : {
29638.                 "catalogVersion" : 230233,
29639.                 "dbVersion" : 2,
29640.                 "id" : "58efec8ee4b0c390d69a8e0e",
29641.                 "name" : "windows",
29642.                 "topic" : "/mcafee/mar/agent/query/windows",
29643.                 "enabled" : true
29644.               },
29645.               "utf8Sensitive" : false
29646.             }, {
29647.               "platform" : {
29648.                 "catalogVersion" : 230233,
29649.                 "dbVersion" : 2,
29650.                 "id" : "58efec8ee4b0c390d69a8e0f",
29651.                 "name" : "linux",
29652.                 "topic" : "/mcafee/mar/agent/query/linux",
29653.                 "enabled" : true
29654.               },
29655.               "utf8Sensitive" : false
29656.             }, {
29657.               "platform" : {
29658.                 "catalogVersion" : 230233,
29659.                 "dbVersion" : 2,
29660.                 "id" : "5a1a45c9e4b0401274ab7141",
29661.                 "name" : "macos",
29662.                 "topic" : "/mcafee/mar/agent/query/macos",
29663.                 "enabled" : true
29664.               },
29665.               "utf8Sensitive" : false
29666.             } ],
29667.             "itemType" : "BUILTIN",
29668.             "catalogItems" : [ "COLLECTOR" ]
29669.           },
29670.           "content" : null,
29671.           "arguments" : [ ],
29672.           "utf8Sensitive" : false
29673.         }, {
29674.           "platform" : {
29675.             "catalogVersion" : 230233,
29676.             "dbVersion" : 2,
29677.             "id" : "58efec8ee4b0c390d69a8e0e",
29678.             "name" : "windows",
29679.             "topic" : "/mcafee/mar/agent/query/windows",
29680.             "enabled" : true
29681.           },
29682.           "capability" : {
29683.             "catalogVersion" : 230233,
29684.             "dbVersion" : 2,
29685.             "id" : "58efec8ee4b0c390d69a8e10",
29686.             "name" : "Running Processes",
29687.             "description" : "Obtains the list of the running processes",
29688.             "module" : "SystemInfo",
29689.             "function" : "CollectProcess",
29690.             "contentEnabled" : false,
29691.             "arguments" : [ ],
29692.             "outputs" : [ ],
29693.             "formatArgs" : { },
29694.             "format" : "BIN",
29695.             "platforms" : [ {
29696.               "catalogVersion" : 230233,
29697.               "dbVersion" : 2,
29698.               "id" : "58efec8ee4b0c390d69a8e0e",
29699.               "name" : "windows",
29700.               "topic" : "/mcafee/mar/agent/query/windows",
29701.               "enabled" : true
29702.             }, {
29703.               "catalogVersion" : 230233,
29704.               "dbVersion" : 2,
29705.               "id" : "58efec8ee4b0c390d69a8e0f",
29706.               "name" : "linux",
29707.               "topic" : "/mcafee/mar/agent/query/linux",
29708.               "enabled" : true
29709.             }, {
29710.               "catalogVersion" : 230233,
29711.               "dbVersion" : 2,
29712.               "id" : "5a1a45c9e4b0401274ab7141",
29713.               "name" : "macos",
29714.               "topic" : "/mcafee/mar/agent/query/macos",
29715.               "enabled" : true
29716.             } ],
29717.             "platformSettings" : [ {
29718.               "platform" : {
29719.                 "catalogVersion" : 230233,
29720.                 "dbVersion" : 2,
29721.                 "id" : "58efec8ee4b0c390d69a8e0e",
29722.                 "name" : "windows",
29723.                 "topic" : "/mcafee/mar/agent/query/windows",
29724.                 "enabled" : true
29725.               },
29726.               "utf8Sensitive" : false
29727.             }, {
29728.               "platform" : {
29729.                 "catalogVersion" : 230233,
29730.                 "dbVersion" : 2,
29731.                 "id" : "58efec8ee4b0c390d69a8e0f",
29732.                 "name" : "linux",
29733.                 "topic" : "/mcafee/mar/agent/query/linux",
29734.                 "enabled" : true
29735.               },
29736.               "utf8Sensitive" : false
29737.             }, {
29738.               "platform" : {
29739.                 "catalogVersion" : 230233,
29740.                 "dbVersion" : 2,
29741.                 "id" : "5a1a45c9e4b0401274ab7141",
29742.                 "name" : "macos",
29743.                 "topic" : "/mcafee/mar/agent/query/macos",
29744.                 "enabled" : true
29745.               },
29746.               "utf8Sensitive" : false
29747.             } ],
29748.             "itemType" : "BUILTIN",
29749.             "catalogItems" : [ "COLLECTOR" ]
29750.           },
29751.           "content" : null,
29752.           "arguments" : [ ],
29753.           "utf8Sensitive" : false
29754.         }, {
29755.           "platform" : {
29756.             "catalogVersion" : 230233,
29757.             "dbVersion" : 2,
29758.             "id" : "5a1a45c9e4b0401274ab7141",
29759.             "name" : "macos",
29760.             "topic" : "/mcafee/mar/agent/query/macos",
29761.             "enabled" : true
29762.           },
29763.           "capability" : {
29764.             "catalogVersion" : 230233,
29765.             "dbVersion" : 2,
29766.             "id" : "58efec8ee4b0c390d69a8e10",
29767.             "name" : "Running Processes",
29768.             "description" : "Obtains the list of the running processes",
29769.             "module" : "SystemInfo",
29770.             "function" : "CollectProcess",
29771.             "contentEnabled" : false,
29772.             "arguments" : [ ],
29773.             "outputs" : [ ],
29774.             "formatArgs" : { },
29775.             "format" : "BIN",
29776.             "platforms" : [ {
29777.               "catalogVersion" : 230233,
29778.               "dbVersion" : 2,
29779.               "id" : "58efec8ee4b0c390d69a8e0e",
29780.               "name" : "windows",
29781.               "topic" : "/mcafee/mar/agent/query/windows",
29782.               "enabled" : true
29783.             }, {
29784.               "catalogVersion" : 230233,
29785.               "dbVersion" : 2,
29786.               "id" : "58efec8ee4b0c390d69a8e0f",
29787.               "name" : "linux",
29788.               "topic" : "/mcafee/mar/agent/query/linux",
29789.               "enabled" : true
29790.             }, {
29791.               "catalogVersion" : 230233,
29792.               "dbVersion" : 2,
29793.               "id" : "5a1a45c9e4b0401274ab7141",
29794.               "name" : "macos",
29795.               "topic" : "/mcafee/mar/agent/query/macos",
29796.               "enabled" : true
29797.             } ],
29798.             "platformSettings" : [ {
29799.               "platform" : {
29800.                 "catalogVersion" : 230233,
29801.                 "dbVersion" : 2,
29802.                 "id" : "58efec8ee4b0c390d69a8e0e",
29803.                 "name" : "windows",
29804.                 "topic" : "/mcafee/mar/agent/query/windows",
29805.                 "enabled" : true
29806.               },
29807.               "utf8Sensitive" : false
29808.             }, {
29809.               "platform" : {
29810.                 "catalogVersion" : 230233,
29811.                 "dbVersion" : 2,
29812.                 "id" : "58efec8ee4b0c390d69a8e0f",
29813.                 "name" : "linux",
29814.                 "topic" : "/mcafee/mar/agent/query/linux",
29815.                 "enabled" : true
29816.               },
29817.               "utf8Sensitive" : false
29818.             }, {
29819.               "platform" : {
29820.                 "catalogVersion" : 230233,
29821.                 "dbVersion" : 2,
29822.                 "id" : "5a1a45c9e4b0401274ab7141",
29823.                 "name" : "macos",
29824.                 "topic" : "/mcafee/mar/agent/query/macos",
29825.                 "enabled" : true
29826.               },
29827.               "utf8Sensitive" : false
29828.             } ],
29829.             "itemType" : "BUILTIN",
29830.             "catalogItems" : [ "COLLECTOR" ]
29831.           },
29832.           "content" : null,
29833.           "arguments" : [ ],
29834.           "utf8Sensitive" : false
29835.         } ],
29836.         "timeout" : 60,
29837.         "outputs" : [ {
29838.           "id" : "58efec8ee4b0c390d69a8e6a",
29839.           "name" : "name",
29840.           "type" : "STRING",
29841.           "byDefault" : true,
29842.           "sequence" : 1
29843.         }, {
29844.           "id" : "58efec8ee4b0c390d69a8e6b",
29845.           "name" : "id",
29846.           "type" : "NUMBER",
29847.           "byDefault" : false,
29848.           "sequence" : 2
29849.         }, {
29850.           "id" : "58efec8ee4b0c390d69a8e6c",
29851.           "name" : "threadcount",
29852.           "type" : "NUMBER",
29853.           "byDefault" : false,
29854.           "sequence" : 3
29855.         }, {
29856.           "id" : "58efec8ee4b0c390d69a8e6d",
29857.           "name" : "parentid",
29858.           "type" : "NUMBER",
29859.           "byDefault" : false,
29860.           "sequence" : 4
29861.         }, {
29862.           "id" : "58efec8ee4b0c390d69a8e6e",
29863.           "name" : "parentname",
29864.           "type" : "STRING",
29865.           "byDefault" : false,
29866.           "sequence" : 999
29867.         }, {
29868.           "id" : "5a1a45cae4b0401274ab718e",
29869.           "name" : "parentimagepath",
29870.           "type" : "STRING",
29871.           "byDefault" : false,
29872.           "sequence" : 1000
29873.         }, {
29874.           "id" : "5a1a45cae4b0401274ab718f",
29875.           "name" : "file_reputation",
29876.           "type" : "REPUTATION",
29877.           "byDefault" : false,
29878.           "sequence" : 1001
29879.         }, {
29880.           "id" : "5b3f9b64e4b0dfaf321a630e",
29881.           "name" : "process_reputation",
29882.           "type" : "REPUTATION",
29883.           "byDefault" : false,
29884.           "sequence" : 1002
29885.         }, {
29886.           "id" : "5b3f9b64e4b0dfaf321a630f",
29887.           "name" : "started_at",
29888.           "type" : "DATE",
29889.           "byDefault" : false,
29890.           "sequence" : 1003
29891.         }, {
29892.           "id" : "5b3f9b64e4b0dfaf321a6310",
29893.           "name" : "content_size",
29894.           "type" : "NUMBER",
29895.           "byDefault" : false,
29896.           "sequence" : 1004
29897.         }, {
29898.           "id" : "5b3f9b64e4b0dfaf321a6311",
29899.           "name" : "content",
29900.           "type" : "STRING",
29901.           "byDefault" : false,
29902.           "sequence" : 1005
29903.         }, {
29904.           "id" : "5b3f9b64e4b0dfaf321a6312",
29905.           "name" : "content_file",
29906.           "type" : "STRING",
29907.           "byDefault" : false,
29908.           "sequence" : 1006
29909.         }, {
29910.           "id" : "5b3f9b64e4b0dfaf321a6313",
29911.           "name" : "execution_mode",
29912.           "type" : "STRING",
29913.           "byDefault" : false,
29914.           "sequence" : 1007
29915.         }, {
29916.           "id" : "58efec8ee4b0c390d69a8e6f",
29917.           "name" : "size",
29918.           "type" : "NUMBER",
29919.           "byDefault" : false,
29920.           "sequence" : 5
29921.         }, {
29922.           "id" : "58efec8ee4b0c390d69a8e70",
29923.           "name" : "md5",
29924.           "type" : "STRING",
29925.           "byDefault" : true,
29926.           "sequence" : 6
29927.         }, {
29928.           "id" : "58efec8ee4b0c390d69a8e71",
29929.           "name" : "sha1",
29930.           "type" : "STRING",
29931.           "byDefault" : true,
29932.           "sequence" : 7
29933.         }, {
29934.           "id" : "58efec8ee4b0c390d69a8e72",
29935.           "name" : "cmdline",
29936.           "type" : "STRING",
29937.           "byDefault" : true,
29938.           "sequence" : 8
29939.         }, {
29940.           "id" : "58efec8ee4b0c390d69a8e73",
29941.           "name" : "imagepath",
29942.           "type" : "STRING",
29943.           "byDefault" : true,
29944.           "sequence" : 9
29945.         }, {
29946.           "id" : "58efec8ee4b0c390d69a8e74",
29947.           "name" : "kerneltime",
29948.           "type" : "NUMBER",
29949.           "byDefault" : false,
29950.           "sequence" : 10
29951.         }, {
29952.           "id" : "58efec8ee4b0c390d69a8e75",
29953.           "name" : "usertime",
29954.           "type" : "NUMBER",
29955.           "byDefault" : false,
29956.           "sequence" : 11
29957.         }, {
29958.           "id" : "58efec8ee4b0c390d69a8e76",
29959.           "name" : "uptime",
29960.           "type" : "NUMBER",
29961.           "byDefault" : false,
29962.           "sequence" : 12
29963.         }, {
29964.           "id" : "58efec8ee4b0c390d69a8e77",
29965.           "name" : "user",
29966.           "type" : "STRING",
29967.           "byDefault" : false,
29968.           "sequence" : 13
29969.         }, {
29970.           "id" : "58efec8ee4b0c390d69a8e78",
29971.           "name" : "user_id",
29972.           "type" : "STRING",
29973.           "byDefault" : false,
29974.           "sequence" : 14
29975.         }, {
29976.           "id" : "5a1a45cae4b0401274ab7190",
29977.           "name" : "sha256",
29978.           "type" : "STRING",
29979.           "byDefault" : true,
29980.           "sequence" : 15
29981.         }, {
29982.           "id" : "5b3f9b64e4b0dfaf321a6314",
29983.           "name" : "normalized_cmdline",
29984.           "type" : "STRING",
29985.           "byDefault" : false,
29986.           "sequence" : 1009
29987.         }, {
29988.           "id" : "5b3f9b64e4b0dfaf321a6315",
29989.           "name" : "parent_cmdline",
29990.           "type" : "STRING",
29991.           "byDefault" : false,
29992.           "sequence" : 1010
29993.         } ]
29994.       },
29995.       "sequence" : "1",
29996.       "output" : [ {
29997.         "id" : "58efec8ee4b0c390d69a8e6a",
29998.         "name" : "name",
29999.         "type" : "STRING",
30000.         "byDefault" : true,
30001.         "sequence" : 1
30002.       }, {
30003.         "id" : "58efec8ee4b0c390d69a8e72",
30004.         "name" : "cmdline",
30005.         "type" : "STRING",
30006.         "byDefault" : true,
30007.         "sequence" : 8
30008.       } ]
30009.     } ],
30010.     "disjunction" : {
30011.       "conjunctions" : [ {
30012.         "terms" : [ {
30013.           "output" : {
30014.             "id" : "58efec8ee4b0c390d69a8e6c",
30015.             "name" : "threadcount",
30016.             "type" : "NUMBER",
30017.             "byDefault" : false,
30018.             "sequence" : 3
30019.           },
30020.           "operator" : "GREATER_THAN",
30021.           "value" : "5",
30022.           "negated" : false,
30023.           "collector" : {
30024.             "catalogVersion" : 230233,
30025.             "dbVersion" : 2,
30026.             "id" : "58efec8ee4b0c390d69a8e79",
30027.             "name" : "Processes",
30028.             "description" : "Shows the running processes",
30029.             "type" : "BUILTIN",
30030.             "contents" : [ {
30031.               "platform" : {
30032.                 "catalogVersion" : 230233,
30033.                 "dbVersion" : 2,
30034.                 "id" : "58efec8ee4b0c390d69a8e0f",
30035.                 "name" : "linux",
30036.                 "topic" : "/mcafee/mar/agent/query/linux",
30037.                 "enabled" : true
30038.               },
30039.               "capability" : {
30040.                 "catalogVersion" : 230233,
30041.                 "dbVersion" : 2,
30042.                 "id" : "58efec8ee4b0c390d69a8e10",
30043.                 "name" : "Running Processes",
30044.                 "description" : "Obtains the list of the running processes",
30045.                 "module" : "SystemInfo",
30046.                 "function" : "CollectProcess",
30047.                 "contentEnabled" : false,
30048.                 "arguments" : [ ],
30049.                 "outputs" : [ ],
30050.                 "formatArgs" : { },
30051.                 "format" : "BIN",
30052.                 "platforms" : [ {
30053.                   "catalogVersion" : 230233,
30054.                   "dbVersion" : 2,
30055.                   "id" : "58efec8ee4b0c390d69a8e0e",
30056.                   "name" : "windows",
30057.                   "topic" : "/mcafee/mar/agent/query/windows",
30058.                   "enabled" : true
30059.                 }, {
30060.                   "catalogVersion" : 230233,
30061.                   "dbVersion" : 2,
30062.                   "id" : "58efec8ee4b0c390d69a8e0f",
30063.                   "name" : "linux",
30064.                   "topic" : "/mcafee/mar/agent/query/linux",
30065.                   "enabled" : true
30066.                 }, {
30067.                   "catalogVersion" : 230233,
30068.                   "dbVersion" : 2,
30069.                   "id" : "5a1a45c9e4b0401274ab7141",
30070.                   "name" : "macos",
30071.                   "topic" : "/mcafee/mar/agent/query/macos",
30072.                   "enabled" : true
30073.                 } ],
30074.                 "platformSettings" : [ {
30075.                   "platform" : {
30076.                     "catalogVersion" : 230233,
30077.                     "dbVersion" : 2,
30078.                     "id" : "58efec8ee4b0c390d69a8e0e",
30079.                     "name" : "windows",
30080.                     "topic" : "/mcafee/mar/agent/query/windows",
30081.                     "enabled" : true
30082.                   },
30083.                   "utf8Sensitive" : false
30084.                 }, {
30085.                   "platform" : {
30086.                     "catalogVersion" : 230233,
30087.                     "dbVersion" : 2,
30088.                     "id" : "58efec8ee4b0c390d69a8e0f",
30089.                     "name" : "linux",
30090.                     "topic" : "/mcafee/mar/agent/query/linux",
30091.                     "enabled" : true
30092.                   },
30093.                   "utf8Sensitive" : false
30094.                 }, {
30095.                   "platform" : {
30096.                     "catalogVersion" : 230233,
30097.                     "dbVersion" : 2,
30098.                     "id" : "5a1a45c9e4b0401274ab7141",
30099.                     "name" : "macos",
30100.                     "topic" : "/mcafee/mar/agent/query/macos",
30101.                     "enabled" : true
30102.                   },
30103.                   "utf8Sensitive" : false
30104.                 } ],
30105.                 "itemType" : "BUILTIN",
30106.                 "catalogItems" : [ "COLLECTOR" ]
30107.               },
30108.               "content" : null,
30109.               "arguments" : [ ],
30110.               "utf8Sensitive" : false
30111.             }, {
30112.               "platform" : {
30113.                 "catalogVersion" : 230233,
30114.                 "dbVersion" : 2,
30115.                 "id" : "58efec8ee4b0c390d69a8e0e",
30116.                 "name" : "windows",
30117.                 "topic" : "/mcafee/mar/agent/query/windows",
30118.                 "enabled" : true
30119.               },
30120.               "capability" : {
30121.                 "catalogVersion" : 230233,
30122.                 "dbVersion" : 2,
30123.                 "id" : "58efec8ee4b0c390d69a8e10",
30124.                 "name" : "Running Processes",
30125.                 "description" : "Obtains the list of the running processes",
30126.                 "module" : "SystemInfo",
30127.                 "function" : "CollectProcess",
30128.                 "contentEnabled" : false,
30129.                 "arguments" : [ ],
30130.                 "outputs" : [ ],
30131.                 "formatArgs" : { },
30132.                 "format" : "BIN",
30133.                 "platforms" : [ {
30134.                   "catalogVersion" : 230233,
30135.                   "dbVersion" : 2,
30136.                   "id" : "58efec8ee4b0c390d69a8e0e",
30137.                   "name" : "windows",
30138.                   "topic" : "/mcafee/mar/agent/query/windows",
30139.                   "enabled" : true
30140.                 }, {
30141.                   "catalogVersion" : 230233,
30142.                   "dbVersion" : 2,
30143.                   "id" : "58efec8ee4b0c390d69a8e0f",
30144.                   "name" : "linux",
30145.                   "topic" : "/mcafee/mar/agent/query/linux",
30146.                   "enabled" : true
30147.                 }, {
30148.                   "catalogVersion" : 230233,
30149.                   "dbVersion" : 2,
30150.                   "id" : "5a1a45c9e4b0401274ab7141",
30151.                   "name" : "macos",
30152.                   "topic" : "/mcafee/mar/agent/query/macos",
30153.                   "enabled" : true
30154.                 } ],
30155.                 "platformSettings" : [ {
30156.                   "platform" : {
30157.                     "catalogVersion" : 230233,
30158.                     "dbVersion" : 2,
30159.                     "id" : "58efec8ee4b0c390d69a8e0e",
30160.                     "name" : "windows",
30161.                     "topic" : "/mcafee/mar/agent/query/windows",
30162.                     "enabled" : true
30163.                   },
30164.                   "utf8Sensitive" : false
30165.                 }, {
30166.                   "platform" : {
30167.                     "catalogVersion" : 230233,
30168.                     "dbVersion" : 2,
30169.                     "id" : "58efec8ee4b0c390d69a8e0f",
30170.                     "name" : "linux",
30171.                     "topic" : "/mcafee/mar/agent/query/linux",
30172.                     "enabled" : true
30173.                   },
30174.                   "utf8Sensitive" : false
30175.                 }, {
30176.                   "platform" : {
30177.                     "catalogVersion" : 230233,
30178.                     "dbVersion" : 2,
30179.                     "id" : "5a1a45c9e4b0401274ab7141",
30180.                     "name" : "macos",
30181.                     "topic" : "/mcafee/mar/agent/query/macos",
30182.                     "enabled" : true
30183.                   },
30184.                   "utf8Sensitive" : false
30185.                 } ],
30186.                 "itemType" : "BUILTIN",
30187.                 "catalogItems" : [ "COLLECTOR" ]
30188.               },
30189.               "content" : null,
30190.               "arguments" : [ ],
30191.               "utf8Sensitive" : false
30192.             }, {
30193.               "platform" : {
30194.                 "catalogVersion" : 230233,
30195.                 "dbVersion" : 2,
30196.                 "id" : "5a1a45c9e4b0401274ab7141",
30197.                 "name" : "macos",
30198.                 "topic" : "/mcafee/mar/agent/query/macos",
30199.                 "enabled" : true
30200.               },
30201.               "capability" : {
30202.                 "catalogVersion" : 230233,
30203.                 "dbVersion" : 2,
30204.                 "id" : "58efec8ee4b0c390d69a8e10",
30205.                 "name" : "Running Processes",
30206.                 "description" : "Obtains the list of the running processes",
30207.                 "module" : "SystemInfo",
30208.                 "function" : "CollectProcess",
30209.                 "contentEnabled" : false,
30210.                 "arguments" : [ ],
30211.                 "outputs" : [ ],
30212.                 "formatArgs" : { },
30213.                 "format" : "BIN",
30214.                 "platforms" : [ {
30215.                   "catalogVersion" : 230233,
30216.                   "dbVersion" : 2,
30217.                   "id" : "58efec8ee4b0c390d69a8e0e",
30218.                   "name" : "windows",
30219.                   "topic" : "/mcafee/mar/agent/query/windows",
30220.                   "enabled" : true
30221.                 }, {
30222.                   "catalogVersion" : 230233,
30223.                   "dbVersion" : 2,
30224.                   "id" : "58efec8ee4b0c390d69a8e0f",
30225.                   "name" : "linux",
30226.                   "topic" : "/mcafee/mar/agent/query/linux",
30227.                   "enabled" : true
30228.                 }, {
30229.                   "catalogVersion" : 230233,
30230.                   "dbVersion" : 2,
30231.                   "id" : "5a1a45c9e4b0401274ab7141",
30232.                   "name" : "macos",
30233.                   "topic" : "/mcafee/mar/agent/query/macos",
30234.                   "enabled" : true
30235.                 } ],
30236.                 "platformSettings" : [ {
30237.                   "platform" : {
30238.                     "catalogVersion" : 230233,
30239.                     "dbVersion" : 2,
30240.                     "id" : "58efec8ee4b0c390d69a8e0e",
30241.                     "name" : "windows",
30242.                     "topic" : "/mcafee/mar/agent/query/windows",
30243.                     "enabled" : true
30244.                   },
30245.                   "utf8Sensitive" : false
30246.                 }, {
30247.                   "platform" : {
30248.                     "catalogVersion" : 230233,
30249.                     "dbVersion" : 2,
30250.                     "id" : "58efec8ee4b0c390d69a8e0f",
30251.                     "name" : "linux",
30252.                     "topic" : "/mcafee/mar/agent/query/linux",
30253.                     "enabled" : true
30254.                   },
30255.                   "utf8Sensitive" : false
30256.                 }, {
30257.                   "platform" : {
30258.                     "catalogVersion" : 230233,
30259.                     "dbVersion" : 2,
30260.                     "id" : "5a1a45c9e4b0401274ab7141",
30261.                     "name" : "macos",
30262.                     "topic" : "/mcafee/mar/agent/query/macos",
30263.                     "enabled" : true
30264.                   },
30265.                   "utf8Sensitive" : false
30266.                 } ],
30267.                 "itemType" : "BUILTIN",
30268.                 "catalogItems" : [ "COLLECTOR" ]
30269.               },
30270.               "content" : null,
30271.               "arguments" : [ ],
30272.               "utf8Sensitive" : false
30273.             } ],
30274.             "timeout" : 60,
30275.             "outputs" : [ {
30276.               "id" : "58efec8ee4b0c390d69a8e6a",
30277.               "name" : "name",
30278.               "type" : "STRING",
30279.               "byDefault" : true,
30280.               "sequence" : 1
30281.             }, {
30282.               "id" : "58efec8ee4b0c390d69a8e6b",
30283.               "name" : "id",
30284.               "type" : "NUMBER",
30285.               "byDefault" : false,
30286.               "sequence" : 2
30287.             }, {
30288.               "id" : "58efec8ee4b0c390d69a8e6c",
30289.               "name" : "threadcount",
30290.               "type" : "NUMBER",
30291.               "byDefault" : false,
30292.               "sequence" : 3
30293.             }, {
30294.               "id" : "58efec8ee4b0c390d69a8e6d",
30295.               "name" : "parentid",
30296.               "type" : "NUMBER",
30297.               "byDefault" : false,
30298.               "sequence" : 4
30299.             }, {
30300.               "id" : "58efec8ee4b0c390d69a8e6e",
30301.               "name" : "parentname",
30302.               "type" : "STRING",
30303.               "byDefault" : false,
30304.               "sequence" : 999
30305.             }, {
30306.               "id" : "5a1a45cae4b0401274ab718e",
30307.               "name" : "parentimagepath",
30308.               "type" : "STRING",
30309.               "byDefault" : false,
30310.               "sequence" : 1000
30311.             }, {
30312.               "id" : "5a1a45cae4b0401274ab718f",
30313.               "name" : "file_reputation",
30314.               "type" : "REPUTATION",
30315.               "byDefault" : false,
30316.               "sequence" : 1001
30317.             }, {
30318.               "id" : "5b3f9b64e4b0dfaf321a630e",
30319.               "name" : "process_reputation",
30320.               "type" : "REPUTATION",
30321.               "byDefault" : false,
30322.               "sequence" : 1002
30323.             }, {
30324.               "id" : "5b3f9b64e4b0dfaf321a630f",
30325.               "name" : "started_at",
30326.               "type" : "DATE",
30327.               "byDefault" : false,
30328.               "sequence" : 1003
30329.             }, {
30330.               "id" : "5b3f9b64e4b0dfaf321a6310",
30331.               "name" : "content_size",
30332.               "type" : "NUMBER",
30333.               "byDefault" : false,
30334.               "sequence" : 1004
30335.             }, {
30336.               "id" : "5b3f9b64e4b0dfaf321a6311",
30337.               "name" : "content",
30338.               "type" : "STRING",
30339.               "byDefault" : false,
30340.               "sequence" : 1005
30341.             }, {
30342.               "id" : "5b3f9b64e4b0dfaf321a6312",
30343.               "name" : "content_file",
30344.               "type" : "STRING",
30345.               "byDefault" : false,
30346.               "sequence" : 1006
30347.             }, {
30348.               "id" : "5b3f9b64e4b0dfaf321a6313",
30349.               "name" : "execution_mode",
30350.               "type" : "STRING",
30351.               "byDefault" : false,
30352.               "sequence" : 1007
30353.             }, {
30354.               "id" : "58efec8ee4b0c390d69a8e6f",
30355.               "name" : "size",
30356.               "type" : "NUMBER",
30357.               "byDefault" : false,
30358.               "sequence" : 5
30359.             }, {
30360.               "id" : "58efec8ee4b0c390d69a8e70",
30361.               "name" : "md5",
30362.               "type" : "STRING",
30363.               "byDefault" : true,
30364.               "sequence" : 6
30365.             }, {
30366.               "id" : "58efec8ee4b0c390d69a8e71",
30367.               "name" : "sha1",
30368.               "type" : "STRING",
30369.               "byDefault" : true,
30370.               "sequence" : 7
30371.             }, {
30372.               "id" : "58efec8ee4b0c390d69a8e72",
30373.               "name" : "cmdline",
30374.               "type" : "STRING",
30375.               "byDefault" : true,
30376.               "sequence" : 8
30377.             }, {
30378.               "id" : "58efec8ee4b0c390d69a8e73",
30379.               "name" : "imagepath",
30380.               "type" : "STRING",
30381.               "byDefault" : true,
30382.               "sequence" : 9
30383.             }, {
30384.               "id" : "58efec8ee4b0c390d69a8e74",
30385.               "name" : "kerneltime",
30386.               "type" : "NUMBER",
30387.               "byDefault" : false,
30388.               "sequence" : 10
30389.             }, {
30390.               "id" : "58efec8ee4b0c390d69a8e75",
30391.               "name" : "usertime",
30392.               "type" : "NUMBER",
30393.               "byDefault" : false,
30394.               "sequence" : 11
30395.             }, {
30396.               "id" : "58efec8ee4b0c390d69a8e76",
30397.               "name" : "uptime",
30398.               "type" : "NUMBER",
30399.               "byDefault" : false,
30400.               "sequence" : 12
30401.             }, {
30402.               "id" : "58efec8ee4b0c390d69a8e77",
30403.               "name" : "user",
30404.               "type" : "STRING",
30405.               "byDefault" : false,
30406.               "sequence" : 13
30407.             }, {
30408.               "id" : "58efec8ee4b0c390d69a8e78",
30409.               "name" : "user_id",
30410.               "type" : "STRING",
30411.               "byDefault" : false,
30412.               "sequence" : 14
30413.             }, {
30414.               "id" : "5a1a45cae4b0401274ab7190",
30415.               "name" : "sha256",
30416.               "type" : "STRING",
30417.               "byDefault" : true,
30418.               "sequence" : 15
30419.             }, {
30420.               "id" : "5b3f9b64e4b0dfaf321a6314",
30421.               "name" : "normalized_cmdline",
30422.               "type" : "STRING",
30423.               "byDefault" : false,
30424.               "sequence" : 1009
30425.             }, {
30426.               "id" : "5b3f9b64e4b0dfaf321a6315",
30427.               "name" : "parent_cmdline",
30428.               "type" : "STRING",
30429.               "byDefault" : false,
30430.               "sequence" : 1010
30431.             } ]
30432.           }
30433.         }, {
30434.           "output" : {
30435.             "id" : "58efec8ee4b0c390d69a8e82",
30436.             "name" : "created_at",
30437.             "type" : "DATE",
30438.             "byDefault" : false,
30439.             "sequence" : 9
30440.           },
30441.           "operator" : "BEFORE",
30442.           "value" : "2015-10-11 00:00:00",
30443.           "negated" : true,
30444.           "collector" : {
30445.             "catalogVersion" : 230233,
30446.             "dbVersion" : 2,
30447.             "id" : "58efec8ee4b0c390d69a8e84",
30448.             "name" : "Files",
30449.             "description" : "Shows the existing files",
30450.             "type" : "BUILTIN",
30451.             "contents" : [ {
30452.               "platform" : {
30453.                 "catalogVersion" : 230233,
30454.                 "dbVersion" : 2,
30455.                 "id" : "58efec8ee4b0c390d69a8e0f",
30456.                 "name" : "linux",
30457.                 "topic" : "/mcafee/mar/agent/query/linux",
30458.                 "enabled" : true
30459.               },
30460.               "capability" : {
30461.                 "catalogVersion" : 230233,
30462.                 "dbVersion" : 2,
30463.                 "id" : "58efec8ee4b0c390d69a8e15",
30464.                 "name" : "Files",
30465.                 "description" : "Gets the list of files",
30466.                 "module" : "FileHashing",
30467.                 "function" : "FindFiles",
30468.                 "contentEnabled" : false,
30469.                 "arguments" : [ ],
30470.                 "outputs" : [ ],
30471.                 "formatArgs" : { },
30472.                 "format" : "BIN",
30473.                 "platforms" : [ {
30474.                   "catalogVersion" : 230233,
30475.                   "dbVersion" : 2,
30476.                   "id" : "58efec8ee4b0c390d69a8e0e",
30477.                   "name" : "windows",
30478.                   "topic" : "/mcafee/mar/agent/query/windows",
30479.                   "enabled" : true
30480.                 }, {
30481.                   "catalogVersion" : 230233,
30482.                   "dbVersion" : 2,
30483.                   "id" : "58efec8ee4b0c390d69a8e0f",
30484.                   "name" : "linux",
30485.                   "topic" : "/mcafee/mar/agent/query/linux",
30486.                   "enabled" : true
30487.                 }, {
30488.                   "catalogVersion" : 230233,
30489.                   "dbVersion" : 2,
30490.                   "id" : "5a1a45c9e4b0401274ab7141",
30491.                   "name" : "macos",
30492.                   "topic" : "/mcafee/mar/agent/query/macos",
30493.                   "enabled" : true
30494.                 } ],
30495.                 "platformSettings" : [ {
30496.                   "platform" : {
30497.                     "catalogVersion" : 230233,
30498.                     "dbVersion" : 2,
30499.                     "id" : "58efec8ee4b0c390d69a8e0e",
30500.                     "name" : "windows",
30501.                     "topic" : "/mcafee/mar/agent/query/windows",
30502.                     "enabled" : true
30503.                   },
30504.                   "utf8Sensitive" : false
30505.                 }, {
30506.                   "platform" : {
30507.                     "catalogVersion" : 230233,
30508.                     "dbVersion" : 2,
30509.                     "id" : "58efec8ee4b0c390d69a8e0f",
30510.                     "name" : "linux",
30511.                     "topic" : "/mcafee/mar/agent/query/linux",
30512.                     "enabled" : true
30513.                   },
30514.                   "utf8Sensitive" : false
30515.                 }, {
30516.                   "platform" : {
30517.                     "catalogVersion" : 230233,
30518.                     "dbVersion" : 2,
30519.                     "id" : "5a1a45c9e4b0401274ab7141",
30520.                     "name" : "macos",
30521.                     "topic" : "/mcafee/mar/agent/query/macos",
30522.                     "enabled" : true
30523.                   },
30524.                   "utf8Sensitive" : false
30525.                 } ],
30526.                 "itemType" : "BUILTIN",
30527.                 "catalogItems" : [ "COLLECTOR" ]
30528.               },
30529.               "content" : null,
30530.               "arguments" : [ ],
30531.               "utf8Sensitive" : false
30532.             }, {
30533.               "platform" : {
30534.                 "catalogVersion" : 230233,
30535.                 "dbVersion" : 2,
30536.                 "id" : "58efec8ee4b0c390d69a8e0e",
30537.                 "name" : "windows",
30538.                 "topic" : "/mcafee/mar/agent/query/windows",
30539.                 "enabled" : true
30540.               },
30541.               "capability" : {
30542.                 "catalogVersion" : 230233,
30543.                 "dbVersion" : 2,
30544.                 "id" : "58efec8ee4b0c390d69a8e15",
30545.                 "name" : "Files",
30546.                 "description" : "Gets the list of files",
30547.                 "module" : "FileHashing",
30548.                 "function" : "FindFiles",
30549.                 "contentEnabled" : false,
30550.                 "arguments" : [ ],
30551.                 "outputs" : [ ],
30552.                 "formatArgs" : { },
30553.                 "format" : "BIN",
30554.                 "platforms" : [ {
30555.                   "catalogVersion" : 230233,
30556.                   "dbVersion" : 2,
30557.                   "id" : "58efec8ee4b0c390d69a8e0e",
30558.                   "name" : "windows",
30559.                   "topic" : "/mcafee/mar/agent/query/windows",
30560.                   "enabled" : true
30561.                 }, {
30562.                   "catalogVersion" : 230233,
30563.                   "dbVersion" : 2,
30564.                   "id" : "58efec8ee4b0c390d69a8e0f",
30565.                   "name" : "linux",
30566.                   "topic" : "/mcafee/mar/agent/query/linux",
30567.                   "enabled" : true
30568.                 }, {
30569.                   "catalogVersion" : 230233,
30570.                   "dbVersion" : 2,
30571.                   "id" : "5a1a45c9e4b0401274ab7141",
30572.                   "name" : "macos",
30573.                   "topic" : "/mcafee/mar/agent/query/macos",
30574.                   "enabled" : true
30575.                 } ],
30576.                 "platformSettings" : [ {
30577.                   "platform" : {
30578.                     "catalogVersion" : 230233,
30579.                     "dbVersion" : 2,
30580.                     "id" : "58efec8ee4b0c390d69a8e0e",
30581.                     "name" : "windows",
30582.                     "topic" : "/mcafee/mar/agent/query/windows",
30583.                     "enabled" : true
30584.                   },
30585.                   "utf8Sensitive" : false
30586.                 }, {
30587.                   "platform" : {
30588.                     "catalogVersion" : 230233,
30589.                     "dbVersion" : 2,
30590.                     "id" : "58efec8ee4b0c390d69a8e0f",
30591.                     "name" : "linux",
30592.                     "topic" : "/mcafee/mar/agent/query/linux",
30593.                     "enabled" : true
30594.                   },
30595.                   "utf8Sensitive" : false
30596.                 }, {
30597.                   "platform" : {
30598.                     "catalogVersion" : 230233,
30599.                     "dbVersion" : 2,
30600.                     "id" : "5a1a45c9e4b0401274ab7141",
30601.                     "name" : "macos",
30602.                     "topic" : "/mcafee/mar/agent/query/macos",
30603.                     "enabled" : true
30604.                   },
30605.                   "utf8Sensitive" : false
30606.                 } ],
30607.                 "itemType" : "BUILTIN",
30608.                 "catalogItems" : [ "COLLECTOR" ]
30609.               },
30610.               "content" : null,
30611.               "arguments" : [ ],
30612.               "utf8Sensitive" : false
30613.             }, {
30614.               "platform" : {
30615.                 "catalogVersion" : 230233,
30616.                 "dbVersion" : 2,
30617.                 "id" : "5a1a45c9e4b0401274ab7141",
30618.                 "name" : "macos",
30619.                 "topic" : "/mcafee/mar/agent/query/macos",
30620.                 "enabled" : true
30621.               },
30622.               "capability" : {
30623.                 "catalogVersion" : 230233,
30624.                 "dbVersion" : 2,
30625.                 "id" : "58efec8ee4b0c390d69a8e15",
30626.                 "name" : "Files",
30627.                 "description" : "Gets the list of files",
30628.                 "module" : "FileHashing",
30629.                 "function" : "FindFiles",
30630.                 "contentEnabled" : false,
30631.                 "arguments" : [ ],
30632.                 "outputs" : [ ],
30633.                 "formatArgs" : { },
30634.                 "format" : "BIN",
30635.                 "platforms" : [ {
30636.                   "catalogVersion" : 230233,
30637.                   "dbVersion" : 2,
30638.                   "id" : "58efec8ee4b0c390d69a8e0e",
30639.                   "name" : "windows",
30640.                   "topic" : "/mcafee/mar/agent/query/windows",
30641.                   "enabled" : true
30642.                 }, {
30643.                   "catalogVersion" : 230233,
30644.                   "dbVersion" : 2,
30645.                   "id" : "58efec8ee4b0c390d69a8e0f",
30646.                   "name" : "linux",
30647.                   "topic" : "/mcafee/mar/agent/query/linux",
30648.                   "enabled" : true
30649.                 }, {
30650.                   "catalogVersion" : 230233,
30651.                   "dbVersion" : 2,
30652.                   "id" : "5a1a45c9e4b0401274ab7141",
30653.                   "name" : "macos",
30654.                   "topic" : "/mcafee/mar/agent/query/macos",
30655.                   "enabled" : true
30656.                 } ],
30657.                 "platformSettings" : [ {
30658.                   "platform" : {
30659.                     "catalogVersion" : 230233,
30660.                     "dbVersion" : 2,
30661.                     "id" : "58efec8ee4b0c390d69a8e0e",
30662.                     "name" : "windows",
30663.                     "topic" : "/mcafee/mar/agent/query/windows",
30664.                     "enabled" : true
30665.                   },
30666.                   "utf8Sensitive" : false
30667.                 }, {
30668.                   "platform" : {
30669.                     "catalogVersion" : 230233,
30670.                     "dbVersion" : 2,
30671.                     "id" : "58efec8ee4b0c390d69a8e0f",
30672.                     "name" : "linux",
30673.                     "topic" : "/mcafee/mar/agent/query/linux",
30674.                     "enabled" : true
30675.                   },
30676.                   "utf8Sensitive" : false
30677.                 }, {
30678.                   "platform" : {
30679.                     "catalogVersion" : 230233,
30680.                     "dbVersion" : 2,
30681.                     "id" : "5a1a45c9e4b0401274ab7141",
30682.                     "name" : "macos",
30683.                     "topic" : "/mcafee/mar/agent/query/macos",
30684.                     "enabled" : true
30685.                   },
30686.                   "utf8Sensitive" : false
30687.                 } ],
30688.                 "itemType" : "BUILTIN",
30689.                 "catalogItems" : [ "COLLECTOR" ]
30690.               },
30691.               "content" : null,
30692.               "arguments" : [ ],
30693.               "utf8Sensitive" : false
30694.             } ],
30695.             "timeout" : 60,
30696.             "outputs" : [ {
30697.               "id" : "58efec8ee4b0c390d69a8e7a",
30698.               "name" : "name",
30699.               "type" : "STRING",
30700.               "byDefault" : true,
30701.               "sequence" : 1
30702.             }, {
30703.               "id" : "58efec8ee4b0c390d69a8e7b",
30704.               "name" : "dir",
30705.               "type" : "STRING",
30706.               "byDefault" : false,
30707.               "sequence" : 2
30708.             }, {
30709.               "id" : "58efec8ee4b0c390d69a8e7c",
30710.               "name" : "full_name",
30711.               "type" : "STRING",
30712.               "byDefault" : false,
30713.               "sequence" : 3
30714.             }, {
30715.               "id" : "58efec8ee4b0c390d69a8e7d",
30716.               "name" : "size",
30717.               "type" : "NUMBER",
30718.               "byDefault" : false,
30719.               "sequence" : 4
30720.             }, {
30721.               "id" : "58efec8ee4b0c390d69a8e7e",
30722.               "name" : "last_write",
30723.               "type" : "DATE",
30724.               "byDefault" : false,
30725.               "sequence" : 5
30726.             }, {
30727.               "id" : "58efec8ee4b0c390d69a8e7f",
30728.               "name" : "md5",
30729.               "type" : "STRING",
30730.               "byDefault" : true,
30731.               "sequence" : 6
30732.             }, {
30733.               "id" : "58efec8ee4b0c390d69a8e80",
30734.               "name" : "sha1",
30735.               "type" : "STRING",
30736.               "byDefault" : true,
30737.               "sequence" : 7
30738.             }, {
30739.               "id" : "58efec8ee4b0c390d69a8e81",
30740.               "name" : "sha256",
30741.               "type" : "STRING",
30742.               "byDefault" : true,
30743.               "sequence" : 8
30744.             }, {
30745.               "id" : "58efec8ee4b0c390d69a8e82",
30746.               "name" : "created_at",
30747.               "type" : "DATE",
30748.               "byDefault" : false,
30749.               "sequence" : 9
30750.             }, {
30751.               "id" : "58efec8ee4b0c390d69a8e83",
30752.               "name" : "deleted_at",
30753.               "type" : "DATE",
30754.               "byDefault" : true,
30755.               "sequence" : 10
30756.             }, {
30757.               "id" : "5b3f9b64e4b0dfaf321a6333",
30758.               "name" : "status",
30759.               "type" : "STRING",
30760.               "byDefault" : true,
30761.               "sequence" : 11
30762.             }, {
30763.               "id" : "5b3f9b64e4b0dfaf321a6334",
30764.               "name" : "create_process_pid",
30765.               "type" : "NUMBER",
30766.               "byDefault" : false,
30767.               "sequence" : 12
30768.             }, {
30769.               "id" : "5b3f9b64e4b0dfaf321a6335",
30770.               "name" : "create_process_sha256",
30771.               "type" : "STRING",
30772.               "byDefault" : false,
30773.               "sequence" : 13
30774.             }, {
30775.               "id" : "5b3f9b64e4b0dfaf321a6336",
30776.               "name" : "create_process_full_path",
30777.               "type" : "STRING",
30778.               "byDefault" : false,
30779.               "sequence" : 14
30780.             }, {
30781.               "id" : "5b3f9b64e4b0dfaf321a6337",
30782.               "name" : "modify_process_pid",
30783.               "type" : "NUMBER",
30784.               "byDefault" : false,
30785.               "sequence" : 15
30786.             }, {
30787.               "id" : "5b3f9b64e4b0dfaf321a6338",
30788.               "name" : "modify_process_sha256",
30789.               "type" : "STRING",
30790.               "byDefault" : false,
30791.               "sequence" : 16
30792.             }, {
30793.               "id" : "5b3f9b64e4b0dfaf321a6339",
30794.               "name" : "modify_process_full_path",
30795.               "type" : "STRING",
30796.               "byDefault" : false,
30797.               "sequence" : 17
30798.             }, {
30799.               "id" : "5b3f9b64e4b0dfaf321a633a",
30800.               "name" : "delete_process_pid",
30801.               "type" : "NUMBER",
30802.               "byDefault" : false,
30803.               "sequence" : 18
30804.             }, {
30805.               "id" : "5b3f9b64e4b0dfaf321a633b",
30806.               "name" : "delete_process_sha256",
30807.               "type" : "STRING",
30808.               "byDefault" : false,
30809.               "sequence" : 19
30810.             }, {
30811.               "id" : "5b3f9b64e4b0dfaf321a633c",
30812.               "name" : "delete_process_full_path",
30813.               "type" : "STRING",
30814.               "byDefault" : false,
30815.               "sequence" : 20
30816.             }, {
30817.               "id" : "5b3f9b64e4b0dfaf321a633d",
30818.               "name" : "create_user_domain",
30819.               "type" : "STRING",
30820.               "byDefault" : false,
30821.               "sequence" : 21
30822.             }, {
30823.               "id" : "5b3f9b64e4b0dfaf321a633e",
30824.               "name" : "create_user_name",
30825.               "type" : "STRING",
30826.               "byDefault" : false,
30827.               "sequence" : 22
30828.             }, {
30829.               "id" : "5b3f9b64e4b0dfaf321a633f",
30830.               "name" : "create_user_id",
30831.               "type" : "STRING",
30832.               "byDefault" : false,
30833.               "sequence" : 23
30834.             }, {
30835.               "id" : "5b3f9b64e4b0dfaf321a6340",
30836.               "name" : "modify_user_domain",
30837.               "type" : "STRING",
30838.               "byDefault" : false,
30839.               "sequence" : 24
30840.             }, {
30841.               "id" : "5b3f9b64e4b0dfaf321a6341",
30842.               "name" : "modify_user_name",
30843.               "type" : "STRING",
30844.               "byDefault" : false,
30845.               "sequence" : 25
30846.             }, {
30847.               "id" : "5b3f9b64e4b0dfaf321a6342",
30848.               "name" : "modify_user_id",
30849.               "type" : "STRING",
30850.               "byDefault" : false,
30851.               "sequence" : 26
30852.             }, {
30853.               "id" : "5b3f9b64e4b0dfaf321a6343",
30854.               "name" : "delete_user_domain",
30855.               "type" : "STRING",
30856.               "byDefault" : false,
30857.               "sequence" : 27
30858.             }, {
30859.               "id" : "5b3f9b64e4b0dfaf321a6344",
30860.               "name" : "delete_user_name",
30861.               "type" : "STRING",
30862.               "byDefault" : false,
30863.               "sequence" : 28
30864.             }, {
30865.               "id" : "5b3f9b64e4b0dfaf321a6345",
30866.               "name" : "delete_user_id",
30867.               "type" : "STRING",
30868.               "byDefault" : false,
30869.               "sequence" : 29
30870.             } ]
30871.           }
30872.         }, {
30873.           "output" : {
30874.             "id" : "58efec8ee4b0c390d69a8e89",
30875.             "name" : "dst_ip",
30876.             "type" : "IPV4IPV6",
30877.             "byDefault" : true,
30878.             "sequence" : 5
30879.           },
30880.           "operator" : "EQUALS",
30881.           "value" : "192.168.1.0/24",
30882.           "negated" : true,
30883.           "collector" : {
30884.             "catalogVersion" : 230233,
30885.             "dbVersion" : 2,
30886.             "id" : "58efec8ee4b0c390d69a8e97",
30887.             "name" : "NetworkFlow",
30888.             "description" : "Shows the network flow",
30889.             "type" : "BUILTIN",
30890.             "contents" : [ {
30891.               "platform" : {
30892.                 "catalogVersion" : 230233,
30893.                 "dbVersion" : 2,
30894.                 "id" : "58efec8ee4b0c390d69a8e0f",
30895.                 "name" : "linux",
30896.                 "topic" : "/mcafee/mar/agent/query/linux",
30897.                 "enabled" : true
30898.               },
30899.               "capability" : {
30900.                 "catalogVersion" : 230233,
30901.                 "dbVersion" : 2,
30902.                 "id" : "58efec8ee4b0c390d69a8e1f",
30903.                 "name" : "NetworkFlow",
30904.                 "description" : "Gets flow information",
30905.                 "module" : "NetworkFlow",
30906.                 "function" : "FindFlow",
30907.                 "contentEnabled" : false,
30908.                 "arguments" : [ ],
30909.                 "outputs" : [ ],
30910.                 "formatArgs" : { },
30911.                 "format" : "BIN",
30912.                 "platforms" : [ {
30913.                   "catalogVersion" : 230233,
30914.                   "dbVersion" : 2,
30915.                   "id" : "58efec8ee4b0c390d69a8e0e",
30916.                   "name" : "windows",
30917.                   "topic" : "/mcafee/mar/agent/query/windows",
30918.                   "enabled" : true
30919.                 }, {
30920.                   "catalogVersion" : 230233,
30921.                   "dbVersion" : 2,
30922.                   "id" : "58efec8ee4b0c390d69a8e0f",
30923.                   "name" : "linux",
30924.                   "topic" : "/mcafee/mar/agent/query/linux",
30925.                   "enabled" : true
30926.                 }, {
30927.                   "catalogVersion" : 230233,
30928.                   "dbVersion" : 2,
30929.                   "id" : "5a1a45c9e4b0401274ab7141",
30930.                   "name" : "macos",
30931.                   "topic" : "/mcafee/mar/agent/query/macos",
30932.                   "enabled" : true
30933.                 } ],
30934.                 "platformSettings" : [ {
30935.                   "platform" : {
30936.                     "catalogVersion" : 230233,
30937.                     "dbVersion" : 2,
30938.                     "id" : "58efec8ee4b0c390d69a8e0e",
30939.                     "name" : "windows",
30940.                     "topic" : "/mcafee/mar/agent/query/windows",
30941.                     "enabled" : true
30942.                   },
30943.                   "utf8Sensitive" : false
30944.                 }, {
30945.                   "platform" : {
30946.                     "catalogVersion" : 230233,
30947.                     "dbVersion" : 2,
30948.                     "id" : "58efec8ee4b0c390d69a8e0f",
30949.                     "name" : "linux",
30950.                     "topic" : "/mcafee/mar/agent/query/linux",
30951.                     "enabled" : true
30952.                   },
30953.                   "utf8Sensitive" : false
30954.                 }, {
30955.                   "platform" : {
30956.                     "catalogVersion" : 230233,
30957.                     "dbVersion" : 2,
30958.                     "id" : "5a1a45c9e4b0401274ab7141",
30959.                     "name" : "macos",
30960.                     "topic" : "/mcafee/mar/agent/query/macos",
30961.                     "enabled" : true
30962.                   },
30963.                   "utf8Sensitive" : false
30964.                 } ],
30965.                 "itemType" : "BUILTIN",
30966.                 "catalogItems" : [ "COLLECTOR" ]
30967.               },
30968.               "content" : null,
30969.               "arguments" : [ ],
30970.               "utf8Sensitive" : false
30971.             }, {
30972.               "platform" : {
30973.                 "catalogVersion" : 230233,
30974.                 "dbVersion" : 2,
30975.                 "id" : "58efec8ee4b0c390d69a8e0e",
30976.                 "name" : "windows",
30977.                 "topic" : "/mcafee/mar/agent/query/windows",
30978.                 "enabled" : true
30979.               },
30980.               "capability" : {
30981.                 "catalogVersion" : 230233,
30982.                 "dbVersion" : 2,
30983.                 "id" : "58efec8ee4b0c390d69a8e1f",
30984.                 "name" : "NetworkFlow",
30985.                 "description" : "Gets flow information",
30986.                 "module" : "NetworkFlow",
30987.                 "function" : "FindFlow",
30988.                 "contentEnabled" : false,
30989.                 "arguments" : [ ],
30990.                 "outputs" : [ ],
30991.                 "formatArgs" : { },
30992.                 "format" : "BIN",
30993.                 "platforms" : [ {
30994.                   "catalogVersion" : 230233,
30995.                   "dbVersion" : 2,
30996.                   "id" : "58efec8ee4b0c390d69a8e0e",
30997.                   "name" : "windows",
30998.                   "topic" : "/mcafee/mar/agent/query/windows",
30999.                   "enabled" : true
31000.                 }, {
31001.                   "catalogVersion" : 230233,
31002.                   "dbVersion" : 2,
31003.                   "id" : "58efec8ee4b0c390d69a8e0f",
31004.                   "name" : "linux",
31005.                   "topic" : "/mcafee/mar/agent/query/linux",
31006.                   "enabled" : true
31007.                 }, {
31008.                   "catalogVersion" : 230233,
31009.                   "dbVersion" : 2,
31010.                   "id" : "5a1a45c9e4b0401274ab7141",
31011.                   "name" : "macos",
31012.                   "topic" : "/mcafee/mar/agent/query/macos",
31013.                   "enabled" : true
31014.                 } ],
31015.                 "platformSettings" : [ {
31016.                   "platform" : {
31017.                     "catalogVersion" : 230233,
31018.                     "dbVersion" : 2,
31019.                     "id" : "58efec8ee4b0c390d69a8e0e",
31020.                     "name" : "windows",
31021.                     "topic" : "/mcafee/mar/agent/query/windows",
31022.                     "enabled" : true
31023.                   },
31024.                   "utf8Sensitive" : false
31025.                 }, {
31026.                   "platform" : {
31027.                     "catalogVersion" : 230233,
31028.                     "dbVersion" : 2,
31029.                     "id" : "58efec8ee4b0c390d69a8e0f",
31030.                     "name" : "linux",
31031.                     "topic" : "/mcafee/mar/agent/query/linux",
31032.                     "enabled" : true
31033.                   },
31034.                   "utf8Sensitive" : false
31035.                 }, {
31036.                   "platform" : {
31037.                     "catalogVersion" : 230233,
31038.                     "dbVersion" : 2,
31039.                     "id" : "5a1a45c9e4b0401274ab7141",
31040.                     "name" : "macos",
31041.                     "topic" : "/mcafee/mar/agent/query/macos",
31042.                     "enabled" : true
31043.                   },
31044.                   "utf8Sensitive" : false
31045.                 } ],
31046.                 "itemType" : "BUILTIN",
31047.                 "catalogItems" : [ "COLLECTOR" ]
31048.               },
31049.               "content" : null,
31050.               "arguments" : [ ],
31051.               "utf8Sensitive" : false
31052.             }, {
31053.               "platform" : {
31054.                 "catalogVersion" : 230233,
31055.                 "dbVersion" : 2,
31056.                 "id" : "5a1a45c9e4b0401274ab7141",
31057.                 "name" : "macos",
31058.                 "topic" : "/mcafee/mar/agent/query/macos",
31059.                 "enabled" : true
31060.               },
31061.               "capability" : {
31062.                 "catalogVersion" : 230233,
31063.                 "dbVersion" : 2,
31064.                 "id" : "58efec8ee4b0c390d69a8e1f",
31065.                 "name" : "NetworkFlow",
31066.                 "description" : "Gets flow information",
31067.                 "module" : "NetworkFlow",
31068.                 "function" : "FindFlow",
31069.                 "contentEnabled" : false,
31070.                 "arguments" : [ ],
31071.                 "outputs" : [ ],
31072.                 "formatArgs" : { },
31073.                 "format" : "BIN",
31074.                 "platforms" : [ {
31075.                   "catalogVersion" : 230233,
31076.                   "dbVersion" : 2,
31077.                   "id" : "58efec8ee4b0c390d69a8e0e",
31078.                   "name" : "windows",
31079.                   "topic" : "/mcafee/mar/agent/query/windows",
31080.                   "enabled" : true
31081.                 }, {
31082.                   "catalogVersion" : 230233,
31083.                   "dbVersion" : 2,
31084.                   "id" : "58efec8ee4b0c390d69a8e0f",
31085.                   "name" : "linux",
31086.                   "topic" : "/mcafee/mar/agent/query/linux",
31087.                   "enabled" : true
31088.                 }, {
31089.                   "catalogVersion" : 230233,
31090.                   "dbVersion" : 2,
31091.                   "id" : "5a1a45c9e4b0401274ab7141",
31092.                   "name" : "macos",
31093.                   "topic" : "/mcafee/mar/agent/query/macos",
31094.                   "enabled" : true
31095.                 } ],
31096.                 "platformSettings" : [ {
31097.                   "platform" : {
31098.                     "catalogVersion" : 230233,
31099.                     "dbVersion" : 2,
31100.                     "id" : "58efec8ee4b0c390d69a8e0e",
31101.                     "name" : "windows",
31102.                     "topic" : "/mcafee/mar/agent/query/windows",
31103.                     "enabled" : true
31104.                   },
31105.                   "utf8Sensitive" : false
31106.                 }, {
31107.                   "platform" : {
31108.                     "catalogVersion" : 230233,
31109.                     "dbVersion" : 2,
31110.                     "id" : "58efec8ee4b0c390d69a8e0f",
31111.                     "name" : "linux",
31112.                     "topic" : "/mcafee/mar/agent/query/linux",
31113.                     "enabled" : true
31114.                   },
31115.                   "utf8Sensitive" : false
31116.                 }, {
31117.                   "platform" : {
31118.                     "catalogVersion" : 230233,
31119.                     "dbVersion" : 2,
31120.                     "id" : "5a1a45c9e4b0401274ab7141",
31121.                     "name" : "macos",
31122.                     "topic" : "/mcafee/mar/agent/query/macos",
31123.                     "enabled" : true
31124.                   },
31125.                   "utf8Sensitive" : false
31126.                 } ],
31127.                 "itemType" : "BUILTIN",
31128.                 "catalogItems" : [ "COLLECTOR" ]
31129.               },
31130.               "content" : null,
31131.               "arguments" : [ ],
31132.               "utf8Sensitive" : false
31133.             } ],
31134.             "timeout" : 60,
31135.             "outputs" : [ {
31136.               "id" : "58efec8ee4b0c390d69a8e85",
31137.               "name" : "time",
31138.               "type" : "DATE",
31139.               "byDefault" : true,
31140.               "sequence" : 1
31141.             }, {
31142.               "id" : "58efec8ee4b0c390d69a8e86",
31143.               "name" : "direction",
31144.               "type" : "STRING",
31145.               "byDefault" : true,
31146.               "sequence" : 2
31147.             }, {
31148.               "id" : "58efec8ee4b0c390d69a8e87",
31149.               "name" : "src_ip",
31150.               "type" : "IPV4IPV6",
31151.               "byDefault" : true,
31152.               "sequence" : 3
31153.             }, {
31154.               "id" : "58efec8ee4b0c390d69a8e88",
31155.               "name" : "src_port",
31156.               "type" : "NUMBER",
31157.               "byDefault" : true,
31158.               "sequence" : 4
31159.             }, {
31160.               "id" : "58efec8ee4b0c390d69a8e89",
31161.               "name" : "dst_ip",
31162.               "type" : "IPV4IPV6",
31163.               "byDefault" : true,
31164.               "sequence" : 5
31165.             }, {
31166.               "id" : "58efec8ee4b0c390d69a8e8a",
31167.               "name" : "dst_port",
31168.               "type" : "NUMBER",
31169.               "byDefault" : true,
31170.               "sequence" : 6
31171.             }, {
31172.               "id" : "58efec8ee4b0c390d69a8e8b",
31173.               "name" : "status",
31174.               "type" : "STRING",
31175.               "byDefault" : true,
31176.               "sequence" : 7
31177.             }, {
31178.               "id" : "58efec8ee4b0c390d69a8e8c",
31179.               "name" : "proto",
31180.               "type" : "STRING",
31181.               "byDefault" : true,
31182.               "sequence" : 8
31183.             }, {
31184.               "id" : "58efec8ee4b0c390d69a8e8d",
31185.               "name" : "ip_class",
31186.               "type" : "NUMBER",
31187.               "byDefault" : false,
31188.               "sequence" : 9
31189.             }, {
31190.               "id" : "58efec8ee4b0c390d69a8e8e",
31191.               "name" : "seq_number",
31192.               "type" : "NUMBER",
31193.               "byDefault" : false,
31194.               "sequence" : 10
31195.             }, {
31196.               "id" : "58efec8ee4b0c390d69a8e8f",
31197.               "name" : "src_mac",
31198.               "type" : "STRING",
31199.               "byDefault" : false,
31200.               "sequence" : 11
31201.             }, {
31202.               "id" : "58efec8ee4b0c390d69a8e90",
31203.               "name" : "dst_mac",
31204.               "type" : "STRING",
31205.               "byDefault" : false,
31206.               "sequence" : 12
31207.             }, {
31208.               "id" : "58efec8ee4b0c390d69a8e91",
31209.               "name" : "process",
31210.               "type" : "STRING",
31211.               "byDefault" : true,
31212.               "sequence" : 13
31213.             }, {
31214.               "id" : "58efec8ee4b0c390d69a8e92",
31215.               "name" : "process_id",
31216.               "type" : "NUMBER",
31217.               "byDefault" : false,
31218.               "sequence" : 14
31219.             }, {
31220.               "id" : "58efec8ee4b0c390d69a8e93",
31221.               "name" : "md5",
31222.               "type" : "STRING",
31223.               "byDefault" : false,
31224.               "sequence" : 15
31225.             }, {
31226.               "id" : "58efec8ee4b0c390d69a8e94",
31227.               "name" : "sha1",
31228.               "type" : "STRING",
31229.               "byDefault" : false,
31230.               "sequence" : 16
31231.             }, {
31232.               "id" : "58efec8ee4b0c390d69a8e95",
31233.               "name" : "user",
31234.               "type" : "STRING",
31235.               "byDefault" : true,
31236.               "sequence" : 17
31237.             }, {
31238.               "id" : "58efec8ee4b0c390d69a8e96",
31239.               "name" : "user_id",
31240.               "type" : "STRING",
31241.               "byDefault" : false,
31242.               "sequence" : 18
31243.             }, {
31244.               "id" : "5a1a45cbe4b0401274ab7191",
31245.               "name" : "sha256",
31246.               "type" : "STRING",
31247.               "byDefault" : false,
31248.               "sequence" : 19
31249.             } ]
31250.           }
31251.         } ]
31252.       } ]
31253.     },
31254.     "running" : false,
31255.     "createdAt" : 1530900630445,
31256.     "executedAt" : null,
31257.     "status" : "CREATED",
31258.     "ttl" : 60000,
31259.     "startTime" : null,
31260.     "endpointPermission" : null,
31261.     "maGuidsTarget" : null,
31262.     "expectedHostResponses" : 0
31263.   },
31264.   "type" : "com.intel.mar.model.search.Search"
31265. } ]