Symantec ATP

Integrationsversion: 9.0

Symantec ATP für die Verwendung mit Google Security Operations konfigurieren

So generieren Sie einen OAuth-Client:

  1. Rufen Sie in Symantec ATP Manager die Einstellungen und dann Data Sharing (Datenfreigabe) auf.
  2. Klicken Sie im Bereich „OAuth-Clients“ auf Anwendung hinzufügen.
  3. Geben Sie den Namen der Anwendung, die Sie registrieren möchten, in das Feld „App Name“ (App-Name) ein und wählen Sie dann die API-Version aus, die Sie verwenden möchten (die Standardeinstellung ist Version 2).
  4. Wenn Sie die Aktivierung von APIs der Version 2 auswählen, wird die Option Rolle angezeigt. Wählen Sie im Drop-down-Menü die Nutzerrolle für die App aus.
  5. Klicken Sie auf Erstellen.
  6. Die Client-ID und der Clientschlüssel werden angezeigt.
  7. Klicken Sie auf Fertig.

Symantec ATP-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Kommentar zu Vorfall hinzufügen

Beschreibung

Fügen Sie einem Vorfall einen Kommentar hinzu.

  1. Klicken Sie bei dem Vorfall, zu dem Sie einen Kommentar abgeben möchten, auf das Feld Kommentare.
  2. Geben Sie Ihren Kommentar in das Feld „Neuer Kommentar“ ein. Erweiterte ASCII-Zeichen werden im CSV-Format nicht richtig gerendert.
  3. Klicken Sie auf Kommentare hinzufügen.

Parameter

Parameter Typ Standardwert Beschreibung
Vorfall-UUID String
Kommentar String

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_added Wahr/falsch is_added:False
JSON-Ergebnis
N/A

Zur Sperrliste hinzufügen

Beschreibung

Erstellen Sie eine Richtlinie für die schwarze Liste für eine Entität. Symantec führt eine globale Blacklist mit externen Computern und Dateien, die regelmäßig aktualisiert und in Symantec Advanced Threat Protection (ATP) integriert wird. Sie können diese Liste ergänzen, indem Sie Blacklist-Richtlinien für externe Computer oder Dateien erstellen, die Sie für nicht vertrauenswürdig halten. Sie können beispielsweise eine Blacklist-Richtlinie für eine Datei erstellen, die kürzlich in Ihren Cybersecurity-Informationen aufgetaucht ist und die Symantec noch nicht als Bedrohung identifiziert hat.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Filehash
  • Hostname
  • IP-Adresse
  • URL

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
  N/A

Zur Zulassungsliste hinzufügen

Beschreibung

Wenn Sie einen externen Computer auf die Whitelist setzen, betrachtet ATP ihn als vertrauenswürdig und untersucht den Traffic zu oder von ihm von Ihren Endpunkten aus nicht (auch wenn er auf der Blacklist steht). Sie können einen externen Computer anhand seiner IP-Adresse, seines Subnetzes, seiner Domain oder seiner URL auf die Zulassungsliste setzen.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Filehash
  • Hostname
  • IP-Adresse
  • URL

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Vorfall schließen

Beschreibung

Ändern Sie den Vorfallstatus in „Geschlossen“. Das Ergebnis des Vorfalls muss angegeben werden, damit er geschlossen werden kann.

Parameter

Parameter Typ Standardwert Beschreibung
Vorfall-UUID String

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_closed Wahr/falsch is_closed:False
JSON-Ergebnis
N/A

Datei löschen

Beschreibung

Wenn eine Datei in Advanced Threat Protection (ATP) zum Löschen ausgewählt wird, wird sie nicht tatsächlich gelöscht, sondern vom ausgewählten Endpunkt unter Quarantäne gestellt.

Parameter

Parameter Typ Standardwert Beschreibung
Filehash String Der Hash der zu löschenden Datei.

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Filehash
  • Hostname

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
command_ids
JSON-Ergebnis
N/A

Zulassungslistenrichtlinie löschen

Beschreibung

Löschen Sie eine Whitelist-Richtlinie für eine Entität.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Filehash anreichern

Beschreibung

Eine Datei-Hash-Entität anreichern

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
max_file_health
JSON-Ergebnis
N/A

Ereignisse für Entität abrufen

Beschreibung

Alle Ereignisse für eine Entität seit einem bestimmten Zeitpunkt abrufen.

Parameter

Parameter Typ Standardwert Beschreibung
Minuten zurück, die abgerufen werden sollen String Rufe das Ereignis x Minuten zurück ab.

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Hostname
  • IP-Adresse

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
events_amount
JSON-Ergebnis
N/A

Get Events Free Query

Beschreibung

Ereignisse mit einer freien Abfrage abrufen.

Parameter

Parameter Typ Standardwert Beschreibung
Abfrage String Freier Abfragetext.
Limit String Limit für Abfrageergebnisse.

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
events_amount
JSON-Ergebnis
N/A

Status von Sandbox-Befehlen abrufen

Beschreibung

Befehlsstatus anhand der ID abrufen.

Parameter

Parameter Typ Standardwert Beschreibung
Befehls-IDs String Die Befehls-ID, für die der Status abgerufen werden soll.

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Endpunkt isolieren

Beschreibung

Um Endpunkte von ATP Manager zu isolieren, sind eine Firewallrichtlinie für die Quarantäne und eine Richtlinie für die Hostintegrität in Symantec Endpoint Protection Manager erforderlich.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Hostname
  • IP-Adresse

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
command_ids
JSON-Ergebnis
N/A

Ping

Beschreibung

Prüft, ob der Nutzer über das Gerät des Nutzers eine Verbindung zu Symantec ATP hat.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Endpunkte für erneuten Beitritt

Beschreibung

Um Endpunkte über ATP Manager wieder einzubinden, sind eine Firewallrichtlinie für die Quarantäne und eine Richtlinie zur Hostintegrität in Symantec Endpoint Protection Manager erforderlich.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Hostname
  • IP-Adresse

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
command_ids
JSON-Ergebnis
N/A

Von der Sperrliste entfernen

Beschreibung

Löschen Sie eine Sperrlistenrichtlinie für eine bestimmte Entität.

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Dateien an die Sandbox senden

Beschreibung

Dateihashes an die Sandbox senden

Parameter

Anwendungsfälle

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
command_ids
JSON-Ergebnis
N/A

Kommentare zu Vorfällen abrufen

Beschreibung

Kommentare zum Vorfall abrufen

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Vorfall-UUID String Wahr Geben Sie die UUID des Vorfalls an.
Maximale Anzahl zurückzugebender Kommentare Ganzzahl 20 Falsch

Geben Sie an, wie viele Kommentare zurückgegeben werden sollen.

Maximal 1.000 Kommentare. Dies ist eine Einschränkung von Symantec ATP.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
    "result": [
        {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }
    ],
    "total": 3
}

{
    "entity": "{Incident UUID} comments"
    "Entity Results": [
"1": {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"2" : {
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"3":
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }

]

           ],
    "total": 3
}

Behebung des Vorfalls aktualisieren

Beschreibung

Aktualisieren Sie die Lösung des Vorfalls.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Vorfall-UUID String Wahr Geben Sie die UUID des Vorfalls an.
Lösungsstatus DDL

NICHT AUSREICHENDE DATEN

Mögliche Werte:

NICHT AUSREICHENDE DATEN

SICHERHEITSRISIKO

FALSCH POSITIV

EXTERN VERWALTET

NICHT FESTGELEGT

BENIGN

TEST

 Wahr Geben Sie an, welcher Lösungsstatus für den Vorfall festgelegt werden soll.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Sperrlistenrichtlinie löschen

Beschreibung

Löschen Sie eine Sperrlistenrichtlinie für eine Google SecOps-Entität.

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Connectors

Symantec ATP – Incidents Connector

Connector-Berechtigungen

Damit der Connector funktioniert, benötigen Sie die folgenden Berechtigungen für Ihr API-Token:

  • atp_view_incidents

Symantec ATP – Incidents Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Produktname Wahr Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds String AlertName Wahr Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds String "" Falsch

Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung String .* Falsch

Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird.

Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben.

Ermöglicht es dem Nutzer, das Feld „Umgebung“ über Regex-Logik zu bearbeiten.

Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden) Ganzzahl 180 Wahr Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm String https://x.x.x.x:port Wahr API-Stammverzeichnis des Symantec ATP-Servers.
Client-ID Passwort Wahr Symantec ATP-Client-ID
Clientschlüssel Passwort Wahr Symantec ATP-Clientschlüssel
Filter für Priorität CSV Niedrig, Mittel, Hoch Wahr

Prioritätsfilter für die Vorfälle.

Wenn Sie alle Vorfälle erfassen möchten, geben Sie Folgendes an:
Low,Medium,High.
Maximale Stunden rückwärts abrufen Ganzzahl 1 Falsch

Anzahl der Stunden, ab denen Vorfälle abgerufen werden sollen.

Beschränkung: 30 Tage. Dies ist eine Einschränkung von Symantec ATP.
Maximale Anzahl abzurufender Vorfälle Ganzzahl 25 Falsch

Die Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen.

Max.: 1.000
Zulassungsliste als Sperrliste verwenden Boolesch Deaktiviert Wahr Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
Use SSL (SSL verwenden) Boolesch Aktiviert Wahr Option zum Aktivieren der SSL/TLS-Verbindung
Proxyserveradresse String Falsch Die Adresse des zu verwendenden Proxyservers
Proxy-Nutzername String Falsch Der Proxy-Nutzername für die Authentifizierung
Proxy-Passwort Passwort Falsch Das Proxy-Passwort für die Authentifizierung

Connector-Regeln

Proxyunterstützung.

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten