Symantec ATP
Versi integrasi: 9.0
Mengonfigurasi Symantec ATP agar dapat berfungsi dengan Google Security Operations
Untuk membuat klien OAuth:
- Di Symantec ATP Manager, buka Settings, lalu Data Sharing.
- Klik Tambahkan Aplikasi di bagian Klien OAuth.
- Ketik nama aplikasi yang ingin Anda daftarkan di kolom Nama Aplikasi, lalu pilih versi API yang akan Anda gunakan (setelan default adalah versi 2).
- Jika Anda memilih untuk mengaktifkan API versi 2, opsi Peran akan muncul. Pilih peran pengguna untuk aplikasi dari menu drop-down.
- Klik Generate.
- Client ID dan rahasia klien akan muncul.
- Klik Selesai.
Mengonfigurasi integrasi Symantec ATP di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Menambahkan Komentar ke Insiden
Deskripsi
Lampirkan komentar ke insiden.
- Untuk insiden yang ingin Anda komentari, klik kolom Komentar.
- Ketik komentar Anda di kotak Komentar Baru. Karakter ASCII yang diperluas tidak dirender dengan benar dalam format .csv.
- Klik Tambahkan Komentar.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| UUID Insiden | String | T/A | T/A |
| Komentar | String | T/A | T/A |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_added | Benar/Salah | is_added:False |
Hasil JSON
N/A
Tambahkan ke Daftar Ekstensi yang Tidak Diizinkan
Deskripsi
Buat kebijakan daftar hitam untuk entitas. Symantec mengelola daftar hitam di seluruh dunia yang berisi komputer dan file eksternal yang diperbarui secara rutin dan terintegrasi dengan Symantec Advanced Threat Protection (ATP). Anda dapat melengkapi daftar ini dengan membuat kebijakan daftar hitam untuk komputer eksternal atau file yang Anda anggap tidak tepercaya. Misalnya, Anda mungkin ingin membuat kebijakan daftar hitam untuk file yang baru-baru ini muncul dalam intelijen keamanan siber Anda yang belum diidentifikasi oleh Symantec sebagai ancaman.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Filehash
- Hostname
- Alamat IP
- URL
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menambahkan ke Daftar yang Diizinkan
Deskripsi
Saat Anda memasukkan komputer eksternal ke daftar yang diizinkan, ATP menganggapnya tepercaya dan tidak memeriksa traffic ke atau dari komputer tersebut dari endpoint Anda (meskipun komputer tersebut masuk daftar yang diblokir). Anda dapat memasukkan komputer eksternal ke daftar yang diizinkan berdasarkan alamat IP, subnet, domain, atau URL-nya.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Filehash
- Hostname
- Alamat IP
- URL
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Tutup Insiden
Deskripsi
Ubah status insiden menjadi ditutup. Hasil insiden harus ditentukan untuk menutupnya.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| UUID Insiden | String | T/A | T/A |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_closed | Benar/Salah | is_closed:False |
Hasil JSON
N/A
Hapus File
Deskripsi
Saat file dipilih untuk dihapus di Perlindungan dari Ancaman Lanjutan (ATP), file tersebut tidak benar-benar dihapus, tetapi akan dikarantina oleh endpoint yang dipilih.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Filehash | String | T/A | Hash file yang akan dihapus. |
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Filehash
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| command_ids | T/A | T/A |
Hasil JSON
N/A
Menghapus Kebijakan Daftar yang Diizinkan
Deskripsi
Menghapus kebijakan daftar yang diizinkan untuk entitas.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperkaya Filehash
Deskripsi
Memperkaya entitas hash file.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| max_file_health | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Acara untuk Entitas
Deskripsi
Mengambil semua peristiwa untuk entitas sejak waktu.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Menit Kembali untuk Mengambil | String | T/A | Mengambil peristiwa x menit sebelumnya. |
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| events_amount | T/A | T/A |
Hasil JSON
N/A
Kueri Gratis Mendapatkan Peristiwa
Deskripsi
Mengambil peristiwa dengan kueri gratis.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Kueri | String | T/A | Teks kueri bebas. |
| Batas | String | T/A | Batas hasil kueri. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| events_amount | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Status Perintah Sandbox
Deskripsi
Mendapatkan status perintah berdasarkan ID.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Perintah | String | T/A | ID perintah untuk mengambil status. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengisolasi Endpoint
Deskripsi
Untuk mengisolasi endpoint dari ATP Manager, kebijakan firewall karantina dan kebijakan integritas host di Symantec Endpoint Protection Manager diperlukan.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| command_ids | T/A | T/A |
Hasil JSON
N/A
Ping
Deskripsi
Memverifikasi bahwa pengguna memiliki koneksi ke Symantec ATP melalui perangkat pengguna.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Endpoint Bergabung Kembali
Deskripsi
Untuk bergabung kembali ke endpoint dari ATP Manager, kebijakan firewall karantina dan kebijakan integritas host di Symantec Endpoint Protection Manager diperlukan.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| command_ids | T/A | T/A |
Hasil JSON
N/A
Mencabut Dari Daftar Hitam
Deskripsi
Menghapus kebijakan daftar hitam untuk entity tertentu.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengirimkan File ke Sandbox
Deskripsi
Mengirimkan hash file ke sandbox.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| command_ids | T/A | T/A |
Hasil JSON
N/A
Mendapatkan Komentar Insiden
Deskripsi
Ambil komentar yang terkait dengan insiden.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| UUID Insiden | String | T/A | Benar | Tentukan UUID insiden. |
| Jumlah Maksimum Komentar yang Akan Ditampilkan | Bilangan bulat | 20 | Salah | Tentukan jumlah komentar yang akan ditampilkan. Maksimum 1.000 komentar. Ini adalah batasan ATP Symantec. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Memperbarui Penyelesaian Insiden
Deskripsi
Memperbarui penyelesaian insiden.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| UUID Insiden | String | T/A | Benar | Tentukan UUID insiden. |
| Status Resolusi | DDL | DATA TIDAK CUKUP Nilai yang memungkinkan: DATA TIDAK CUKUP RISIKO KEAMANAN POSITIF PALSU DIKELOLA SECARA EKSTERNAL TIDAK DIATUR TIDAK BERBAHAYA UJI COBA |
Benar | Tentukan status penyelesaian yang akan ditetapkan pada insiden. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menghapus Kebijakan Daftar Hitam
Deskripsi
Menghapus kebijakan daftar hitam untuk entity Google SecOps.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Konektor
Konektor Insiden - Symantec ATP
Izin Konektor
Agar konektor berfungsi, Anda memerlukan izin berikut untuk token API Anda:
- atp_view_incidents
Mengonfigurasi Symantec ATP - Incidents Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Benar | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | AlertName | Benar | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Salah | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Salah | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Benar | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://x.x.x.x:port | Benar | Root API server Symantec ATP. |
| ID Klien | Sandi | T/A | Benar | ID Klien ATP Symantec |
| Rahasia Klien | Sandi | Benar | Rahasia Klien Symantec ATP | |
| Filter Prioritas | CSV | Rendah, Sedang, Tinggi | Benar | Filter prioritas untuk insiden. Jika Anda ingin menyerap semua insiden, tentukan: |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Salah | Jumlah jam dari tempat pengambilan insiden. Batas: 30 hari. Ini adalah batasan ATP Symantec. |
| Jumlah Maksimum Insiden yang Akan Diambil | Bilangan bulat | 25 | Salah | Jumlah insiden yang akan diproses per satu iterasi konektor. Maks: 1000. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Boolean | Tidak dicentang | Benar | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Use SSL | Boolean | Dicentang | Benar | Opsi untuk mengaktifkan koneksi SSL/TLS |
| Alamat Server Proxy | String | Salah | Alamat server proxy yang akan digunakan | |
| Nama Pengguna Proxy | String | Salah | Nama pengguna proxy untuk melakukan autentikasi | |
| Sandi Proxy | Sandi | Salah | Sandi proxy untuk mengautentikasi |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.