Symantec ATP
統合バージョン: 9.0
Google Security Operations と連携するように Symantec ATP を構成する
OAuth クライアントを生成するには:
- Symantec ATP Manager で、[Settings]、[Data Sharing] の順に移動します。
- [OAuth クライアント] セクションで [アプリケーションを追加] をクリックします。
- [App Name](アプリ名)フィールドに登録するアプリケーションの名前を入力し、使用する API バージョンを選択します(デフォルト設定はバージョン 2 です)。
- バージョン 2 の API を有効にするように選択すると、[ロール] オプションが表示されます。プルダウン メニューからアプリのユーザーロールを選択します。
- [生成] をクリックします。
- クライアント ID とクライアント シークレットが表示されます。
- [完了] をクリックします。
Google SecOps で Symantec ATP 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
インシデントにコメントを追加
説明
インシデントにコメントを添付します。
- コメントを追加するインシデントの [コメント] フィールドをクリックします。
- [新しいコメント] ボックスにコメントを入力します。拡張 ASCII 文字は .csv 形式で正しくレンダリングされません。
- [コメントを追加] をクリックします。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| インシデント UUID | 文字列 | なし | なし |
| コメント | 文字列 | なし | なし |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_added | True/False | is_added:False |
JSON の結果
N/A
拒否リストに追加
説明
エンティティのブラックリスト ポリシーを作成します。シマンテックは、外部のコンピュータとファイルのブラックリストを世界中で維持しており、定期的に更新され、Symantec Advanced Threat Protection(ATP)と統合されています。このリストは、外部のパソコンや信頼できないと判断したファイルに対するブラックリスト ポリシーを作成することで補完できます。たとえば、Symantec がまだ脅威として特定していない、サイバーセキュリティ インテリジェンスに最近表示されたファイルに対して、ブラックリスト ポリシーを作成できます。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- Filehash
- ホスト名
- IP アドレス
- URL
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
許可リストに追加
説明
外部コンピュータをホワイトリストに登録すると、ATP はそのコンピュータを信頼できるとみなし、エンドポイントとの間のトラフィックを検査しません(ブラックリストに登録されている場合でも)。外部のパソコンは、IP アドレス、サブネット、ドメイン、URL に基づいてホワイトリストに登録できます。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- Filehash
- ホスト名
- IP アドレス
- URL
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
インシデントをクローズする
説明
インシデントのステータスを [Closed] に変更します。インシデントをクローズするには、インシデントの結果を指定する必要があります。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| インシデント UUID | 文字列 | なし | なし |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_closed | True/False | is_closed:False |
JSON の結果
N/A
ファイルを削除
説明
高度な脅威対策(ATP)で削除対象としてファイルが選択されても、実際には削除されず、選択されたエンドポイントによって隔離されます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Filehash | 文字列 | なし | 削除するファイルハッシュ。 |
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- Filehash
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| command_ids | なし | なし |
JSON の結果
N/A
ホワイトリスト ポリシーを削除する
説明
エンティティのホワイトリスト ポリシーを削除します。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ファイルハッシュを拡充する
説明
ファイル ハッシュ エンティティを拡充します。
パラメータ
なし
ユースケース
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| max_file_health | なし | なし |
JSON の結果
N/A
エンティティのイベントを取得する
説明
指定した時間以降のエンティティのすべてのイベントを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 取得に戻るまでの時間(分) | 文字列 | なし | x 分前のイベントを取得します。 |
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| events_amount | なし | なし |
JSON の結果
N/A
Get Events Free Query
説明
無料クエリでイベントを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| クエリ | 文字列 | なし | 自由形式のクエリテキスト。 |
| 上限 | 文字列 | なし | クエリ結果の制限。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| events_amount | なし | なし |
JSON の結果
N/A
サンドボックス コマンドのステータスを取得する
説明
ID でコマンドのステータスを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| コマンド ID | 文字列 | なし | ステータスを取得するコマンド ID。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンドポイントを隔離する
説明
エンドポイントを ATP Manager から隔離するには、Symantec Endpoint Protection Manager の検疫ファイアウォール ポリシーとホストの完全性ポリシーが必要です。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| command_ids | なし | なし |
JSON の結果
N/A
Ping
説明
ユーザーのデバイスを介して Symantec ATP に接続していることを確認します。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンドポイントの再参加
説明
ATP Manager からエンドポイントを再結合するには、Symantec Endpoint Protection Manager の検疫ファイアウォール ポリシーとホストの完全性ポリシーが必要です。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| command_ids | なし | なし |
JSON の結果
N/A
拒否リストから取り消し
説明
特定のエンティティのブラックリスト ポリシーを削除します。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ファイルをサンドボックスに送信する
説明
ファイル ハッシュをサンドボックスに送信します。
パラメータ
なし
ユースケース
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| command_ids | なし | なし |
JSON の結果
N/A
インシデントのコメントを取得する
説明
インシデントに関連するコメントを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント UUID | 文字列 | なし | 正しい | インシデントの UUID を指定します。 |
| 返されるコメントの最大数 | Integer | 20 | 誤り | 返すコメントの数を指定します。 最大 1,000 件のコメント。これは Symantec ATP の制限です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
インシデントの解決を更新する
説明
インシデントの解決策を更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント UUID | 文字列 | なし | 正しい | インシデントの UUID を指定します。 |
| 解決ステータス | DDL | データが不足しています 値は次のいずれかです。 データが不足しています セキュリティ リスク FALSE POSITIVE 外部で管理 NOT SET BENIGN テスト |
正しい | インシデントに設定する解決ステータスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ブラックリスト ポリシーを削除する
説明
Google SecOps エンティティのブラックリスト ポリシーを削除します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
コネクタ
Symantec ATP - Incidents Connector
コネクタの権限
コネクタが機能するには、API トークンに次の権限が必要です。
- atp_view_incidents
Google SecOps で Symantec ATP - Incidents Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | 正しい | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | AlertName | 正しい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | 誤り | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | 誤り | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | 正しい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://x.x.x.x:port | 正しい | Symantec ATP サーバーの API ルート。 |
| クライアント ID | パスワード | なし | 正しい | Symantec ATP クライアント ID |
| クライアント シークレット | パスワード | 正しい | Symantec ATP クライアント シークレット | |
| 優先度フィルタ | CSV | 低、中、高 | 正しい | インシデントの優先度フィルタ。 すべてのインシデントを取り込む場合は、 |
| 遡る取得の最大時間数 | 整数 | 1 | 誤り | インシデントを取得した時点からの経過時間数。 上限: 30 日。これは Symantec ATP の制限です。 |
| 取得する最大インシデント数 | Integer | 25 | 誤り | 1 回のコネクタのイテレーションで処理するインシデントの数。 最大値: 1000。 |
| 許可リストを拒否リストとして使用 | ブール値 | オフ | 正しい | 有効にすると、許可リストが拒否リストとして使用されます。 |
| Use SSL | ブール値 | オン | 正しい | SSL/TLS 接続を有効にするオプション |
| プロキシ サーバーのアドレス | 文字列 | 誤り | 使用するプロキシ サーバーのアドレス | |
| プロキシのユーザー名 | 文字列 | 誤り | 認証に使用するプロキシのユーザー名 | |
| プロキシ パスワード | パスワード | 誤り | 認証に使用するプロキシ パスワード |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。