Symantec ATP
Versão da integração: 9.0
Configure o Symantec ATP para funcionar com o Google Security Operations
Para gerar um cliente OAuth:
- No Symantec ATP Manager, navegue para Definições e, de seguida, para Partilha de dados.
- Clique em Adicionar aplicação na secção Clientes OAuth.
- Introduza o nome da aplicação que pretende registar no campo Nome da app e, em seguida, selecione a versão da API que vai usar (a predefinição é a versão 2).
- Se selecionar a ativação das APIs da versão 2, é apresentada uma opção Função. Selecione a função do utilizador para a app no menu pendente.
- Clique em Gerar.
- O ID de cliente e o segredo do cliente são apresentados.
- Clique em Concluído.
Configure a integração do Symantec ATP no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Adicionar comentário ao incidente
Descrição
Anexe um comentário a um incidente.
- Para o incidente no qual quer fazer um comentário, clique no campo Comentários.
- Escreva o seu comentário na caixa Novo comentário. Os carateres ASCII expandidos não são renderizados corretamente no formato .csv.
- Clique em Adicionar comentários.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| UUID do incidente | String | N/A | N/A |
| Comentário | String | N/A | N/A |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_added | Verdadeiro/Falso | is_added:False |
Resultado JSON
N/A
Adicionar à lista negra
Descrição
Crie uma política de lista negra para uma entidade. A Symantec mantém uma lista negra mundial de computadores e ficheiros externos que é atualizada regularmente e integrada com o Symantec Advanced Threat Protection (ATP). Pode complementar esta lista criando políticas de lista negra para computadores externos ou os ficheiros que considera não fidedignos. Por exemplo, pode querer criar uma política de lista negra para um ficheiro que apareceu recentemente na sua inteligência de cibersegurança e que a Symantec ainda não identificou como uma ameaça.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Filehash
- Nome do anfitrião
- Endereço IP
- URL
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Adicionar à lista de autorizações
Descrição
Quando adiciona um computador externo à lista de autorizações, o ATP considera-o fidedigno e não inspeciona o tráfego de entrada nem de saída dos seus pontos finais (mesmo que esteja na lista negra). Pode adicionar à lista de autorizações um computador externo com base no respetivo endereço IP, sub-rede, domínio ou URL.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Filehash
- Nome do anfitrião
- Endereço IP
- URL
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Feche o incidente
Descrição
Altere o estado do incidente para fechado. Tem de especificar o resultado do incidente para o encerrar.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| UUID do incidente | String | N/A | N/A |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_closed | Verdadeiro/Falso | is_closed:False |
Resultado JSON
N/A
Eliminar ficheiro
Descrição
Quando um ficheiro é selecionado para eliminação na Proteção avançada contra ameaças (ATP), não é eliminado, mas é colocado em quarentena pelo ponto final selecionado.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Filehash | String | N/A | Hash do ficheiro a eliminar. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Filehash
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado JSON
N/A
Elimine a política de lista de autorizações
Descrição
Elimine uma política de lista de autorizações para uma entidade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enrich Filehash
Descrição
Enriqueça uma entidade de hash de ficheiro.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_file_health | N/A | N/A |
Resultado JSON
N/A
Obter eventos para entidade
Descrição
Obter todos os eventos de uma entidade desde uma determinada hora.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Minutos para obter | String | N/A | Obter o evento x minutos antes. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado JSON
N/A
Obtenha consultas de eventos gratuitas
Descrição
Obtenha eventos por consulta gratuita.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Consulta | String | N/A | Texto de consulta livre. |
| Limite | String | N/A | Limite de resultados de consultas. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado JSON
N/A
Obtenha o estado dos comandos do Sandbox
Descrição
Obtenha o estado dos comandos através do ID.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| IDs de comandos | String | N/A | ID do comando para obter o estado. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Isolar ponto final
Descrição
Para isolar pontos finais do ATP Manager, é necessária uma política de firewall de quarentena e uma política de integridade do anfitrião no Symantec Endpoint Protection Manager.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado JSON
N/A
Tchim-tchim
Descrição
Verifica se o utilizador tem uma ligação ao Symantec ATP através do respetivo dispositivo.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Pontos finais de junção
Descrição
Para voltar a juntar os pontos finais do ATP Manager, é necessária uma política de firewall de quarentena e uma política de integridade do anfitrião no Symantec Endpoint Protection Manager.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado JSON
N/A
Revogue da lista negra
Descrição
Elimine uma política de lista negra para uma determinada entidade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Envie ficheiros para a sandbox
Descrição
Enviar hashes de ficheiros para a sandbox.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado JSON
N/A
Receba comentários de incidentes
Descrição
Recuperar comentários relacionados com o incidente.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do incidente | String | N/A | True | Especifique o UUID do incidente. |
| Máximo de comentários a devolver | Número inteiro | 20 | Falso | Especifique o número de comentários a devolver. O máximo é de 1000 comentários. Esta é uma limitação do ATP da Symantec. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Atualizar resolução de incidentes
Descrição
Atualize a resolução do incidente.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do incidente | String | N/A | True | Especifique o UUID do incidente. |
| Estado de resolução | LDD | DADOS INSUFICIENTES Valores possíveis: DADOS INSUFICIENTES RISCO DE SEGURANÇA FALSO POSITIVO GERIDO EXTERNAMENTE NOT SET BENIGN TESTE |
True | Especifique o estado de resolução a definir no incidente. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Elimine a política de lista negra
Descrição
Elimine uma política de lista negra para uma entidade do Google SecOps.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Conetores
Conetor de incidentes do Symantec ATP
Autorizações do conetor
Para que o conector funcione, precisa das seguintes autorizações para o seu token da API:
- atp_view_incidents
Configure o conetor de incidentes do Symantec ATP no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | True | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | AlertName | True | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Falso | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Falso | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | True | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:port | True | Raiz da API do servidor ATP da Symantec. |
| ID do cliente | Palavra-passe | N/A | True | ID de cliente do FTA da Symantec |
| Segredo do cliente | Palavra-passe | True | Segredo do cliente do ATP da Symantec | |
| Filtro de prioridade | CSV | Baixa, média e alta | True | Filtro de prioridade para os incidentes. Se quiser carregar todos os incidentes, especifique: |
| Fetch Max Hours Backwards | Número inteiro | 1 | Falso | Número de horas a partir das quais obter incidentes. Limite: 30 dias. Esta é uma limitação do ATP da Symantec. |
| Máximo de incidentes a obter | Número inteiro | 25 | Falso | O número de incidentes a processar por iteração de um conetor. Máximo: 1000. |
| Use a lista de autorizações como uma lista negra | Booleano | Desmarcado | True | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Usar SSL | Booleano | Marcado | True | Opção para ativar a ligação SSL/TLS |
| Endereço do servidor proxy | String | Falso | O endereço do servidor proxy a usar | |
| Nome de utilizador do proxy | String | Falso | O nome de utilizador do proxy para autenticação | |
| Palavra-passe do proxy | Palavra-passe | Falso | A palavra-passe do proxy para autenticação |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.