Symantec ATP
Versão da integração: 9.0
Configurar o Symantec ATP para funcionar com o Google Security Operations
Para gerar um cliente OAuth:
- No Symantec ATP Manager, acesse Configurações e Compartilhamento de dados.
- Clique em Adicionar aplicativo na seção "Clientes OAuth".
- Digite o nome do aplicativo que você quer registrar no campo "Nome do app" e selecione a versão da API que será usada. A configuração padrão é a versão 2.
- Se você selecionar a ativação das APIs da versão 2, uma opção Função vai aparecer. Selecione a função do usuário para o app no menu suspenso.
- Clique em Gerar.
- O ID e a chave secreta do cliente vão aparecer.
- Clique em Concluído.
Configurar a integração do Symantec ATP no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Adicionar comentário ao incidente
Descrição
Anexe um comentário a um incidente.
- Clique no campo Comentários do incidente em que você quer fazer um comentário.
- Digite seu comentário na caixa "Novo comentário". Os caracteres ASCII estendidos não são renderizados corretamente no formato .csv.
- Clique em Adicionar comentários.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| UUID do incidente | String | N/A | N/A |
| Comentário | String | N/A | N/A |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_added | Verdadeiro/Falso | is_added:False |
Resultado do JSON
N/A
Adicionar à lista de proibições
Descrição
Crie uma política de lista de proibições para uma entidade. A Symantec mantém uma lista negra mundial de computadores e arquivos externos que é atualizada regularmente e integrada ao Advanced Threat Protection (ATP) da Symantec. Você pode complementar essa lista criando políticas de lista negra para computadores externos ou arquivos que considerar não confiáveis. Por exemplo, talvez você queira criar uma política de lista negra para um arquivo que apareceu recentemente na sua inteligência de segurança cibernética e que a Symantec ainda não identificou como uma ameaça.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Filehash
- Nome do host
- Endereço IP
- URL
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Adicionar à lista de permissões
Descrição
Quando você adiciona um computador externo à lista de permissões, o ATP o considera confiável e não inspeciona o tráfego de ou para ele dos seus endpoints, mesmo que esteja na lista de bloqueio. É possível colocar um computador externo na lista de permissões com base no endereço IP, na sub-rede, no domínio ou no URL dele.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Filehash
- Nome do host
- Endereço IP
- URL
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Fechar incidente
Descrição
Mude o status do incidente para "Encerrado". O resultado do incidente precisa ser especificado para que ele seja encerrado.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| UUID do incidente | String | N/A | N/A |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_closed | Verdadeiro/Falso | is_closed:False |
Resultado do JSON
N/A
Excluir arquivo
Descrição
Quando um arquivo é selecionado para exclusão na Proteção Avançada Contra Ameaças (ATP, na sigla em inglês), ele não é excluído, mas fica em quarentena no endpoint selecionado.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Filehash | String | N/A | Hash do arquivo a ser excluído. |
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Filehash
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado do JSON
N/A
Excluir política de lista de permissões
Descrição
Exclui uma política de lista de permissões para uma entidade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecer o hash de arquivo
Descrição
Enriquecer uma entidade de hash de arquivo.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_file_health | N/A | N/A |
Resultado do JSON
N/A
Receber eventos da entidade
Descrição
Extrai todos os eventos de uma entidade desde um determinado momento.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Minutos para buscar | String | N/A | Busque o evento x minutos atrás. |
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado do JSON
N/A
Consulta gratuita para receber eventos
Descrição
Extrai eventos por consulta livre.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Consulta | String | N/A | Texto de consulta livre. |
| Limite | String | N/A | Limite de resultados da consulta. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado do JSON
N/A
Receber o status dos comandos do sandbox
Descrição
Recebe o status dos comandos pelo ID.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| IDs de comandos | String | N/A | ID do comando para buscar o status. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Isolar endpoint
Descrição
Para isolar endpoints do ATP Manager, é necessário ter uma política de firewall de quarentena e uma política de integridade do host no Symantec Endpoint Protection Manager.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado do JSON
N/A
Ping
Descrição
Verifica se o usuário tem uma conexão com o ATP da Symantec pelo dispositivo dele.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Reingressar em endpoints
Descrição
Para reunir endpoints do ATP Manager, é necessário ter uma política de firewall de quarentena e uma política de integridade do host no Symantec Endpoint Protection Manager.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado do JSON
N/A
Revogar da lista de proibições
Descrição
Exclui uma política de lista de proibições para uma determinada entidade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enviar arquivos para o sandbox
Descrição
Enviar hashes de arquivo para a sandbox.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado do JSON
N/A
Receber comentários de incidentes
Descrição
Recuperar comentários relacionados ao incidente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do incidente | String | N/A | Verdadeiro | Especifique o UUID do incidente. |
| Número máximo de comentários a serem retornados | Número inteiro | 20 | Falso | Especifique quantos comentários serão retornados. O máximo é 1.000 comentários. Essa é uma limitação do ATP da Symantec. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Atualizar resolução de incidente
Descrição
Atualize a resolução do incidente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do incidente | String | N/A | Verdadeiro | Especifique o UUID do incidente. |
| Status da resolução | DDL | DADOS INSUFICIENTES Valores possíveis: DADOS INSUFICIENTES RISCO DE SEGURANÇA FALSO POSITIVO GERENCIADO EXTERNAMENTE NOT SET BENIGN TESTAR |
Verdadeiro | Especifique qual status de resolução definir no incidente. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Excluir política de lista de proibições
Descrição
Exclui uma política de lista de proibições para uma entidade do Google SecOps.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Conectores
Conector de incidentes do Symantec ATP
Permissões do conector
Para que o conector funcione, você precisa das seguintes permissões para seu token de API:
- atp_view_incidents
Configurar o conector de incidentes do Symantec ATP no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Verdadeiro | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | AlertName | Verdadeiro | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Falso | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Falso | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Verdadeiro | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:porta | Verdadeiro | Raiz da API do servidor ATP da Symantec. |
| ID do cliente | Senha | N/A | Verdadeiro | ID do cliente do ATP da Symantec |
| Chave secreta do cliente | Senha | Verdadeiro | Chave secreta do cliente do ATP da Symantec | |
| Filtro de prioridade | CSV | Baixa, média, alta | Verdadeiro | Filtro de prioridade para os incidentes. Se você quiser ingerir todos os incidentes, especifique: |
| Voltar o tempo máximo | Número inteiro | 1 | Falso | Número de horas de onde buscar incidentes. Limite: 30 dias. Essa é uma limitação do ATP da Symantec. |
| Número máximo de incidentes a serem buscados | Número inteiro | 25 | Falso | Quantos incidentes processar por iteração de conector. Máximo: 1.000. |
| Usar a lista de permissões como uma lista de proibições | Booleano | Desmarcado | Verdadeiro | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Usar SSL | Booleano | Selecionado | Verdadeiro | Opção para ativar a conexão SSL/TLS |
| Endereço do servidor proxy | String | Falso | O endereço do servidor proxy a ser usado | |
| Nome de usuário do proxy | String | Falso | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Falso | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.