Symantec ATP
集成版本:9.0
配置 Symantec ATP 以与 Google Security Operations 搭配使用
如需生成 OAuth 客户端,请执行以下操作:
- 在 Symantec ATP Manager 中,依次前往设置和数据共享。
- 在“OAuth 客户端”部分中,点击添加应用。
- 请在“应用名称”字段中输入您打算注册的应用的名称,然后选择您将使用的 API 版本(默认设置为版本 2)。
- 如果您选择启用版本 2 API,系统会显示角色选项。从下拉菜单中选择应用的用户角色。
- 点击生成。
- 系统会显示客户端 ID 和客户端密钥。
- 点击完成。
在 Google SecOps 中配置 Symantec ATP 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
向突发事件添加评论
说明
将评论附加到突发事件。
- 对于您要添加评论的事件,请点击评论字段。
- 在“新评论”框中输入您的评论。扩展 ASCII 字符无法以 .csv 格式正确呈现。
- 点击添加注释。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 事件 UUID | 字符串 | 不适用 | 不适用 |
| 评论 | 字符串 | 不适用 | 不适用 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_added | True/False | is_added:False |
JSON 结果
N/A
添加到黑名单
说明
为实体创建黑名单政策。Symantec 维护着一个全球外部计算机和文件黑名单,该黑名单会定期更新并与 Symantec Advanced Threat Protection (ATP) 集成。您还可以通过为外部计算机或您认为不可信的文件创建黑名单政策来补充此列表。例如,您可能想为最近出现在网络安全情报中的某个文件创建黑名单政策,但赛门铁克尚未将该文件识别为威胁。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- Filehash
- 主机名
- IP 地址
- 网址
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
添加到白名单
说明
将外部计算机列入许可名单后,ATP 会将其视为可信,并且不会检查端点与该计算机之间的流量(即使该计算机被列入黑名单)。您可以根据外部计算机的 IP 地址、子网、网域或网址将其列入白名单。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- Filehash
- 主机名
- IP 地址
- 网址
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
关闭突发事件
说明
将突发事件状态更改为“已关闭”。必须指定突发事件的结果才能将其关闭。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 事件 UUID | 字符串 | 不适用 | 不适用 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_closed | True/False | is_closed:False |
JSON 结果
N/A
删除文件
说明
在高级威胁防护 (ATP) 中选择要删除的文件时,该文件实际上不会被删除,而是会被所选端点隔离。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| Filehash | 字符串 | 不适用 | 要删除的文件哈希。 |
使用场景
不适用
运行于
此操作适用于以下实体:
- Filehash
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| command_ids | 不适用 | 不适用 |
JSON 结果
N/A
删除白名单政策
说明
删除实体的许可名单政策。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
丰富文件哈希
说明
丰富文件哈希实体。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| max_file_health | 不适用 | 不适用 |
JSON 结果
N/A
获取实体的活动
说明
自指定时间以来,提取实体的所有事件。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要提取的分钟数 | 字符串 | 不适用 | 提取 x 分钟前的活动。 |
使用场景
不适用
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| events_amount | 不适用 | 不适用 |
JSON 结果
N/A
获取活动免费查询
说明
通过自由查询提取活动。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 查询 | 字符串 | 不适用 | 自由查询文本。 |
| 限制 | 字符串 | 不适用 | 查询结果的限制。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| events_amount | 不适用 | 不适用 |
JSON 结果
N/A
获取沙盒命令状态
说明
按 ID 获取命令状态。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 命令 ID | 字符串 | 不适用 | 要获取状态的命令 ID。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
隔离端点
说明
如需将端点与 ATP Manager 隔离,您需要在 Symantec Endpoint Protection Manager 中设置隔离防火墙政策和主机完整性政策。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| command_ids | 不适用 | 不适用 |
JSON 结果
N/A
Ping
说明
验证用户是否通过其设备连接到 Symantec ATP。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
重新加入端点
说明
如需从 ATP Manager 重新加入端点,必须在 Symantec Endpoint Protection Manager 中设置隔离防火墙政策和主机完整性政策。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| command_ids | 不适用 | 不适用 |
JSON 结果
N/A
从黑名单中撤消
说明
删除指定实体的黑名单政策。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
向沙盒提交文件
说明
向沙盒提交文件哈希。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| command_ids | 不适用 | 不适用 |
JSON 结果
N/A
获取突发事件评论
说明
检索与突发事件相关的评论。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 事件 UUID | 字符串 | 不适用 | 正确 | 指定突发事件的 UUID。 |
| 要返回的评论数上限 | 整数 | 20 | 错误 | 指定要返回的评论数量。 最多 1000 条评论。这是 Symantec ATP 的限制。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
更新突发事件解决情况
说明
更新突发事件的解决情况。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 事件 UUID | 字符串 | 不适用 | 正确 | 指定突发事件的 UUID。 |
| 解决状态 | DDL | 数据不足 可能的值: 数据不足 安全风险 假正例 由外部管理 未设置 良性 测试 |
正确 | 指定要为突发事件设置的解决状态。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
删除黑名单政策
说明
删除 Google SecOps 实体的黑名单政策。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
连接器
Symantec ATP - Incidents 连接器
连接器权限
为了使连接器正常运行,您需要为 API 令牌授予以下权限:
- atp_view_incidents
在 Google SecOps 中配置 Symantec ATP - Incidents 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 正确 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | AlertName | 正确 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 错误 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 错误 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 正确 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://x.x.x.x:端口 | 正确 | Symantec ATP 服务器的 API 根。 |
| 客户端 ID | 密码 | 不适用 | 正确 | Symantec ATP 客户端 ID |
| 客户端密钥 | 密码 | 正确 | Symantec ATP 客户端密钥 | |
| “优先级”过滤条件 | CSV | 低、中、高 | 正确 | 突发事件的优先级过滤条件。 如果您想注入所有事件,请指定: |
| 提取回溯的小时数上限 | 整数 | 1 | 错误 | 提取事件的小时数。 限制:30 天。这是 Symantec ATP 的限制。 |
| 要提取的突发事件数上限 | 整数 | 25 | 错误 | 每次连接器迭代要处理的事件数量。 上限:1000。 |
| 将白名单用作黑名单 | 布尔值 | 尚未核查 | 正确 | 如果启用,白名单将用作黑名单。 |
| Use SSL(使用 SSL) | 布尔值 | 勾选 | 正确 | 用于启用 SSL/TLS 连接的选项 |
| 代理服务器地址 | 字符串 | 错误 | 要使用的代理服务器的地址 | |
| 代理用户名 | 字符串 | 错误 | 用于进行身份验证的代理用户名 | |
| 代理密码 | 密码 | 错误 | 用于进行身份验证的代理密码 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。