Symantec ATP
整合版本:9.0
設定 Symantec ATP,以便與 Google Security Operations 搭配使用
如要產生 OAuth 用戶端:
- 在 Symantec ATP Manager 中,依序前往「Settings」和「Data Sharing」。
- 在「OAuth 用戶端」部分中,按一下「新增應用程式」。
- 請在「應用程式名稱」欄位中輸入要註冊的應用程式名稱,然後選取要使用的 API 版本 (預設設定為版本 2)。
- 如果選取啟用第 2 版 API,系統會顯示「角色」選項。從下拉式選單中選取應用程式的使用者角色。
- 點按「生成」。
- 系統會顯示用戶端 ID 和用戶端密鑰。
- 按一下 [完成]。
在 Google SecOps 中設定 Symantec ATP 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
在事件中新增留言
說明
將註解附加至事件。
- 在要留言的事件中,按一下「留言」欄位。
- 在「新留言」方塊中輸入留言。擴充 ASCII 字元無法以 .csv 格式正確顯示。
- 按一下「新增註解」。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 事件 UUID | 字串 | 不適用 | 不適用 |
| 註解 | 字串 | 不適用 | 不適用 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_added | True/False | is_added:False |
JSON 結果
N/A
加入黑名單
說明
為實體建立黑名單政策。賽門鐵克會維護全球外部電腦和檔案的黑名單,並定期更新,且已整合至 Symantec Advanced Threat Protection (ATP)。您可以為外部電腦或您認為不可信的檔案建立黑名單政策,補充這份清單。舉例來說,您可能想為最近出現在網路安全情報中的檔案建立黑名單政策,因為 Symantec 尚未將該檔案識別為威脅。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- Filehash
- 主機名稱
- IP 位址
- 網址
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
加入許可清單
說明
將外部電腦加入允許清單後,ATP 會將其視為可信任的電腦,不會檢查端點與該電腦之間的流量 (即使該電腦已加入封鎖清單)。您可以根據外部電腦的 IP 位址、子網路、網域或網址,將其加入許可清單。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- Filehash
- 主機名稱
- IP 位址
- 網址
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
關閉事件
說明
將事件狀態變更為「已結案」。您必須指定事件結果,才能結案。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 事件 UUID | 字串 | 不適用 | 不適用 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_closed | True/False | is_closed:False |
JSON 結果
N/A
刪除檔案
說明
在進階威脅防護 (ATP) 中選取要刪除的檔案時,系統不會實際刪除檔案,而是由所選端點隔離檔案。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| Filehash | 字串 | 不適用 | 要刪除的檔案雜湊值。 |
用途
不適用
執行時間
這項動作會對下列實體執行:
- Filehash
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| command_ids | 不適用 | 不適用 |
JSON 結果
N/A
刪除許可清單政策
說明
刪除實體的許可清單政策。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
充實 Filehash
說明
擴充檔案雜湊實體。
參數
不適用
用途
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| max_file_health | 不適用 | 不適用 |
JSON 結果
N/A
取得實體的活動
說明
擷取實體自某個時間點以來的全部事件。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 要擷取多久以前的資料 (分鐘) | 字串 | 不適用 | 擷取 x 分鐘前的事件。 |
用途
不適用
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| events_amount | 不適用 | 不適用 |
JSON 結果
N/A
取得免費查詢事件
說明
透過免費查詢擷取事件。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 查詢 | 字串 | 不適用 | 任意查詢文字。 |
| 限制 | 字串 | 不適用 | 查詢結果上限。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| events_amount | 不適用 | 不適用 |
JSON 結果
N/A
取得沙箱指令狀態
說明
依 ID 取得指令狀態。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 指令 ID | 字串 | 不適用 | 要擷取狀態的指令 ID。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
隔離端點
說明
如要從 ATP Manager 隔離端點,您必須在 Symantec Endpoint Protection Manager 中設定隔離防火牆政策和主機完整性政策。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| command_ids | 不適用 | 不適用 |
JSON 結果
N/A
乒乓
說明
確認使用者裝置已連線至 Symantec ATP。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
重新加入端點
說明
如要從 ATP Manager 重新加入端點,您必須在 Symantec Endpoint Protection Manager 中設定隔離防火牆政策和主機完整性政策。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| command_ids | 不適用 | 不適用 |
JSON 結果
N/A
從黑名單中撤銷
說明
刪除指定實體的黑名單政策。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
將檔案提交至沙箱
說明
將檔案雜湊提交至沙箱。
參數
不適用
用途
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| command_ids | 不適用 | 不適用 |
JSON 結果
N/A
取得事件註解
說明
擷取與事件相關的留言。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 UUID | 字串 | 不適用 | 是 | 指定事件的 UUID。 |
| 要傳回的留言數量上限 | 整數 | 20 | 否 | 指定要傳回的留言數量。 最多可新增 1,000 則留言。這是 Symantec ATP 的限制。 |
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
更新事件解決方式
說明
更新事件的解決方式。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 UUID | 字串 | 不適用 | 是 | 指定事件的 UUID。 |
| 解決狀態 | DDL | 資料不足 可能的值包括: 資料不足 安全風險 誤報 外部管理 未設定 BENIGN TEST |
是 | 指定要為事件設定的解決狀態。 |
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
刪除黑名單政策
說明
刪除 Google SecOps 實體的黑名單政策。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
連接器
Symantec ATP - Incidents Connector
連接器權限
如要讓連接器正常運作,API 權杖必須具備下列權限:
- atp_view_incidents
在 Google SecOps 中設定 Symantec ATP - Incidents 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | AlertName | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操作環境欄位 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://x.x.x.x:port | 是 | Symantec ATP 伺服器的 API 根目錄。 |
| 用戶端 ID | 密碼 | 不適用 | 是 | Symantec ATP 用戶端 ID |
| 用戶端密鑰 | 密碼 | 是 | Symantec ATP 用戶端密鑰 | |
| 優先順序篩選器 | CSV | 低、中、高 | 是 | 事件的優先順序篩選器。 如要擷取所有事件,請指定: |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取事件的小時數。 上限:30 天。這是 Symantec ATP 的限制。 |
| 要擷取的事件數量上限 | 整數 | 25 | 否 | 每個連接器疊代要處理的事件數。 最多 1000 個。 |
| 將許可清單當做封鎖清單使用 | 布林值 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 使用 SSL | 布林值 | 已勾選 | 是 | 啟用 SSL/TLS 連線的選項 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。