Symantec Email Security.cloud

集成版本:2.0

在 Google Security Operations 中配置 Symantec Email Security.cloud 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
IOC API 根 字符串 https://iocapi.emailsecurity.symantec.com Symantec Email Security.Cloud 实例的 IOC API 根。
用户名 字符串 不适用 Symantec Email Security.Cloud 实例的用户名。
密码 Secret 不适用 Symantec Email Security.Cloud 实例的密码。
验证 SSL 复选框 尚未核查 如果启用,则验证与 Symantec Email Security.Cloud 服务器的连接所用的 SSL 证书是否有效。

使用场景

屏蔽实体。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Symantec Email Security.Cloud 集成的连接。

参数

不适用

运行于

此操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success=False
JSON 结果
N/A
案例墙
结果类型 值/说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功:“Successfully connected to the Symantec Email Security.Cloud server with the provided connection parameters!”

操作应失败并停止 playbook 执行

如果不成功:“Failed to connect to the Symantec Email Security.Cloud server! 错误为 {0}".format(exception.stacktrace)"

 常规

屏蔽实体

说明

在 Symantec Email Security.Cloud 中屏蔽实体。支持的实体:主机名、IP 地址、网址、文件哈希值、电子邮件主题、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
补救措施 DDL

屏蔽并删除

可能的值:

  • 屏蔽并删除
  • 隔离
  • 重定向
  • 标记主题
  • 附加标头
 指定实体的补救措施。
说明 字符串 已被 PRODUCT_NAME 阻止 指定应添加到被屏蔽实体的说明。

运行于

此操作适用于以下实体:

  • 主机名
  • IP 地址
  • 网址
  • Filehash
  • 电子邮件主题
  • 电子邮件地址(与电子邮件正则表达式匹配的用户实体)

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success=False
JSON 结果
{
        "status": "Failure",
        "reason": "Invalid MD5 value"
}
案例墙
结果类型 值/说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果某个实体有可用数据 (is_success=true):“已成功在 Symantec Email Security.Cloud 中屏蔽以下实体:{entity.identifier}。”

如果某个实体没有数据 (is_success=true):“操作无法在 Symantec Email Security.Cloud 中屏蔽以下实体:{entity.identifier}。”

如果并非所有实体的相应数据都可用 (is_success=false):“未屏蔽任何提供的实体。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误),则会显示以下消息:“Error executing action "Block Entities".”(执行“屏蔽实体”操作时出错。)原因:{0}''.format(error.Stacktrace)"

 常规

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。