Symantec Endpoint Security Complete Cloud

Integrationsversion: 4.0

Anwendungsbereiche

Anreicherungsaktionen durchführen

Symantec Endpoint Security Complete Cloud-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
API-Stamm String https://api.sep.securitycloud.symantec.com Ja Symantec Endpoint Security Complete – API-Stammverzeichnis
Client-ID String Ja Symantec Endpoint Security Complete-Client-ID
Clientschlüssel Passwort Ja Symantec Endpoint Security Complete-Clientschlüssel
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Symantec Endpoint Security Complete-Server gültig ist.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Symantec Endpoint Security Complete mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Bei Erfolg: „Successfully connected to the Symantec Endpoint Security Complete server with the provided connection parameters!“ (Erfolgreich mit dem Symantec Endpoint Security Complete-Server mit den angegebenen Verbindungsparametern verbunden)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if not successful (wenn nicht erfolgreich): „Failed to connect to the Symantec Endpoint Security Complete server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus Symantec Endpoint Security Complete anreichern. Unterstützte Einheiten: Hostname, Hash, URL und IP-Adresse. Es werden nur SHA256-Hashes unterstützt.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Gerätegruppe String Standard Ja Geben Sie den Namen der Gerätegruppe an, die zum Abrufen von Informationen zu Endpunkten verwendet werden soll.
Endpoint Insight erstellen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu den Endpunkten erstellt.
IOC-Informationen erstellen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu angereicherten IOCs erstellt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Hostname
  • Hash
  • URL
  • IP-Adresse

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis – für Endpunkt
{
    "id": "x10bQZJsRi6z87se02g3Vw",
    "os": {
        "ver": "10.0.18363",
        "name": "Windows 10 Enterprise Edition",
        "type": "WINDOWS_WORKSTATION",
        "64_bit": true,
        "lang": "en",
        "major_ver": 10,
        "minor_ver": 0,
        "sp": 0,
        "tz_offset": -480,
        "user": "Admin",
        "user_domain": "LocalComputer",
        "vol_avail_mb": 5443,
        "vol_cap_mb": 30138
    },
    "name": "DESKTOP-8P0TH6Q",
    "host": "DESKTOP-8P0TH6Q",
    "domain": "WORKGROUP",
    "created": "2020-11-19T12:24:23.422Z",
    "modified": "2021-03-05T10:39:03.884Z",
    "adapters": [
        {
            "addr": "2001:db8::",
            "category": "Public",
            "ipv4Address": "192.0.2.182",
            "ipv4_gw": "192.0.2.1",
            "ipv4_prefix": 24,
            "ipv6Address": "2001:db8:1:1:1:1:1:1",
            "ipv6_gw": "192.0.2.1",
            "ipv6_prefix": 64,
            "mask": "255.255.255.0"
        }
    ],
    "device_status": "SECURE",
    "parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
    "products": [
        {
            "name": "Symantec Endpoint Protection",
            "product_status": "SECURE",
            "version": "14.3.3384.1000",
            "agent_status": "ONLINE",
            "last_connected_time": "2021-03-05T10:39:23.271Z",
            "features": [
                {
                    "name": "APP_ISOLATION",
                    "state": "ENABLED",
                    "feature_status": "SECURE",
                    "engine_version": "6.7.0.2033"
                },
                {
                    "name": "FIREWALL",
                    "state": "ENABLED",
                    "feature_status": "SECURE"
                }
            ]
        }
    ]
}
JSON-Ergebnis – für IOCs
{
    "reputation": "BAD",
    "prevalence": "LessThanFifty",
    "firstSeen": "2021-04-01",
    "lastSeen": "2021-04-03",
    "targetOrgs": {
        "topCountries": [
            "us",
            "cm",
            "sg"
        ],
        "topIndustries": [
            "financial services"
        ]
    },
    "state": "blocked",
    "process_chain": [
        {
            "parent": {
                "parent": {
                    "file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
                    "processName": "explorer.exe"
                },
                "file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
                "processName": "chrome.exe"
            }
        }
    ]
}
Entity Enrichment – für Endpunkt
Name des Anreicherungsfelds Logik – Wann anwenden?
id Wenn in JSON verfügbar
os Wenn in JSON verfügbar
Hostname Wenn in JSON verfügbar
Domain Wenn in JSON verfügbar
ips Wenn in JSON verfügbar
mac
Status Wenn in JSON verfügbar
Link Wenn in JSON verfügbar
Entitätsanreicherung – für IOCs
Name des Anreicherungsfelds Logik – Wann anwenden?
Ruf Wenn in JSON verfügbar
Prävalenz Wenn in JSON verfügbar
Länder Wenn in JSON verfügbar
first_seen Wenn in JSON verfügbar
last_seen Wenn in JSON verfügbar
Branchen Wenn in JSON verfügbar
state Wenn in JSON verfügbar
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion sollte nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen:
if enriched some(is_success = true): "Successfully enriched the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier)

Wenn einige nicht angereichert wurden (is_success = true): „Die Aktion konnte die folgenden Einheiten nicht mit Symantec Endpoint Security Complete anreichern:\n“.format(entity.identifier)

Wenn nicht alle angereichert wurden (is_success = false): „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entitäten anreichern‘. Grund: {0}''.format(error.Stacktrace)

Bei ungültiger Gerätegruppe: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Die angegebene Gerätegruppe wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“

 Allgemein
Tabelle mit Elementen **** Entität

Gerätegruppen auflisten

Beschreibung

Verfügbare Gerätegruppen in Symantec Endpoint Security Complete auflisten

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Filterlogik DDL

Gleich

DDL

Gleich

Enthält

 Nein Geben Sie an, welche Filterlogik angewendet werden soll.
Filterwert String Nein Geben Sie an, welcher Wert im Filter verwendet werden soll.
Maximale Anzahl zurückzugebender Gruppen Ganzzahl 50 Nein Geben Sie an, wie viele Gruppen zurückgegeben werden sollen. Standard: 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
wenn 200 und Daten verfügbar sind (is_success = true): „Successfully returned available device groups in Symantec Endpoint Security Complete.“ (Verfügbare Gerätegruppen in Symantec Endpoint Security Complete wurden erfolgreich zurückgegeben).

Wenn 200 und keine Daten verfügbar sind (is_success=false): „Es wurden keine Gerätegruppen gefunden, die den angegebenen Kriterien in Symantec Endpoint Security Complete entsprechen.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Gerätegruppen auflisten‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Name:Verfügbare Gerätegruppen

Spalten:

ID

Name

Allgemein

Beschreibung

Ruft IOCs ab, die sich auf die Entitäten von Symantec Endpoint Security Complete beziehen. Unterstützte Entitäten: Hash, URL und IP-Adresse. Es werden nur SHA256-Hashes unterstützt.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Quellfilter CSV

byThreatActor,
byProcessChain,
bySignature,
bySampleTraits,
byNetworkingTrait,
bySimilarIncidents

 Nein

Geben Sie den Quellfilter an. Wenn nichts angegeben ist, werden mit der Aktion verknüpfte Entitäten auf Grundlage aller Quellen zurückgegeben.
Mögliche Werte:

byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait,

bySimilarIncidents

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • Hash
  • URL
  • IP-Adresse

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
if 200 (is_success = true): „Successfully returned related IOCs for the provided entities from Symantec Endpoint Security Complete.“ (Es wurden erfolgreich zugehörige IOCs für die bereitgestellten Entitäten von Symantec Endpoint Security Complete zurückgegeben.)

Wenn keine IOCs gefunden wurden (is_success = false): „No related IOCs were found for the provided entities from Symantec Endpoint Security Complete.“ (Für die angegebenen Entitäten aus Symantec Endpoint Security Complete wurden keine zugehörigen IOCs gefunden.)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Error executing action ‚Get Related IOCs‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten