Symantec Endpoint Security Complete Cloud
Versión de integración: 4.0
Casos prácticos
Realiza acciones de enriquecimiento.
Configurar la integración de Symantec Endpoint Security Complete Cloud en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Raíz de la API | Cadena | https://api.sep.securitycloud.symantec.com | Sí | Raíz de la API de Symantec Endpoint Security Complete |
ID de cliente | Cadena | N/A | Sí | ID de cliente de Symantec Endpoint Security Complete |
Secreto de cliente | Contraseña | Sí | Secreto de cliente completo de Symantec Endpoint Security | |
Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de Symantec Endpoint Security Complete sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Symantec Endpoint Security Complete con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Panel de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: La acción debería fallar y detener la ejecución de un libro de jugadas: |
General |
Enriquecer entidades
Descripción
Enriquece las entidades con información de Symantec Endpoint Security Complete. Entidades admitidas: nombre de host, hash, URL y dirección IP. Solo se admiten hashes SHA256.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Grupo de dispositivos | Cadena | Predeterminado | Sí | Especifica el nombre del grupo de dispositivos que se debe usar para obtener información sobre los endpoints. |
Crear estadísticas de endpoint | Casilla | Marcada | No | Si se habilita, la acción creará una estadística que contenga información sobre los endpoints. |
Crear una estadística de IOC | Casilla | Marcada | No | Si se habilita, la acción creará una estadística que contenga información sobre los IOCs enriquecidos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Hash
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado de JSON de un endpoint
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Resultado en JSON de los IOCs
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Enriquecimiento de entidades para Endpoint
Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
---|---|
id | Cuando esté disponible en JSON |
os | Cuando esté disponible en JSON |
nombre de host | Cuando esté disponible en JSON |
dominio | Cuando esté disponible en JSON |
ips | Cuando esté disponible en JSON |
mac | |
status | Cuando esté disponible en JSON |
enlace | Cuando esté disponible en JSON |
Enriquecimiento de entidades: indicadores de compromiso
Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
---|---|
reputación | Cuando esté disponible en JSON |
prevalencia | Cuando esté disponible en JSON |
countries | Cuando esté disponible en JSON |
first_seen | Cuando esté disponible en JSON |
last_seen | Cuando esté disponible en JSON |
sectores | Cuando esté disponible en JSON |
estado | Cuando esté disponible en JSON |
Panel de casos
Tipo de resultado | Valor/Descripción | Tipo |
---|---|---|
Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si no se ha enriquecido alguna (is_success = true): "Action wasn't able to enrich the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier) Si no se ha enriquecido todo (is_success = false): "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si el grupo de dispositivos no es válido: "Error al ejecutar la acción "Enrich Entities". Motivo: no se ha encontrado el grupo de dispositivos proporcionado. Comprueba la ortografía". |
General |
Tabla de entidades | **** | Entidad |
Mostrar grupos de dispositivos
Descripción
Lista de grupos de dispositivos disponibles en Symantec Endpoint Security Complete.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Lógica de filtro | DDL | Igual DDL Igual Contiene |
No | Especifica la lógica de filtro que se debe aplicar. |
Valor de filtro | Cadena | N/A | No | Especifica el valor que se debe usar en el filtro. |
Número máximo de grupos que se devolverán | Entero | 50 | No | Especifica cuántos grupos quieres que se devuelvan. Valor predeterminado: 50. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado de JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Panel de casos
Tipo de resultado | Valor/Descripción | Tipo |
---|---|---|
Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si se devuelve el código 200 y no hay datos disponibles (is_success=false) "No se han encontrado grupos de dispositivos según los criterios proporcionados en Symantec Endpoint Security Complete." La acción debería fallar y detener la ejecución de un cuaderno de estrategias: |
General |
Tabla del panel de casos | Nombre: grupos de dispositivos disponibles Columnas: ID Nombre |
General |
Obtener IOCs relacionados
Descripción
Obtener IOCs relacionados con las entidades de Symantec Endpoint Security Complete. Entidades admitidas: hash, URL y dirección IP. Solo se admiten los hashes SHA256.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Filtro de origen | CSV | byThreatActor, |
No | Especifica el filtro de origen. Si no se proporciona nada, la acción devolverá las entidades relacionadas en función de todas las fuentes. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Hash
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado de JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Panel de casos
Tipo de resultado | Valor/Descripción | Tipo |
---|---|---|
Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: Si no se han encontrado IOCs (is_success = false): "No se han encontrado IOCs relacionados con las entidades proporcionadas de Symantec Endpoint Security Complete". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.