Symantec Endpoint Security Complete Cloud

Versión de integración: 4.0

Casos prácticos

Realiza acciones de enriquecimiento.

Configurar la integración de Symantec Endpoint Security Complete Cloud en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Raíz de la API Cadena https://api.sep.securitycloud.symantec.com Raíz de la API de Symantec Endpoint Security Complete
ID de cliente Cadena N/A ID de cliente de Symantec Endpoint Security Complete
Secreto de cliente Contraseña Secreto de cliente completo de Symantec Endpoint Security
Verificar SSL Casilla Marcada Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de Symantec Endpoint Security Complete sea válido.

Acciones

Ping

Descripción

Prueba la conectividad con Symantec Endpoint Security Complete con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
si se realiza correctamente: "Se ha conectado correctamente al servidor de Symantec Endpoint Security Complete con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de un libro de jugadas:
si no se realiza correctamente: "Failed to connect to the Symantec Endpoint Security Complete server! Error: {0}".format(exception.stacktrace)

General

Enriquecer entidades

Descripción

Enriquece las entidades con información de Symantec Endpoint Security Complete. Entidades admitidas: nombre de host, hash, URL y dirección IP. Solo se admiten hashes SHA256.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Grupo de dispositivos Cadena Predeterminado Especifica el nombre del grupo de dispositivos que se debe usar para obtener información sobre los endpoints.
Crear estadísticas de endpoint Casilla Marcada No Si se habilita, la acción creará una estadística que contenga información sobre los endpoints.
Crear una estadística de IOC Casilla Marcada No Si se habilita, la acción creará una estadística que contenga información sobre los IOCs enriquecidos.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Nombre de host
  • Hash
  • URL
  • Dirección IP

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON de un endpoint
{
    "id": "x10bQZJsRi6z87se02g3Vw",
    "os": {
        "ver": "10.0.18363",
        "name": "Windows 10 Enterprise Edition",
        "type": "WINDOWS_WORKSTATION",
        "64_bit": true,
        "lang": "en",
        "major_ver": 10,
        "minor_ver": 0,
        "sp": 0,
        "tz_offset": -480,
        "user": "Admin",
        "user_domain": "LocalComputer",
        "vol_avail_mb": 5443,
        "vol_cap_mb": 30138
    },
    "name": "DESKTOP-8P0TH6Q",
    "host": "DESKTOP-8P0TH6Q",
    "domain": "WORKGROUP",
    "created": "2020-11-19T12:24:23.422Z",
    "modified": "2021-03-05T10:39:03.884Z",
    "adapters": [
        {
            "addr": "2001:db8::",
            "category": "Public",
            "ipv4Address": "192.0.2.182",
            "ipv4_gw": "192.0.2.1",
            "ipv4_prefix": 24,
            "ipv6Address": "2001:db8:1:1:1:1:1:1",
            "ipv6_gw": "192.0.2.1",
            "ipv6_prefix": 64,
            "mask": "255.255.255.0"
        }
    ],
    "device_status": "SECURE",
    "parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
    "products": [
        {
            "name": "Symantec Endpoint Protection",
            "product_status": "SECURE",
            "version": "14.3.3384.1000",
            "agent_status": "ONLINE",
            "last_connected_time": "2021-03-05T10:39:23.271Z",
            "features": [
                {
                    "name": "APP_ISOLATION",
                    "state": "ENABLED",
                    "feature_status": "SECURE",
                    "engine_version": "6.7.0.2033"
                },
                {
                    "name": "FIREWALL",
                    "state": "ENABLED",
                    "feature_status": "SECURE"
                }
            ]
        }
    ]
}
Resultado en JSON de los IOCs
{
    "reputation": "BAD",
    "prevalence": "LessThanFifty",
    "firstSeen": "2021-04-01",
    "lastSeen": "2021-04-03",
    "targetOrgs": {
        "topCountries": [
            "us",
            "cm",
            "sg"
        ],
        "topIndustries": [
            "financial services"
        ]
    },
    "state": "blocked",
    "process_chain": [
        {
            "parent": {
                "parent": {
                    "file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
                    "processName": "explorer.exe"
                },
                "file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
                "processName": "chrome.exe"
            }
        }
    ]
}
Enriquecimiento de entidades para Endpoint
Nombre del campo de enriquecimiento Lógica: cuándo aplicar
id Cuando esté disponible en JSON
os Cuando esté disponible en JSON
nombre de host Cuando esté disponible en JSON
dominio Cuando esté disponible en JSON
ips Cuando esté disponible en JSON
mac
status Cuando esté disponible en JSON
enlace Cuando esté disponible en JSON
Enriquecimiento de entidades: indicadores de compromiso
Nombre del campo de enriquecimiento Lógica: cuándo aplicar
reputación Cuando esté disponible en JSON
prevalencia Cuando esté disponible en JSON
countries Cuando esté disponible en JSON
first_seen Cuando esté disponible en JSON
last_seen Cuando esté disponible en JSON
sectores Cuando esté disponible en JSON
estado Cuando esté disponible en JSON
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
if enriched some(is_success = true): "Successfully enriched the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier)

Si no se ha enriquecido alguna (is_success = true): "Action wasn't able to enrich the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier)

Si no se ha enriquecido todo (is_success = false): "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el grupo de dispositivos no es válido: "Error al ejecutar la acción "Enrich Entities". Motivo: no se ha encontrado el grupo de dispositivos proporcionado. Comprueba la ortografía".

General
Tabla de entidades **** Entidad

Mostrar grupos de dispositivos

Descripción

Lista de grupos de dispositivos disponibles en Symantec Endpoint Security Complete.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Lógica de filtro DDL

Igual

DDL

Igual

Contiene

No Especifica la lógica de filtro que se debe aplicar.
Valor de filtro Cadena N/A No Especifica el valor que se debe usar en el filtro.
Número máximo de grupos que se devolverán Entero 50 No Especifica cuántos grupos quieres que se devuelvan. Valor predeterminado: 50.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
si se devuelve el código 200 y hay datos disponibles (is_success = true): "Successfully returned available device groups in Symantec Endpoint Security Complete." ("Se han devuelto correctamente los grupos de dispositivos disponibles en Symantec Endpoint Security Complete").

Si se devuelve el código 200 y no hay datos disponibles (is_success=false) "No se han encontrado grupos de dispositivos según los criterios proporcionados en Symantec Endpoint Security Complete."

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "List Device Groups". Motivo: {0}''.format(error.Stacktrace)

General
Tabla del panel de casos

Nombre: grupos de dispositivos disponibles

Columnas:

ID

Nombre

General

Descripción

Obtener IOCs relacionados con las entidades de Symantec Endpoint Security Complete. Entidades admitidas: hash, URL y dirección IP. Solo se admiten los hashes SHA256.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Filtro de origen CSV

byThreatActor,
byProcessChain,
bySignature,
bySampleTraits,
byNetworkingTrait,
bySimilarIncidents

No

Especifica el filtro de origen. Si no se proporciona nada, la acción devolverá las entidades relacionadas en función de todas las fuentes.
Valores posibles:

byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait,

bySimilarIncidents

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Hash
  • URL
  • Dirección IP

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
si es 200 (is_success = true): "Se han devuelto correctamente los IOCs relacionados de las entidades proporcionadas de Symantec Endpoint Security Complete".

Si no se han encontrado IOCs (is_success = false): "No se han encontrado IOCs relacionados con las entidades proporcionadas de Symantec Endpoint Security Complete".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related IOCs". Motivo: {0}''.format(error.Stacktrace)

General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.