Symantec Endpoint Security Complete Cloud
Versión de integración: 4.0
Casos de uso
Realizar acciones de enriquecimiento
Configura la integración de Symantec Endpoint Security Complete Cloud en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://api.sep.securitycloud.symantec.com | Sí | Raíz de la API completa de Symantec Endpoint Security |
| ID de cliente | String | N/A | Sí | ID de cliente de Symantec Endpoint Security Complete |
| Secreto del cliente | Contraseña | Sí | Secreto del cliente de Symantec Endpoint Security Complete | |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Symantec Endpoint Security Complete sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Symantec Endpoint Security Complete con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de un playbook: |
General |
Enriquece entidades
Descripción
Enriquece las entidades con información de Symantec Endpoint Security Complete. Entidades admitidas: Nombre de host, hash, URL y dirección IP. Solo se admiten hashes SHA256.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Grupo de dispositivos | String | Predeterminado | Sí | Especifica el nombre del grupo de dispositivos que se debe usar para recuperar información sobre los extremos. |
| Crea una estadística de extremo | Casilla de verificación | Marcado | No | Si está habilitada, la acción creará una estadística que contiene información sobre los extremos. |
| Crea una estadística de IOC | Casilla de verificación | Marcado | No | Si está habilitada, la acción creará una estadística que contendrá información sobre los IOC enriquecidos. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Hash
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON para el extremo
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Resultado en JSON: Para IOC
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Enriquecimiento de entidades: para el extremo
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| id | Cuando está disponible en JSON |
| os | Cuando está disponible en JSON |
| Nombre de host | Cuando está disponible en JSON |
| dominio | Cuando está disponible en JSON |
| ips | Cuando está disponible en JSON |
| mac | |
| estado | Cuando está disponible en JSON |
| vínculo | Cuando está disponible en JSON |
Enriquecimiento de entidades: para IoCs
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| reputación | Cuando está disponible en JSON |
| prevalencia | Cuando está disponible en JSON |
| países | Cuando está disponible en JSON |
| first_seen | Cuando está disponible en JSON |
| last_seen | Cuando está disponible en JSON |
| industrias | Cuando está disponible en JSON |
| state | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se enriquecieron algunas (is_success = true): "No se pudo enriquecer las siguientes entidades con Symantec Endpoint Security Complete:\n".format(entity.identifier) If didn't enrich all (is_success = false): "No se enriquecieron todas las entidades". La acción debe fallar y detener la ejecución de un playbook: Si el grupo de dispositivos no es válido: "Error al ejecutar la acción "Enrich Entities". Motivo: No se encontró el grupo de dispositivos proporcionado. Verifica la ortografía". |
General |
| Tabla de entidades | **** | Entidad |
Enumera grupos de dispositivos
Descripción
Enumera los grupos de dispositivos disponibles en Symantec Endpoint Security Complete.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Lógica de filtro | DDL | Igual DDL Igual Contiene |
No | Especifica qué lógica de filtro se debe aplicar. |
| Valor del filtro | String | N/A | No | Especifica qué valor se debe usar en el filtro. |
| Cantidad máxima de grupos que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de grupos que se devolverán. El valor predeterminado es 50. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si es 200 y no hay datos disponibles (is_success=false) "No se encontraron grupos de dispositivos según los criterios proporcionados en Symantec Endpoint Security Complete". La acción debe fallar y detener la ejecución de un playbook: |
General |
| Tabla del muro de casos | Nombre: Available Device Groups Columnas: ID Nombre |
General |
Obtén IOC relacionados
Descripción
Obtén IOCs relacionados con las entidades de Symantec Endpoint Security Complete. Entidades admitidas: hash, URL y dirección IP. Solo se admiten los hashes SHA256.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Source Filter | CSV | byThreatActor, |
No | Especifica el filtro de origen. Si no se proporciona nada, la acción devolverá entidades relacionadas según todas las fuentes. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Hash
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se encontraron IOC (is_success = false): "No se encontraron IOC relacionados con las entidades proporcionadas de Symantec Endpoint Security Complete". La acción debe fallar y detener la ejecución de un playbook: |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.