Symantec Endpoint Security Complete Cloud
Version de l'intégration : 4.0
Cas d'utilisation
Effectuer des actions d'enrichissement
Configurer l'intégration de Symantec Endpoint Security Complete Cloud dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://api.sep.securitycloud.symantec.com | Oui | Racine de l'API Symantec Endpoint Security Complete |
| ID client | Chaîne | N/A | Oui | ID client Symantec Endpoint Security Complete |
| Code secret du client | Mot de passe | Oui | Code secret du client Symantec Endpoint Security Complete | |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Symantec Endpoint Security Complete est valide. |
Actions
Ping
Description
Testez la connectivité à Symantec Endpoint Security Complete avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations de Symantec Endpoint Security Complete. Entités acceptées : nom d'hôte, hachage, URL et adresse IP. Seuls les hachages SHA256 sont acceptés.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Groupe d'appareils | Chaîne | Par défaut | Oui | Spécifiez le nom du groupe d'appareils à utiliser pour récupérer des informations sur les points de terminaison. |
| Créer un insight de point de terminaison | Case à cocher | Cochée | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les points de terminaison. |
| Créer un insight d'IOC | Case à cocher | Cochée | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les IOC enrichis. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Hash
- URL
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON pour le point de terminaison
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Résultat JSON pour les FIO
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Enrichissement d'entités : pour les points de terminaison
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| id | Lorsqu'il est disponible au format JSON |
| os | Lorsqu'il est disponible au format JSON |
| nom d'hôte | Lorsqu'il est disponible au format JSON |
| domaine | Lorsqu'il est disponible au format JSON |
| ips | Lorsqu'il est disponible au format JSON |
| mac | |
| état | Lorsqu'il est disponible au format JSON |
| lien | Lorsqu'il est disponible au format JSON |
Enrichissement d'entités pour les IoC
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| réputation | Lorsqu'il est disponible au format JSON |
| prévalence | Lorsqu'il est disponible au format JSON |
| pays | Lorsqu'il est disponible au format JSON |
| first_seen | Lorsqu'il est disponible au format JSON |
| last_seen | Lorsqu'il est disponible au format JSON |
| secteurs | Lorsqu'il est disponible au format JSON |
| state | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'enrichissement n'a pas été effectué pour certaines entités (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide de Symantec Endpoint Security Complete :\n".format(entity.identifier) Si l'enrichissement n'a pas été effectué pour toutes les entités (is_success = false) : "Aucune entité n'a été enrichie". L'action doit échouer et arrêter l'exécution d'un playbook : Si le groupe d'appareils n'est pas valide : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : le groupe d'appareils fourni est introuvable. Veuillez vérifier l'orthographe." |
Général |
| Tableau des entités | **** | Entité |
Lister les groupes d'appareils
Description
Liste des groupes d'appareils disponibles dans Symantec Endpoint Security Complete.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Logique de filtrage | LDD | Égal à LDD Égal à Contient |
Non | Spécifiez la logique de filtrage à appliquer. |
| Valeur du filtre | Chaîne | N/A | Non | Spécifiez la valeur à utiliser dans le filtre. |
| Nombre maximal de groupes à renvoyer | Integer | 50 | Non | Spécifiez le nombre de groupes à renvoyer. Valeur par défaut : 50. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code 200 est renvoyé et qu'aucune donnée n'est disponible (is_success=false) : "Aucun groupe d'appareils n'a été trouvé en fonction des critères fournis dans Symantec Endpoint Security Complete." L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
| Tableau du mur des cas | Nom : Groupes d'appareils disponibles Colonnes : ID Nom |
Général |
Obtenir les IOC associés
Description
Obtenez les IOC associés aux entités à partir de Symantec Endpoint Security Complete. Entités acceptées : hachage, URL et adresse IP. Seuls les hachages SHA256 sont acceptés.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Filtre source | CSV | byThreatActor, |
Non | Spécifiez le filtre de source. Si rien n'est fourni, l'action renvoie les entités associées, en fonction de toutes les sources. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Hash
- URL
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucun IOC n'a été trouvé (is_success = false) : "Aucun IOC associé n'a été trouvé pour les entités fournies dans Symantec Endpoint Security Complete.". L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.