Halaman ini diterjemahkan oleh Cloud Translation API.

Symantec Endpoint Security Complete Cloud

Versi integrasi: 4.0

Kasus Penggunaan

Lakukan tindakan pengayaan.

Mengonfigurasi integrasi Symantec Endpoint Security Complete Cloud di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root API	String	https://api.sep.securitycloud.symantec.com	Ya	Root API Symantec Endpoint Security Complete
ID Klien	String	T/A	Ya	ID Klien Symantec Endpoint Security Complete
Rahasia Klien	Sandi		Ya	Rahasia Klien Symantec Endpoint Security Complete
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Symantec Endpoint Security Complete valid.

Tindakan

Ping

Deskripsi

Uji konektivitas ke Symantec Endpoint Security Complete dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Successfully connected to the Symantec Endpoint Security Complete server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika tidak berhasil: "Gagal terhubung ke server Symantec Endpoint Security Complete. Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the Symantec Endpoint Security Complete server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika tidak berhasil: "Gagal terhubung ke server Symantec Endpoint Security Complete. Error adalah {0}".format(exception.stacktrace)

Umum

Memperkaya Entitas

Deskripsi

Memperkaya entitas menggunakan informasi dari Symantec Endpoint Security Complete. Entitas yang didukung: Nama Host, Hash, URL, dan Alamat IP. Hanya hash SHA256 yang didukung.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Grup Perangkat	String	Default	Ya	Tentukan nama grup perangkat yang harus digunakan untuk mengambil informasi tentang endpoint.
Membuat Insight Endpoint	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang endpoint.
Membuat Insight IOC	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang IOC yang diperkaya.

Run On

Tindakan ini berjalan di entity berikut:

Hostname
Hash
URL
Alamat IP

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON - untuk Endpoint

{
    "id": "x10bQZJsRi6z87se02g3Vw",
    "os": {
        "ver": "10.0.18363",
        "name": "Windows 10 Enterprise Edition",
        "type": "WINDOWS_WORKSTATION",
        "64_bit": true,
        "lang": "en",
        "major_ver": 10,
        "minor_ver": 0,
        "sp": 0,
        "tz_offset": -480,
        "user": "Admin",
        "user_domain": "LocalComputer",
        "vol_avail_mb": 5443,
        "vol_cap_mb": 30138
    },
    "name": "DESKTOP-8P0TH6Q",
    "host": "DESKTOP-8P0TH6Q",
    "domain": "WORKGROUP",
    "created": "2020-11-19T12:24:23.422Z",
    "modified": "2021-03-05T10:39:03.884Z",
    "adapters": [
        {
            "addr": "2001:db8::",
            "category": "Public",
            "ipv4Address": "192.0.2.182",
            "ipv4_gw": "192.0.2.1",
            "ipv4_prefix": 24,
            "ipv6Address": "2001:db8:1:1:1:1:1:1",
            "ipv6_gw": "192.0.2.1",
            "ipv6_prefix": 64,
            "mask": "255.255.255.0"
        }
    ],
    "device_status": "SECURE",
    "parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
    "products": [
        {
            "name": "Symantec Endpoint Protection",
            "product_status": "SECURE",
            "version": "14.3.3384.1000",
            "agent_status": "ONLINE",
            "last_connected_time": "2021-03-05T10:39:23.271Z",
            "features": [
                {
                    "name": "APP_ISOLATION",
                    "state": "ENABLED",
                    "feature_status": "SECURE",
                    "engine_version": "6.7.0.2033"
                },
                {
                    "name": "FIREWALL",
                    "state": "ENABLED",
                    "feature_status": "SECURE"
                }
            ]
        }
    ]
}

Hasil JSON - untuk IOC

{
    "reputation": "BAD",
    "prevalence": "LessThanFifty",
    "firstSeen": "2021-04-01",
    "lastSeen": "2021-04-03",
    "targetOrgs": {
        "topCountries": [
            "us",
            "cm",
            "sg"
        ],
        "topIndustries": [
            "financial services"
        ]
    },
    "state": "blocked",
    "process_chain": [
        {
            "parent": {
                "parent": {
                    "file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
                    "processName": "explorer.exe"
                },
                "file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
                "processName": "chrome.exe"
            }
        }
    ]
}

Pengayaan Entitas - untuk Endpoint

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
id	Jika tersedia dalam JSON
os	Jika tersedia dalam JSON
hostname	Jika tersedia dalam JSON
domain	Jika tersedia dalam JSON
ips	Jika tersedia dalam JSON
mac
status	Jika tersedia dalam JSON
link	Jika tersedia dalam JSON

Pengayaan Entitas - untuk IOC

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
reputasi	Jika tersedia dalam JSON
prevalensi	Jika tersedia dalam JSON
negara	Jika tersedia dalam JSON
first_seen	Jika tersedia dalam JSON
last_seen	Jika tersedia dalam JSON
industri	Jika tersedia dalam JSON
state	Jika tersedia dalam JSON

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if enriched some(is_success = true): "Successfully enriched the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier) Jika tidak memperkaya beberapa (is_success = true): "Tindakan tidak dapat memperkaya entity berikut menggunakan Symantec Endpoint Security Complete:\n".format(entity.identifier) Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya". Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) Jika grup perangkat tidak valid: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: grup perangkat yang diberikan tidak ditemukan. Periksa ejaan.'	Umum
Tabel Entitas	****	Entity

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier)

Jika tidak memperkaya beberapa (is_success = true): "Tindakan tidak dapat memperkaya entity berikut menggunakan Symantec Endpoint Security Complete:\n".format(entity.identifier)

Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

Jika grup perangkat tidak valid: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: grup perangkat yang diberikan tidak ditemukan. Periksa ejaan.'

Umum

Tabel Entitas

****

Entity

Mencantumkan Grup Perangkat

Deskripsi

Mencantumkan grup perangkat yang tersedia di Symantec Endpoint Security Complete.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Logika Filter	DDL	Sama dengan DDL Sama dengan Berisi	Tidak	Tentukan logika filter yang harus diterapkan.
Nilai Filter	String	T/A	Tidak	Tentukan nilai yang akan digunakan dalam filter.
Jumlah Maksimum Grup yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah grup yang akan ditampilkan. Default: 50.

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Logika Filter

DDL

Sama dengan

DDL

Sama dengan

Berisi

Tidak

Tentukan logika filter yang harus diterapkan.

Nilai Filter

String

T/A

Tidak

Tentukan nilai yang akan digunakan dalam filter.

Jumlah Maksimum Grup yang Akan Ditampilkan

Bilangan bulat

Tidak

Tentukan jumlah grup yang akan ditampilkan. Default: 50.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika 200 dan data tersedia (is_success = true): "Successfully returned available device groups in Symantec Endpoint Security Complete". Jika 200 dan tidak ada data yang tersedia (is_success=false) "No device groups were found based on the provided criteria in Symantec Endpoint Security Complete." Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "List Device Groups". Alasan: {0}''.format(error.Stacktrace)	Umum
Tabel Repositori Kasus	Nama: Grup Perangkat yang Tersedia Kolom: ID Nama	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika 200 dan data tersedia (is_success = true): "Successfully returned available device groups in Symantec Endpoint Security Complete".

Jika 200 dan tidak ada data yang tersedia (is_success=false) "No device groups were found based on the provided criteria in Symantec Endpoint Security Complete."

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "List Device Groups". Alasan: {0}''.format(error.Stacktrace)

Umum

Tabel Repositori Kasus

Nama: Grup Perangkat yang Tersedia

Kolom:

Nama

Umum

Mendapatkan IOC Terkait

Deskripsi

Mendapatkan IOC yang terkait dengan entitas dari Symantec Endpoint Security Complete. Entitas yang didukung: Hash, URL, dan Alamat IP. Hanya hash SHA256 yang didukung.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Filter Sumber	CSV	byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents	Tidak	Tentukan filter sumber. Jika tidak ada yang diberikan, tindakan akan menampilkan entity terkait, berdasarkan semua sumber. Nilai yang Mungkin: byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Filter Sumber

CSV

byThreatActor,
byProcessChain,
bySignature,
bySampleTraits,
byNetworkingTrait,
bySimilarIncidents

Tidak

Tentukan filter sumber. Jika tidak ada yang diberikan, tindakan akan menampilkan entity terkait, berdasarkan semua sumber.
Nilai yang Mungkin:

byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait,

bySimilarIncidents

Run On

Tindakan ini berjalan di entity berikut:

Hash
URL
Alamat IP

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if 200 (is_success = true): "Successfully returned related IOCs for the provided entities from Symantec Endpoint Security Complete.". jika IOC tidak ditemukan (is_success = false): "Tidak ada IOC terkait yang ditemukan untuk entitas yang diberikan dari Symantec Endpoint Security Complete". Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Related IOCs". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if 200 (is_success = true): "Successfully returned related IOCs for the provided entities from Symantec Endpoint Security Complete.".

jika IOC tidak ditemukan (is_success = false): "Tidak ada IOC terkait yang ditemukan untuk entitas yang diberikan dari Symantec Endpoint Security Complete".

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Related IOCs". Alasan: {0}''.format(error.Stacktrace)

Umum

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.