Symantec Endpoint Security Complete Cloud
Versione integrazione: 4.0
Casi d'uso
Eseguire azioni di arricchimento.
Configurare l'integrazione di Symantec Endpoint Security Complete Cloud in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://api.sep.securitycloud.symantec.com | Sì | Radice dell'API Symantec Endpoint Security Complete |
| ID client | Stringa | N/D | Sì | ID client Symantec Endpoint Security Complete |
| Client secret | Password | Sì | Client secret di Symantec Endpoint Security Complete | |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Symantec Endpoint Security Complete sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a Symantec Endpoint Security Complete con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità utilizzando le informazioni di Symantec Endpoint Security Complete. Entità supportate: nome host, hash, URL e indirizzo IP. Sono supportati solo gli hash SHA256.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Gruppo di dispositivi | Stringa | Predefinito | Sì | Specifica il nome del gruppo di dispositivi da utilizzare per recuperare informazioni sugli endpoint. |
| Crea approfondimento sull'endpoint | Casella di controllo | Selezionata | No | Se attivata, l'azione creerà un approfondimento contenente informazioni sugli endpoint. |
| Crea insight IOC | Casella di controllo | Selezionata | No | Se attivata, l'azione creerà un approfondimento contenente informazioni sugli IOC arricchiti. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Hash
- URL
- Indirizzo IP
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON - per endpoint
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Risultato JSON - per gli IOC
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Arricchimento delle entità - per endpoint
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| id | Quando disponibile in formato JSON |
| os | Quando disponibile in formato JSON |
| nome host | Quando disponibile in formato JSON |
| dominio | Quando disponibile in formato JSON |
| ips | Quando disponibile in formato JSON |
| mac | |
| stato | Quando disponibile in formato JSON |
| link | Quando disponibile in formato JSON |
Arricchimento delle entità - per gli indicatori di compromissione
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| reputazione | Quando disponibile in formato JSON |
| prevalenza | Quando disponibile in formato JSON |
| paesi | Quando disponibile in formato JSON |
| first_seen | Quando disponibile in formato JSON |
| last_seen | Quando disponibile in formato JSON |
| settori | Quando disponibile in formato JSON |
| state | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier) Se non è stato eseguito l'arricchimento di tutte le entità (is_success = false): "Nessuna entità è stata arricchita". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se il gruppo di dispositivi non è valido: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: il gruppo di dispositivi fornito non è stato trovato. Controlla l'ortografia. |
Generale |
| Tabella entità | **** | Entità |
Elenco gruppi di dispositivi
Descrizione
Elenca i gruppi di dispositivi disponibili in Symantec Endpoint Security Complete.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Logica di filtro | DDL | Uguale DDL Uguale Contiene |
No | Specifica la logica di filtro da applicare. |
| Valore filtro | Stringa | N/D | No | Specifica il valore da utilizzare nel filtro. |
| Numero massimo di gruppi da restituire | Numero intero | 50 | No | Specifica il numero di gruppi da restituire. Valore predefinito: 50. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se 200 e non sono disponibili dati (is_success=false) "Non sono stati trovati gruppi di dispositivi in base ai criteri forniti in Symantec Endpoint Security Complete." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
| Tabella Bacheca casi | Nome: Gruppi di dispositivi disponibili Colonne: ID Nome |
Generale |
Recuperare gli IOC correlati
Descrizione
Ottieni indicatori di compromissione correlati alle entità da Symantec Endpoint Security Complete. Entità supportate: hash, URL e indirizzo IP. Sono supportati solo gli hash SHA256.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Filtro di origine | CSV | byThreatActor, |
No | Specifica il filtro di origine. Se non viene fornito nulla, l'azione restituirà le entità correlate, in base a tutte le origini. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Hash
- URL
- Indirizzo IP
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se non sono stati trovati indicatori di compromissione (is_success = false): "Non sono stati trovati indicatori di compromissione correlati per le entità fornite da Symantec Endpoint Security Complete". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.