Symantec Endpoint Security Complete Cloud

統合バージョン: 4.0

ユースケース

拡充アクションを実行します。

Google Security Operations で Symantec Endpoint Security Complete Cloud 統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
API ルート 文字列 https://api.sep.securitycloud.symantec.com はい Symantec Endpoint Security Complete API ルート
クライアント ID 文字列 なし はい Symantec Endpoint Security Complete のクライアント ID
クライアント シークレット パスワード はい Symantec Endpoint Security Complete クライアント シークレット
SSL を確認する チェックボックス オン はい 有効になっている場合は、Symantec Endpoint Security Complete サーバーへの接続用の SSL 証明書が有効であることを確認します。

操作

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Symantec Endpoint Security Complete への接続性をテストします。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
成功した場合: 「指定された接続パラメータで Symantec Endpoint Security Complete サーバーに正常に接続されました。」

アクションが失敗し、ハンドブックの実行が停止します:
成功しなかった場合: 「Symantec Endpoint Security Complete サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace)

 一般

エンティティの拡充

説明

Symantec Endpoint Security Complete の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、ハッシュ、URL、IP アドレス。SHA256 ハッシュのみがサポートされています。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
デバイス グループ 文字列 デフォルト はい エンドポイントに関する情報の取得に使用するデバイス グループの名前を指定します。
エンドポイント インサイトを作成する チェックボックス オン いいえ 有効にすると、アクションによってエンドポイントに関する情報を含む分析情報が作成されます。
IOC インサイトを作成する チェックボックス オン いいえ 有効にすると、アクションによって拡充された IOC に関する情報を含むインサイトが作成されます。

実行

このアクションは次のエンティティに対して実行されます。

  • ホスト名
  • ハッシュ
  • URL
  • IP アドレス

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果 - エンドポイントの場合
{
    "id": "x10bQZJsRi6z87se02g3Vw",
    "os": {
        "ver": "10.0.18363",
        "name": "Windows 10 Enterprise Edition",
        "type": "WINDOWS_WORKSTATION",
        "64_bit": true,
        "lang": "en",
        "major_ver": 10,
        "minor_ver": 0,
        "sp": 0,
        "tz_offset": -480,
        "user": "Admin",
        "user_domain": "LocalComputer",
        "vol_avail_mb": 5443,
        "vol_cap_mb": 30138
    },
    "name": "DESKTOP-8P0TH6Q",
    "host": "DESKTOP-8P0TH6Q",
    "domain": "WORKGROUP",
    "created": "2020-11-19T12:24:23.422Z",
    "modified": "2021-03-05T10:39:03.884Z",
    "adapters": [
        {
            "addr": "2001:db8::",
            "category": "Public",
            "ipv4Address": "192.0.2.182",
            "ipv4_gw": "192.0.2.1",
            "ipv4_prefix": 24,
            "ipv6Address": "2001:db8:1:1:1:1:1:1",
            "ipv6_gw": "192.0.2.1",
            "ipv6_prefix": 64,
            "mask": "255.255.255.0"
        }
    ],
    "device_status": "SECURE",
    "parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
    "products": [
        {
            "name": "Symantec Endpoint Protection",
            "product_status": "SECURE",
            "version": "14.3.3384.1000",
            "agent_status": "ONLINE",
            "last_connected_time": "2021-03-05T10:39:23.271Z",
            "features": [
                {
                    "name": "APP_ISOLATION",
                    "state": "ENABLED",
                    "feature_status": "SECURE",
                    "engine_version": "6.7.0.2033"
                },
                {
                    "name": "FIREWALL",
                    "state": "ENABLED",
                    "feature_status": "SECURE"
                }
            ]
        }
    ]
}
JSON の結果 - IOC の場合
{
    "reputation": "BAD",
    "prevalence": "LessThanFifty",
    "firstSeen": "2021-04-01",
    "lastSeen": "2021-04-03",
    "targetOrgs": {
        "topCountries": [
            "us",
            "cm",
            "sg"
        ],
        "topIndustries": [
            "financial services"
        ]
    },
    "state": "blocked",
    "process_chain": [
        {
            "parent": {
                "parent": {
                    "file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
                    "processName": "explorer.exe"
                },
                "file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
                "processName": "chrome.exe"
            }
        }
    ]
}
エンティティ拡充 - エンドポイントの場合
拡充フィールド名 ロジック - 適用するタイミング
id JSON で利用可能な場合
os JSON で利用可能な場合
hostname JSON で利用可能な場合
ドメイン JSON で利用可能な場合
ips JSON で利用可能な場合
mac
ステータス JSON で利用可能な場合
リンク JSON で利用可能な場合
エンティティ拡充 - IOC の場合
拡充フィールド名 ロジック - 適用するタイミング
評判 JSON で利用可能な場合
普及率 JSON で利用可能な場合
JSON で利用可能な場合
first_seen JSON で利用可能な場合
last_seen JSON で利用可能な場合
業界 JSON で利用可能な場合
state JSON で利用可能な場合
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
一部を拡充した場合(is_success = true): 「Symantec Endpoint Security Complete を使用して次のエンティティを拡充しました:\n".format(entity.identifier)

一部が拡充されなかった場合(is_success = true): 「アクションで Symantec Endpoint Security Complete を使用して次のエンティティを拡充できませんでした:\n".format(entity.identifier)

すべて拡充しなかった場合(is_success = false): 「拡充されたエンティティはありません」。

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他: 「"エンティティの拡充" アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace)

デバイス グループが無効な場合: 「エンティティの拡充」アクションの実行中にエラーが発生しました。理由: 指定されたデバイス グループが見つかりませんでした。スペルを確認してください。

 全般
エンティティ テーブル **** エンティティ

デバイス グループの一覧表示

説明

Symantec Endpoint Security Complete で利用可能なデバイス グループを一覧表示します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
フィルタ ロジック DDL

等しい

DDL

等しい


を含む

 いいえ 適用するフィルタ ロジックを指定します。
フィルタ値 文字列 なし いいえ フィルタで使用する値を指定します。
返されるグループの最大数 Integer 50 いいえ 返すグループの数を指定します。デフォルト: 50。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Case Wall
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
200 でデータが利用可能な場合(is_success = true): 「Symantec Endpoint Security Complete で利用可能なデバイス グループが正常に返されました。」

200 でデータが利用できない場合(is_success=false)「Symantec Endpoint Security Complete で指定された条件に基づくデバイス グループが見つかりませんでした。」

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が間違っている、サーバーに接続できない、その他など、致命的なエラーが発生した場合:「アクション「デバイス グループの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace)

 一般
Case Wall テーブル

名前: 使用可能なデバイス グループ

列:

ID

名前

 全般

説明

Symantec Endpoint Security Complete からエンティティに関連する IOC を取得します。サポートされるエンティティ: ハッシュ、URL、IP アドレス。SHA256 ハッシュのみがサポートされています。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
ソースフィルタ CSV

byThreatActor、
byProcessChain、
bySignature、
bySampleTraits、
byNetworkingTrait、
bySimilarIncidents

 いいえ

ソースフィルタを指定します。何も指定しないと、アクションはすべてのソースに基づいて関連エンティティを返します。
有効な値:

byThreatActor、byProcessChain、bySignature、bySampleTraits、byNetworkingTrait、

bySimilarIncidents

実行

このアクションは次のエンティティに対して実行されます。

  • ハッシュ
  • URL
  • IP アドレス

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "total": 1,
    "device_groups": [
        {
            "id": "rujWDk9WTcKsnLkCeZKl7A",
            "name": "Default",
            "created": "2020-11-19T02:17:15.236Z",
            "modified": "2020-11-19T02:17:17.482Z",
            "parent_id": ""
        }
    ]
}
Case Wall
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
200(is_success = true)の場合: 「Symantec Endpoint Security Complete から、指定されたエンティティに関連する IOC が正常に返されました。」

IOC が見つからなかった場合(is_success = false): 「Symantec Endpoint Security Complete で指定されたエンティティに関連する IOC が見つかりませんでした。」。

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が間違っている、サーバーに接続できない、その他など、致命的なエラーが発生した場合:「アクション「関連する IOC を取得」の実行エラー。理由: {0}」.format(error.Stacktrace)

 全般

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。