Symantec Endpoint Security Complete Cloud
통합 버전: 4.0
사용 사례
보강 작업을 수행합니다.
Google Security Operations에서 Symantec Endpoint Security Complete Cloud 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://api.sep.securitycloud.symantec.com | 예 | Symantec Endpoint Security Complete API 루트 |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | Symantec Endpoint Security Complete 클라이언트 ID |
| 클라이언트 보안 비밀번호 | 비밀번호 | 예 | Symantec Endpoint Security Complete 클라이언트 비밀번호 | |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Symantec Endpoint Security Complete 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Symantec Endpoint Security Complete에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 작업이 실패하고 플레이북 실행이 중지되어야 합니다. |
일반 |
항목 보강
설명
Symantec Endpoint Security Complete의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, 해시, URL, IP 주소 SHA256 해시만 지원됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 그룹 | 문자열 | 기본값 | 예 | 엔드포인트에 관한 정보를 가져오는 데 사용할 기기 그룹의 이름을 지정합니다. |
| 엔드포인트 통계 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 엔드포인트에 관한 정보가 포함된 통계를 만듭니다. |
| IOC 통계 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 보강된 IOC에 관한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- 해시
- URL
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과 - 엔드포인트
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
JSON 결과 - IOC용
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
엔드포인트용 항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| id | JSON으로 제공되는 경우 |
| os | JSON으로 제공되는 경우 |
| 호스트 이름 | JSON으로 제공되는 경우 |
| 도메인 | JSON으로 제공되는 경우 |
| ips | JSON으로 제공되는 경우 |
| mac | |
| 상태 | JSON으로 제공되는 경우 |
| 링크 | JSON으로 제공되는 경우 |
항목 보강 - IOC용
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 평판 | JSON으로 제공되는 경우 |
| 발생률 | JSON으로 제공되는 경우 |
| 국가 | JSON으로 제공되는 경우 |
| first_seen | JSON으로 제공되는 경우 |
| last_seen | JSON으로 제공되는 경우 |
| 업종 | JSON으로 제공되는 경우 |
| state | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 일부 항목을 보강하지 않은 경우 (is_success = true): "작업이 Symantec Endpoint Security Complete를 사용하여 다음 항목을 보강할 수 없었습니다.\n".format(entity.identifier) 모두 보강하지 않은 경우(is_success = false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 기기 그룹인 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다. 이유: 제공된 기기 그룹을 찾을 수 없습니다. 철자를 확인하세요.' |
일반 |
| 항목 테이블 | **** | 항목 |
기기 그룹 나열
설명
Symantec Endpoint Security Complete에서 사용 가능한 기기 그룹을 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 필터 로직 | DDL | 같음 DDL 같음
|
아니요 | 적용할 필터 로직을 지정합니다. |
| 필터 값 | 문자열 | 해당 사항 없음 | 아니요 | 필터에 사용할 값을 지정합니다. |
| 반환할 최대 그룹 수 | 정수 | 50 | 아니요 | 반환할 그룹 수를 지정합니다. 기본값: 50 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200이고 데이터를 사용할 수 없는 경우 (is_success=false) 'Symantec Endpoint Security Complete에서 제공된 기준에 따라 기기 그룹을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 케이스 월 테이블 | 이름: 사용 가능한 기기 그룹 열: ID 이름 |
일반 |
관련 IOC 가져오기
설명
Symantec Endpoint Security Complete에서 항목과 관련된 IOC를 가져옵니다. 지원되는 항목: 해시, URL, IP 주소 SHA256 해시만 지원됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 소스 필터 | CSV | byThreatActor, |
아니요 | 소스 필터를 지정합니다. 아무것도 제공되지 않으면 작업은 모든 소스를 기반으로 관련 항목을 반환합니다. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- URL
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. IOC를 찾을 수 없는 경우 (is_success = false): 'Symantec Endpoint Security Complete에서 제공된 항목과 관련된 IOC를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.