Symantec Endpoint Security Complete Cloud
Versão da integração: 4.0
Exemplos de utilização
Realizar ações de enriquecimento.
Configure a integração do Symantec Endpoint Security Complete Cloud no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.sep.securitycloud.symantec.com | Sim | Raiz da API Symantec Endpoint Security Complete |
| ID do cliente | String | N/A | Sim | ID do cliente do Symantec Endpoint Security Complete |
| Segredo do cliente | Palavra-passe | Sim | Segredo do cliente do Symantec Endpoint Security Complete | |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor Symantec Endpoint Security Complete é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade com o Symantec Endpoint Security Complete com os parâmetros fornecidos na página de configuração da integração no separador Marketplace do Google Security Operations.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos: A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do Symantec Endpoint Security Complete. Entidades suportadas: nome de anfitrião, hash, URL e endereço IP. Apenas são suportados hashes SHA256.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Grupo de dispositivos | String | Predefinição | Sim | Especifique o nome do grupo de dispositivos que deve ser usado para obter informações sobre os pontos finais. |
| Crie estatísticas de pontos finais | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística com informações sobre os pontos finais. |
| Crie estatísticas de IOC | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística com informações sobre IOCs enriquecidos. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Hash
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON – para o ponto final
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Resultado JSON: para IOCs
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Enriquecimento de entidades – para o ponto final
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| id | Quando estiver disponível em JSON |
| os | Quando estiver disponível em JSON |
| hostname | Quando estiver disponível em JSON |
| domínio | Quando estiver disponível em JSON |
| ips | Quando estiver disponível em JSON |
| mac | |
| estado | Quando estiver disponível em JSON |
| link | Quando estiver disponível em JSON |
Enriquecimento de entidades: para IOCs
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| reputação | Quando estiver disponível em JSON |
| prevalência | Quando estiver disponível em JSON |
| países | Quando estiver disponível em JSON |
| first_seen | Quando estiver disponível em JSON |
| last_seen | Quando estiver disponível em JSON |
| indústrias | Quando estiver disponível em JSON |
| estado | Quando estiver disponível em JSON |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier) Se não tiver enriquecido tudo (is_success = false): "No entities were enriched" (Nenhuma entidade foi enriquecida). A ação deve falhar e parar a execução de um playbook: Se o grupo de dispositivos for inválido: "Erro ao executar a ação "Enriquecer entidades". Motivo: não foi possível encontrar o grupo de dispositivos fornecido. Verifique a ortografia.' |
Geral |
| Tabela de entidades | **** | Entidade |
List Device Groups
Descrição
Liste os grupos de dispositivos disponíveis no Symantec Endpoint Security Complete.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Lógica de filtragem | LDD | Igual LDD Igual Contém |
Não | Especifique a lógica de filtro que deve ser aplicada. |
| Valor do filtro | String | N/A | Não | Especifique o valor que deve ser usado no filtro. |
| Número máximo de grupos a devolver | Número inteiro | 50 | Não | Especifique quantos grupos devolver. Predefinição: 50. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos: Se for devolvido o código 200 e não estiverem disponíveis dados (is_success=false) "Não foram encontrados grupos de dispositivos com base nos critérios fornecidos no Symantec Endpoint Security Complete." A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
| Tabela de parede da caixa | Nome: grupos de dispositivos disponíveis Colunas: ID Nome |
Geral |
Obtenha IOCs relacionados
Descrição
Receba IOCs relacionados com as entidades do Symantec Endpoint Security Complete. Entidades suportadas: hash, URL e endereço IP. Apenas são suportados hashes SHA256.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Filtro de origem | CSV | byThreatActor, |
Não | Especifique o filtro de origem. Se não for fornecido nada, a ação devolve entidades relacionadas com base em todas as origens. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Executar em
Esta ação é executada nas seguintes entidades:
- Hash
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos: Se não foram encontrados IOCs (is_success = false): "No related IOCs were found for the provided entities from Symantec Endpoint Security Complete.". A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.