Symantec Endpoint Security Complete Cloud
Versão da integração: 4.0
Casos de uso
Realizar ações de enriquecimento.
Configurar a integração do Symantec Endpoint Security Complete Cloud no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.sep.securitycloud.symantec.com | Sim | Raiz da API completa do Symantec Endpoint Security |
| ID do cliente | String | N/A | Sim | ID do cliente do Symantec Endpoint Security Complete |
| Chave secreta do cliente | Senha | Sim | Chave secreta do cliente do Symantec Endpoint Security Complete | |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor do Symantec Endpoint Security Complete é válido. |
Ações
Ping
Descrição
Teste a conectividade com o Symantec Endpoint Security Complete usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação vai falhar e interromper a execução de um playbook: |
Geral |
Enriquecer entidades
Descrição
Enriqueça entidades usando informações do Symantec Endpoint Security Complete. Entidades compatíveis: nome do host, hash, URL e endereço IP. Somente hashes SHA256 são compatíveis.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Grupo de dispositivos | String | Padrão | Sim | Especifique o nome do grupo de dispositivos que será usado para recuperar informações sobre endpoints. |
| Criar insight de endpoint | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai criar um insight com informações sobre os endpoints. |
| Criar insight de IOC | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai criar um insight com informações sobre IOCs enriquecidos. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Hash
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON para endpoint
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
Resultado em JSON para IOCs
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
Enriquecimento de entidade para endpoint
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ID | Quando disponível em JSON |
| os | Quando disponível em JSON |
| nome do host | Quando disponível em JSON |
| domínio | Quando disponível em JSON |
| IPs | Quando disponível em JSON |
| mac | |
| status | Quando disponível em JSON |
| link | Quando disponível em JSON |
Aprimoramento de entidade para IoCs
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| reputação | Quando disponível em JSON |
| prevalência | Quando disponível em JSON |
| countries | Quando disponível em JSON |
| first_seen | Quando disponível em JSON |
| last_seen | Quando disponível em JSON |
| setores | Quando disponível em JSON |
| estado | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não enriquecer algumas (is_success = true): "Não foi possível enriquecer as seguintes entidades usando o Symantec Endpoint Security Complete:\n".format(entity.identifier) Se não enriquecer tudo (is_success = false): "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se o grupo de dispositivos for inválido: "Erro ao executar a ação "Enriquecer entidades". Motivo: o grupo de dispositivos fornecido não foi encontrado. Verifique a ortografia." |
Geral |
| Tabela de entidades | **** | Entidade |
Listar grupos de dispositivos
Descrição
Liste os grupos de dispositivos disponíveis no Symantec Endpoint Security Complete.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Lógica de filtro | DDL | Igual DDL Igual Contém |
Não | Especifique qual lógica de filtro deve ser aplicada. |
| Valor do filtro | String | N/A | Não | Especifique o valor que será usado no filtro. |
| Número máximo de grupos a serem retornados | Número inteiro | 50 | Não | Especifique quantos grupos retornar. Padrão: 50. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se 200 e nenhum dado estiver disponível (is_success=false) "Nenhum grupo de dispositivos foi encontrado com base nos critérios fornecidos no Symantec Endpoint Security Complete." A ação precisa falhar e interromper a execução de um playbook: |
Geral |
| Tabela do painel de casos | Nome:grupos de dispositivos disponíveis Colunas: ID Nome |
Geral |
Receber IOCs relacionados
Descrição
Receba IOCs relacionados às entidades do Symantec Endpoint Security Complete. Entidades compatíveis: hash, URL e endereço IP. Somente hashes SHA256 são aceitos.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Filtro de origem | CSV | byThreatActor, |
Não | Especifique o filtro de origem. Se nada for informado, a ação vai retornar entidades relacionadas com base em todas as fontes. byThreatActor, byProcessChain, bySignature, bySampleTraits, byNetworkingTrait, bySimilarIncidents |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se nenhum IOC for encontrado (is_success = false): "Nenhum IOC relacionado foi encontrado para as entidades fornecidas do Symantec Endpoint Security Complete.". A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.