Symantec Endpoint Security Complete Cloud
集成版本:4.0
使用场景
执行丰富化操作。
在 Google Security Operations 中配置 Symantec Endpoint Security Complete Cloud 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://api.sep.securitycloud.symantec.com | 是 | Symantec Endpoint Security Complete API 根 |
| 客户端 ID | 字符串 | 不适用 | 是 | Symantec Endpoint Security Complete 客户端 ID |
| 客户端密钥 | 密码 | 是 | Symantec Endpoint Security Complete 客户端密钥 | |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,请验证与 Symantec Endpoint Security Complete 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Symantec Endpoint Security Complete 的连接。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
丰富实体
说明
使用 Symantec Endpoint Security Complete 中的信息丰富实体。 支持的实体:主机名、哈希、网址和 IP 地址。仅支持 SHA256 哈希值。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备组 | 字符串 | 默认 | 是 | 指定应使用哪个设备组来检索有关端点的信息。 |
| 创建端点数据洞见 | 复选框 | 勾选 | 否 | 如果启用,操作将创建包含有关端点信息的洞见。 |
| 创建 IOC 分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作将创建包含有关丰富 IOC 的信息的分析洞见。 |
运行于
此操作适用于以下实体:
- 主机名
- 哈希
- 网址
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果 - 适用于端点
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
JSON 结果 - 适用于 IOC
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
实体丰富化 - 适用于端点
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| id | 以 JSON 格式提供时 |
| os | 以 JSON 格式提供时 |
| 主机名 | 以 JSON 格式提供时 |
| 域名 | 以 JSON 格式提供时 |
| IP 地址 | 以 JSON 格式提供时 |
| mac | |
| 状态 | 以 JSON 格式提供时 |
| 链接 | 以 JSON 格式提供时 |
实体扩充 - 适用于 IOC
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 声誉 | 以 JSON 格式提供时 |
| 普及率 | 以 JSON 格式提供时 |
| countries | 以 JSON 格式提供时 |
| first_seen | 以 JSON 格式提供时 |
| last_seen | 以 JSON 格式提供时 |
| 行业 | 以 JSON 格式提供时 |
| state | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果未扩充某些实体(is_success = true):“操作无法使用 Symantec Endpoint Security Complete 扩充以下实体:\n”.format(entity.identifier) 如果未丰富所有实体(is_success = false):“未丰富任何实体”。 操作应失败并停止 playbook 执行: 如果设备组无效:“执行操作‘丰富实体’时出错。原因:找不到所提供的设备群组。请检查拼写。 |
常规 |
| 实体表 | **** | 实体 |
列出设备组
说明
列出 Symantec Endpoint Security Complete 中的可用设备组。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 过滤逻辑 | DDL | 等于 DDL 等于 包含 |
否 | 指定应应用哪些过滤条件逻辑。 |
| 过滤条件值 | 字符串 | 不适用 | 否 | 指定应在过滤条件中使用什么值。 |
| 要返回的群组数量上限 | 整数 | 50 | 否 | 指定要返回的群组数量。默认值:50。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果返回 200 且没有可用数据 (is_success=false)“未在 Symantec Endpoint Security Complete 中找到符合所提供条件的设备组。” 操作应失败并停止 playbook 执行: |
常规 |
| “案例墙”表格 | 名称:可用的设备组 列: ID 姓名 |
常规 |
获取相关 IOC
说明
从 Symantec Endpoint Security Complete 获取与实体相关的 IOC。 支持的实体:哈希值、网址和 IP 地址。仅支持 SHA256 哈希。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 来源过滤条件 | CSV | byThreatActor、 |
否 | 指定来源过滤条件。如果未提供任何内容,则操作将根据所有来源返回相关实体。 byThreatActor、byProcessChain、bySignature、bySampleTraits、byNetworkingTrait、 bySimilarIncidents |
运行于
此操作适用于以下实体:
- 哈希
- 网址
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果未找到任何 IOC(is_success = false):“未在 Symantec Endpoint Security Complete 中找到与所提供实体相关的 IOC。”。 操作应失败并停止 playbook 执行: |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。