Symantec Endpoint Security Complete Cloud
整合版本:4.0
應用實例
執行擴充動作。
在 Google Security Operations 中設定 Symantec Endpoint Security Complete Cloud 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://api.sep.securitycloud.symantec.com | 是 | Symantec Endpoint Security Complete API 根目錄 |
| 用戶端 ID | 字串 | 不適用 | 是 | Symantec Endpoint Security Complete 用戶端 ID |
| 用戶端密鑰 | 密碼 | 是 | Symantec Endpoint Security Complete 用戶端密鑰 | |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Symantec Endpoint Security Complete 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁的整合設定頁面提供的參數,測試與 Symantec Endpoint Security Complete 的連線。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 動作應會失敗並停止執行劇本: |
一般 |
充實實體
說明
使用 Symantec Endpoint Security Complete 的資訊擴充實體。支援的實體:主機名稱、雜湊、網址和 IP 位址。系統僅支援 SHA256 雜湊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置群組 | 字串 | 預設 | 是 | 指定用於擷取端點資訊的裝置群組名稱。 |
| 建立端點洞察 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含端點相關資訊。 |
| 建立 IOC 洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會建立洞察資料,其中包含經過擴充的 IOC 相關資訊。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- 雜湊
- 網址
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果 - 端點
{
"id": "x10bQZJsRi6z87se02g3Vw",
"os": {
"ver": "10.0.18363",
"name": "Windows 10 Enterprise Edition",
"type": "WINDOWS_WORKSTATION",
"64_bit": true,
"lang": "en",
"major_ver": 10,
"minor_ver": 0,
"sp": 0,
"tz_offset": -480,
"user": "Admin",
"user_domain": "LocalComputer",
"vol_avail_mb": 5443,
"vol_cap_mb": 30138
},
"name": "DESKTOP-8P0TH6Q",
"host": "DESKTOP-8P0TH6Q",
"domain": "WORKGROUP",
"created": "2020-11-19T12:24:23.422Z",
"modified": "2021-03-05T10:39:03.884Z",
"adapters": [
{
"addr": "2001:db8::",
"category": "Public",
"ipv4Address": "192.0.2.182",
"ipv4_gw": "192.0.2.1",
"ipv4_prefix": 24,
"ipv6Address": "2001:db8:1:1:1:1:1:1",
"ipv6_gw": "192.0.2.1",
"ipv6_prefix": 64,
"mask": "255.255.255.0"
}
],
"device_status": "SECURE",
"parent_device_group_id": "rujWDk9WTcKsnLkCeZKl7A",
"products": [
{
"name": "Symantec Endpoint Protection",
"product_status": "SECURE",
"version": "14.3.3384.1000",
"agent_status": "ONLINE",
"last_connected_time": "2021-03-05T10:39:23.271Z",
"features": [
{
"name": "APP_ISOLATION",
"state": "ENABLED",
"feature_status": "SECURE",
"engine_version": "6.7.0.2033"
},
{
"name": "FIREWALL",
"state": "ENABLED",
"feature_status": "SECURE"
}
]
}
]
}
JSON 結果 - 適用於 IOC
{
"reputation": "BAD",
"prevalence": "LessThanFifty",
"firstSeen": "2021-04-01",
"lastSeen": "2021-04-03",
"targetOrgs": {
"topCountries": [
"us",
"cm",
"sg"
],
"topIndustries": [
"financial services"
]
},
"state": "blocked",
"process_chain": [
{
"parent": {
"parent": {
"file": "6a671b92a69755de6fd063fcbe4ba926d83b49f78c42dbaeed8cdb6bbc57576a",
"processName": "explorer.exe"
},
"file": "f686f2ff41923bb5c106c76d5f3df30146eb37683b81c4a57110dcc63032526a",
"processName": "chrome.exe"
}
}
]
}
實體擴充功能 - 適用於端點
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| id | 以 JSON 格式提供時 |
| os | 以 JSON 格式提供時 |
| 主機名稱 | 以 JSON 格式提供時 |
| 網域 | 以 JSON 格式提供時 |
| ips | 以 JSON 格式提供時 |
| mac | |
| 狀態 | 以 JSON 格式提供時 |
| 連結 | 以 JSON 格式提供時 |
實體擴充功能 - 適用於 IOC
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 信譽 | 以 JSON 格式提供時 |
| 普及度 | 以 JSON 格式提供時 |
| 國家/地區 | 以 JSON 格式提供時 |
| first_seen | 以 JSON 格式提供時 |
| last_seen | 以 JSON 格式提供時 |
| 產業 | 以 JSON 格式提供時 |
| state | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果部分實體未經過擴充 (is_success = true):「Action wasn't able to enrich the following entities using Symantec Endpoint Security Complete:\n".format(entity.identifier) 如果並非所有實體都已擴充 (is_success = false):「沒有任何實體已擴充」。 動作應會失敗並停止執行劇本: 如果裝置群組無效:「Error executing action "Enrich Entities". 原因:找不到提供的裝置群組。請檢查拼字。 |
一般 |
| 實體資料表 | **** | 實體 |
可列出裝置群組
說明
在 Symantec Endpoint Security Complete 中列出可用的裝置群組。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 篩選邏輯 | DDL | 等於 DDL 等於 包含 |
否 | 指定要套用哪些篩選器邏輯。 |
| 篩選條件值 | 字串 | 不適用 | 否 | 指定篩選器中應使用的值。 |
| 要傳回的群組數量上限 | 整數 | 50 | 否 | 指定要傳回的群組數量。預設值為 50。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果狀態碼為 200,但沒有可用資料 (is_success=false),則會顯示「No device groups were found based on the provided criteria in Symantec Endpoint Security Complete.」(根據 Symantec Endpoint Security Complete 中提供的條件,找不到任何裝置群組)。 動作應會失敗並停止執行劇本: |
一般 |
| 案件總覽表格 | 名稱:可用的裝置群組 欄: ID 名稱 |
一般 |
取得相關 IOC
說明
從 Symantec Endpoint Security Complete 取得與實體相關的 IOC。 支援的實體:雜湊、網址和 IP 位址。系統僅支援 SHA256 雜湊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 來源篩選器 | CSV | byThreatActor、 |
否 | 指定來源篩選器。如果未提供任何資訊,動作會根據所有來源傳回相關實體。 byThreatActor、byProcessChain、bySignature、bySampleTraits、byNetworkingTrait、 bySimilarIncidents |
執行時間
這項動作會對下列實體執行:
- 雜湊
- 網址
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"total": 1,
"device_groups": [
{
"id": "rujWDk9WTcKsnLkCeZKl7A",
"name": "Default",
"created": "2020-11-19T02:17:15.236Z",
"modified": "2020-11-19T02:17:17.482Z",
"parent_id": ""
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果未找到任何 IOC (is_success = false):「No related IOCs were found for the provided entities from Symantec Endpoint Security Complete.」(未找到與 Symantec Endpoint Security Complete 提供的實體相關的 IOC)。 動作應會失敗並停止執行劇本: |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。