Symantec ICDx
集成版本:6.0
在 Google Security Operations 中配置 Symantec ICDx 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
获取活动
说明
按 ID 获取活动数据。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 事件 UUID | 字符串 | 不适用 | 不适用 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
恢复活动分钟数
说明
按分钟数获取查询的事件。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 查询 | 字符串 | 不适用 | 请求查询。 |
| 限制 | 字符串 | 不适用 | 接收到的事件数量限制。 |
| 分钟前 | 字符串 | 不适用 | “提取事件(分钟前)”参数。 |
| 字段 | 字符串 | 不适用 | 要提取的具体事件字段(以英文逗号分隔)。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 4.0 | 不适用 | 不适用 |
JSON 结果
N/A
Ping
说明
测试 Symantec ICDx 连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
连接器
Symantec ICDx 查询连接器
说明
使用查询从 Symantec ICDx 服务器提取事件。
在 Google SecOps 中配置 Symantec ICDx 查询连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 字符串 | device_product | 用于确定设备产品的字段名称。 |
| EventClassId | 字符串 | name | 用于确定事件名称(子类型)的字段名称。 |
| PythonProcessTimeout | 字符串 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| API 根 | 字符串 | null | 不适用 |
| API 令牌 | 密码 | null | 不适用 |
| 验证 SSL | 布尔值 | FALSE | 是否使用 son 连接。 |
| 搜索查询 | 字符串 | null | 不适用 |
| 活动限制 | 整数 | 10 | 一次周期中要拉取的事件数量上限。示例:20 |
| 回溯的天数上限 | 整数 | 1 | 自此日期起提取提醒的最长天数。示例:3 |
| 代理服务器地址 | 字符串 | null | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | null | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | null | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
白名单/黑名单
连接器支持白名单/黑名单规则。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。