Symantec ICDx
整合版本:6.0
在 Google Security Operations 中設定 Symantec ICDx 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
取得活動
說明
依 ID 取得活動資料。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
事件 UUID | 字串 | 不適用 | 不適用 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
N/A
退回活動分鐘數
說明
依分鐘數取得查詢的事件。
參數
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
查詢 | 字串 | 不適用 | 要求查詢。 |
限制 | 字串 | 不適用 | 已達接收事件數量上限。 |
分鐘 | 字串 | 不適用 | 擷取「Fetch events minutes back」參數。 |
欄位 | 字串 | 不適用 | 要帶入的特定事件欄位(以半形逗號分隔)。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
4.0 | 不適用 | 不適用 |
JSON 結果
N/A
乒乓
說明
測試 Symantec ICDx 連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
指令碼結果名稱 | 價值選項 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 結果
N/A
連接器
Symantec ICDx 查詢連接器
說明
使用查詢從 Symantec ICDx 伺服器擷取事件。
在 Google SecOps 中設定 Symantec ICDx 查詢連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
參數 | 類型 | 預設值 | 說明 |
---|---|---|---|
DeviceProductField | 字串 | device_product | 用來判斷裝置產品的欄位名稱。 |
EventClassId | 字串 | 名稱 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
PythonProcessTimeout | 字串 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
API 根層級 | 字串 | null | 不適用 |
API 權杖 | 密碼 | null | 不適用 |
驗證 SSL | 布林值 | FALSE | 是否要使用 son 連線。 |
搜尋查詢 | 字串 | null | 不適用 |
活動限制 | 整數 | 10 | 單一週期內要擷取的事件數量上限。範例:20 |
最多可回溯的天數 | 整數 | 1 | 自此日期起擷取快訊的天數上限。範例:3 |
Proxy 伺服器位址 | 字串 | null | 要使用的 Proxy 伺服器位址。 |
Proxy 使用者名稱 | 字串 | null | 用於驗證的 Proxy 使用者名稱。 |
Proxy 密碼 | 密碼 | null | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
許可清單/黑名單
連接器支援許可清單/黑名單規則。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。