Symantec ATP
Versión de integración: 9.0
Configurar Symantec ATP para que funcione con Google Security Operations
Para generar un cliente de OAuth, sigue estos pasos:
- En Symantec ATP Manager, vaya a Configuración y, a continuación, a Compartir datos.
- En la sección Clientes de OAuth, haz clic en Añadir aplicación.
- Escribe el nombre de la aplicación que quieras registrar en el campo Nombre de la aplicación y, a continuación, selecciona la versión de la API que vas a usar (la versión 2 está seleccionada de forma predeterminada).
- Si seleccionas la opción para habilitar las APIs de la versión 2, aparecerá la opción Rol. En el menú desplegable, selecciona el rol del usuario en la aplicación.
- Haz clic en Generar.
- Aparecerán el ID y el secreto de cliente.
- Haz clic en Listo.
Configurar la integración de Symantec ATP en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Añadir comentario a incidente
Descripción
Adjunta un comentario a una incidencia.
- En el incidente en el que quieras hacer un comentario, haz clic en el campo Comentarios.
- Escribe tu comentario en el cuadro Nuevo comentario. Los caracteres ASCII extendidos no se muestran correctamente en formato .csv.
- Haz clic en Añadir comentarios.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| UUID de incidente | Cadena | N/A | N/A |
| Comentario | Cadena | N/A | N/A |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_added | Verdadero/Falso | is_added:False |
Resultado de JSON
N/A
Añadir a lista negra
Descripción
Crea una política de lista negra para una entidad. Symantec mantiene una lista negra mundial de ordenadores y archivos externos que se actualiza periódicamente y se integra con Symantec Advanced Threat Protection (ATP). Puedes complementar esta lista creando políticas de listas negras para ordenadores externos o archivos que consideres que no son de confianza. Por ejemplo, puede crear una política de lista negra para un archivo que haya aparecido recientemente en su información de ciberseguridad y que Symantec aún no haya identificado como amenaza.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
- Dirección IP
- URL
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Añadir a lista de permitidos
Descripción
Cuando incluyes en la lista blanca un ordenador externo, ATP lo considera de confianza y no inspecciona el tráfico hacia o desde él desde tus endpoints (aunque esté en la lista negra). Puede incluir en una lista blanca un ordenador externo en función de su dirección IP, subred, dominio o URL.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
- Dirección IP
- URL
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cerrar incidente
Descripción
Cambia el estado del incidente a Cerrado. Para cerrar el incidente, debe especificarse el resultado.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| UUID de incidente | Cadena | N/A | N/A |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_closed | Verdadero/Falso | is_closed:False |
Resultado de JSON
N/A
Eliminar archivo
Descripción
Cuando se selecciona un archivo para eliminarlo en Protección Avanzada contra Amenazas (ATP), no se elimina, sino que se pone en cuarentena en el endpoint seleccionado.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Filehash | Cadena | N/A | Hash del archivo que se va a eliminar. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Eliminar política de lista de permitidos
Descripción
Elimina una política de lista de permitidos de una entidad.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enrich Filehash
Descripción
Enriquecer una entidad de hash de archivo.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| max_file_health | N/A | N/A |
Resultado de JSON
N/A
Get Events for Entity
Descripción
Obtiene todos los eventos de una entidad desde un momento determinado.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Minutos que se deben retroceder para obtener los datos | Cadena | N/A | Recupera el evento de hace x minutos. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado de JSON
N/A
Get Events Free Query
Descripción
Obtener eventos mediante una consulta gratuita.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Consulta | Cadena | N/A | Texto de consulta libre. |
| Límite | Cadena | N/A | Límite de resultados de la consulta. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado de JSON
N/A
Obtener el estado de los comandos del entorno aislado
Descripción
Obtener el estado de los comandos por ID.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| IDs de comandos | Cadena | N/A | ID del comando para obtener el estado. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Aislar endpoint
Descripción
Para aislar los endpoints de ATP Manager, se necesita una política de firewall de cuarentena y una política de integridad de host en Symantec Endpoint Protection Manager.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Ping
Descripción
Verifica que el usuario tenga una conexión con Symantec ATP a través de su dispositivo.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Volver a unirse a endpoints
Descripción
Para volver a añadir los endpoints desde ATP Manager, se necesita una política de cortafuegos de cuarentena y una política de integridad de host en Symantec Endpoint Protection Manager.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Revocar de la lista negra
Descripción
Elimina una política de lista negra de una entidad determinada.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enviar archivos al entorno aislado
Descripción
Enviar hashes de archivos al sandbox.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Obtener comentarios de incidentes
Descripción
Recuperar los comentarios relacionados con el incidente.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de incidente | Cadena | N/A | Verdadero | Especifica el UUID del incidente. |
| Número máximo de comentarios que se devolverán | Entero | 20 | Falso | Especifica cuántos comentarios quieres devolver. El máximo es de 1000 comentarios. Se trata de una limitación de Symantec ATP. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Actualizar resolución de incidente
Descripción
Actualiza la resolución del incidente.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de incidente | Cadena | N/A | Verdadero | Especifica el UUID del incidente. |
| Estado de resolución | DDL | DATOS INSUFICIENTES Posibles valores: DATOS INSUFICIENTES RIESGO DE SEGURIDAD FALSO POSITIVO GESTIONADO DE FORMA EXTERNA NOT SET BENIGNO PROBAR |
Verdadero | Especifica el estado de resolución que se debe asignar al incidente. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Eliminar política de lista negra
Descripción
Elimina una política de lista negra de una entidad de Google SecOps.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Conectores
Conector de incidentes de Symantec ATP
Permisos del conector
Para que el conector funcione, necesitas los siguientes permisos para tu token de API:
- atp_view_incidents
Configurar el conector de incidentes de Symantec ATP en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Verdadero | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | AlertName | Verdadero | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | Falso | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | Falso | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo de entorno mediante lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Verdadero | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://x.x.x.x:puerto | Verdadero | Raíz de la API del servidor de Symantec ATP. |
| ID de cliente | Contraseña | N/A | Verdadero | ID de cliente de ATP de Symantec |
| Secreto de cliente | Contraseña | Verdadero | Secreto de cliente de Symantec ATP | |
| Filtro de prioridad | CSV | Bajo, Medio y Alto | Verdadero | Filtro de prioridad de los incidentes. Si quieres ingerir todos los incidentes, especifica: |
| Fetch Max Hours Backwards | Entero | 1 | Falso | Número de horas desde las que se deben obtener los incidentes. Límite: 30 días. Se trata de una limitación de Symantec ATP. |
| Número máximo de incidentes que se van a obtener | Entero | 25 | Falso | Número de incidentes que se procesan por cada iteración del conector. Máximo: 1000. |
| Usar la lista blanca como lista negra | Booleano | Desmarcada | Verdadero | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Use SSL (Usar SSL) | Booleano | Marcada | Verdadero | Opción para habilitar la conexión SSL/TLS |
| Dirección del servidor proxy | Cadena | Falso | Dirección del servidor proxy que se va a usar. | |
| Nombre de usuario del proxy | Cadena | Falso | Nombre de usuario del proxy para autenticarse | |
| Contraseña del proxy | Contraseña | Falso | La contraseña del proxy para autenticarte |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.