Symantec ATP
Version de l'intégration : 9.0
Configurer Symantec ATP pour qu'il fonctionne avec Google Security Operations
Pour générer un client OAuth :
- Dans le gestionnaire Symantec ATP, accédez à Settings (Paramètres), puis à Data Sharing (Partage de données).
- Cliquez sur Add Application (Ajouter une application) dans la section "OAuth Clients" (Clients OAuth).
- Veuillez saisir le nom de l'application que vous souhaitez enregistrer dans le champ "Nom de l'application", puis sélectionner la version de l'API que vous utiliserez (la version 2 est définie par défaut).
- Si vous choisissez d'activer les API de version 2, une option Rôle s'affiche. Sélectionnez le rôle de l'utilisateur pour l'application dans le menu déroulant.
- Cliquez sur Générer.
- L'ID client et le code secret du client s'affichent.
- Cliquez sur OK.
Configurer l'intégration de Symantec ATP dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ajouter un commentaire à un incident
Description
Ajoutez un commentaire à un incident.
- Cliquez sur le champ Commentaires de l'incident que vous souhaitez commenter.
- Saisissez votre commentaire dans la zone "Nouveau commentaire". Les caractères ASCII étendus ne s'affichent pas correctement au format .csv.
- Cliquez sur Ajouter des commentaires.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| UUID de l'incident | Chaîne | N/A | N/A |
| Commentaire | Chaîne | N/A | N/A |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_added | Vrai/Faux | is_added:False |
Résultat JSON
N/A
Ajouter à la liste noire
Description
Créez une règle de liste noire pour une entité. Symantec tient à jour une liste noire mondiale d'ordinateurs et de fichiers externes, qui est régulièrement mise à jour et intégrée à Symantec Advanced Threat Protection (ATP). Vous pouvez compléter cette liste en créant des règles de liste noire pour les ordinateurs externes ou les fichiers que vous jugez non fiables. Par exemple, vous pouvez créer une règle de liste noire pour un fichier qui est apparu récemment dans vos renseignements sur la cybersécurité et que Symantec n'a pas encore identifié comme une menace.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Filehash
- Nom d'hôte
- Adresse IP
- URL
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Ajouter à la liste blanche
Description
Lorsque vous ajoutez un ordinateur externe à la liste blanche, ATP le considère comme fiable et n'inspecte pas le trafic vers ou depuis vos points de terminaison (même s'il est sur liste noire). Vous pouvez ajouter un ordinateur externe à la liste blanche en fonction de son adresse IP, de son sous-réseau, de son domaine ou de son URL.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Filehash
- Nom d'hôte
- Adresse IP
- URL
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Fermer l'incident
Description
Définissez l'état de l'incident sur "Fermé". Pour fermer l'incident, vous devez indiquer son issue.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| UUID de l'incident | Chaîne | N/A | N/A |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_closed | Vrai/Faux | is_closed:False |
Résultat JSON
N/A
Supprimer le fichier
Description
Lorsqu'un fichier est sélectionné pour être supprimé dans la protection avancée contre les menaces (ATP), il n'est pas réellement supprimé, mais est mis en quarantaine par le point de terminaison sélectionné.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Filehash | Chaîne | N/A | Hachage du fichier à supprimer. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Filehash
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| command_ids | N/A | N/A |
Résultat JSON
N/A
Supprimer la règle de liste blanche
Description
Supprimez une règle d'autorisation pour une entité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichir Filehash
Description
Enrichissez une entité de hachage de fichier.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| max_file_health | N/A | N/A |
Résultat JSON
N/A
Obtenir les événements pour une entité
Description
Récupérer tous les événements d'une entité depuis une heure donnée.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Minutes de retour à l'état récupérable | Chaîne | N/A | Récupère l'événement x minutes en arrière. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| events_amount | N/A | N/A |
Résultat JSON
N/A
Requête Get Events Free
Description
Récupérez les événements à l'aide d'une requête en langage naturel.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Query | Chaîne | N/A | Texte de requête libre. |
| Limite | Chaîne | N/A | Limite des résultats de la requête. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| events_amount | N/A | N/A |
Résultat JSON
N/A
Obtenir l'état des commandes du bac à sable
Description
Obtenez l'état des commandes par ID.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| ID de commande | Chaîne | N/A | ID de la commande dont vous souhaitez récupérer l'état. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Isoler un point de terminaison
Description
Pour isoler les points de terminaison d'ATP Manager, vous devez disposer d'une stratégie de pare-feu de mise en quarantaine et d'une stratégie d'intégrité de l'hôte dans Symantec Endpoint Protection Manager.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| command_ids | N/A | N/A |
Résultat JSON
N/A
Ping
Description
Vérifie que l'utilisateur est connecté à Symantec ATP via son appareil.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Points de terminaison pour rejoindre une réunion
Description
Pour réintégrer des points de terminaison à partir d'ATP Manager, vous devez disposer d'une règle de pare-feu de mise en quarantaine et d'une règle d'intégrité de l'hôte dans Symantec Endpoint Protection Manager.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| command_ids | N/A | N/A |
Résultat JSON
N/A
Révoquer de la liste noire
Description
Supprime une règle de liste noire pour une entité donnée.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Envoyer des fichiers au bac à sable
Description
Envoyez les hachages de fichiers au bac à sable.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| command_ids | N/A | N/A |
Résultat JSON
N/A
Obtenir les commentaires sur un incident
Description
Récupérez les commentaires liés à l'incident.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'incident | Chaîne | N/A | Vrai | Spécifiez l'UUID de l'incident. |
| Nombre maximal de commentaires à renvoyer | Integer | 20 | Faux | Indiquez le nombre de commentaires à renvoyer. Le nombre maximal de commentaires est de 1 000. Il s'agit d'une limitation de Symantec ATP. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Mettre à jour la résolution de l'incident
Description
Mettez à jour la résolution de l'incident.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'incident | Chaîne | N/A | Vrai | Spécifiez l'UUID de l'incident. |
| État de résolution | LDD | DONNÉES INSUFFISANTES Valeurs possibles : DONNÉES INSUFFISANTES RISQUE DE SÉCURITÉ FAUX POSITIF GÉRÉ EN EXTERNE NON DÉFINI BENIGN TEST |
Vrai | Indiquez l'état de résolution à définir pour l'incident. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Supprimer une règle de liste noire
Description
Supprime une règle de liste noire pour une entité Google SecOps.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Connecteurs
Connecteur Symantec ATP - Incidents
Autorisations du connecteur
Pour que le connecteur fonctionne, vous devez disposer des autorisations suivantes pour votre jeton d'API :
- atp_view_incidents
Configurer le connecteur Symantec ATP-Incidents dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Vrai | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | AlertName | Vrai | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Faux | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Faux | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environment" (environnement) à l'aide de la logique des expressions régulières Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Vrai | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://x.x.x.x:port | Vrai | Racine de l'API du serveur Symantec ATP. |
| ID client | Mot de passe | N/A | Vrai | ID client Symantec ATP |
| Code secret du client | Mot de passe | Vrai | Code secret du client Symantec ATP | |
| Filtre de priorité | CSV | Faible, Moyenne, Élevée | Vrai | Filtre de priorité pour les incidents. Si vous souhaitez ingérer tous les incidents, spécifiez |
| Récupérer les heures Max en arrière | Integer | 1 | Faux | Nombre d'heures à partir desquelles récupérer les incidents. Limite : 30 jours. Il s'agit d'une limitation de Symantec ATP. |
| Nombre maximal d'incidents à extraire | Integer | 25 | Faux | Nombre d'incidents à traiter par itération de connecteur. Max. : 1 000. |
| Utiliser la liste blanche comme liste noire | Booléen | Décochée | Vrai | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Use SSL (Connexion SSL) | Booléen | Cochée | Vrai | Option permettant d'activer la connexion SSL/TLS |
| Adresse du serveur proxy | Chaîne | Faux | Adresse du serveur proxy à utiliser | |
| Nom d'utilisateur du proxy | Chaîne | Faux | Nom d'utilisateur du proxy pour l'authentification | |
| Mot de passe du proxy | Mot de passe | Faux | Mot de passe du proxy pour l'authentification |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.