Symantec ATP

Versione integrazione: 9.0

Configurare Symantec ATP per funzionare con Google Security Operations

Per generare un client OAuth:

  1. In Symantec ATP Manager, vai a Impostazioni e poi a Condivisione dei dati.
  2. Fai clic su Aggiungi applicazione nella sezione Client OAuth.
  3. Digita il nome dell'applicazione che intendi registrare nel campo Nome app, quindi seleziona la versione dell'API che utilizzerai (l'impostazione predefinita è la versione 2).
  4. Se selezioni l'abilitazione delle API versione 2, viene visualizzata l'opzione Ruolo. Seleziona il ruolo utente per l'app dal menu a discesa.
  5. Fai clic su Genera.
  6. Verranno visualizzati l'ID client e il client secret.
  7. Fai clic su Fine.

Configurare l'integrazione di Symantec ATP in Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Azioni

Aggiungi commento all'incidente

Descrizione

Allegare un commento a un incidente.

  1. Per l'incidente in cui vuoi aggiungere un commento, fai clic sul campo Commenti.
  2. Digita il tuo commento nella casella Nuovo commento. I caratteri ASCII estesi non vengono visualizzati correttamente nel formato .csv.
  3. Fai clic su Aggiungi commenti.

Parametri

Parametro Tipo Valore predefinito Descrizione
UUID incidente Stringa N/D N/D
Commento Stringa N/D N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_added Vero/Falso is_added:False
Risultato JSON
N/A

Aggiungi alla blacklist

Descrizione

Crea un criterio di lista bloccata per un'entità. Symantec gestisce una blacklist mondiale di computer e file esterni che viene aggiornata regolarmente e integrata con Symantec Advanced Threat Protection (ATP). Puoi integrare questo elenco creando policy di blacklist per computer esterni o per i file che ritieni non attendibili. Ad esempio, potresti voler creare una policy di lista nera per un file visualizzato di recente nella tua intelligence per la sicurezza informatica che Symantec non ha ancora identificato come minaccia.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Filehash
  • Nome host
  • Indirizzo IP
  • URL

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
  N/A

Aggiungi alla lista consentita

Descrizione

Quando inserisci un computer esterno nella lista consentita, ATP lo considera attendibile e non ispeziona il traffico da o verso i tuoi endpoint (anche se è inserito nella lista nera). Puoi inserire un computer esterno nella lista consentita in base al suo indirizzo IP, alla sottorete, al dominio o all'URL.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Filehash
  • Nome host
  • Indirizzo IP
  • URL

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Chiudi incidente

Descrizione

Modifica lo stato dell'incidente in Chiuso. Per chiudere l'incidente, è necessario specificarne l'esito.

Parametri

Parametro Tipo Valore predefinito Descrizione
UUID incidente Stringa N/D N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_closed Vero/Falso is_closed:False
Risultato JSON
N/A

Elimina file

Descrizione

Quando un file viene selezionato per l'eliminazione in Protezione avanzata dalle minacce (ATP), non viene effettivamente eliminato, ma verrà messo in quarantena dall'endpoint selezionato.

Parametri

Parametro Tipo Valore predefinito Descrizione
Filehash Stringa N/D Hash del file da eliminare.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Filehash
  • Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
command_ids N/D N/D
Risultato JSON
N/A

Elimina policy della lista consentita

Descrizione

Elimina una policy della whitelist per un'entità.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Arricchisci Filehash

Descrizione

Arricchisci un'entità hash di file.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sull'entità Filehash.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
max_file_health N/D N/D
Risultato JSON
N/A

Recupera eventi per entità

Descrizione

Recupera tutti gli eventi per un'entità da un determinato momento.

Parametri

Parametro Tipo Valore predefinito Descrizione
Minuti di recupero Stringa N/D Recupera l'evento di x minuti prima.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
events_amount N/D N/D
Risultato JSON
N/A

Ottieni query gratuita per eventi

Descrizione

Recupera gli eventi tramite query gratuita.

Parametri

Parametro Tipo Valore predefinito Descrizione
Query Stringa N/D Testo della query libero.
Limite Stringa N/D Limite dei risultati della query.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
events_amount N/D N/D
Risultato JSON
N/A

Ottenere lo stato dei comandi sandbox

Descrizione

Ottieni lo stato dei comandi in base all'ID.

Parametri

Parametro Tipo Valore predefinito Descrizione
ID comando Stringa N/D ID comando per cui recuperare lo stato.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Isola endpoint

Descrizione

Per isolare gli endpoint da ATP Manager, è necessaria una policy firewall di quarantena e una policy di integrità host in Symantec Endpoint Protection Manager.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
command_ids N/D N/D
Risultato JSON
N/A

Dindin

Descrizione

Verifica che l'utente abbia una connessione a Symantec ATP tramite il proprio dispositivo.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Riassegnazione degli endpoint

Descrizione

Per rientrare negli endpoint da ATP Manager, è necessaria una policy firewall di quarantena e una policy di integrità host in Symantec Endpoint Protection Manager.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Nome host
  • Indirizzo IP

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
command_ids N/D N/D
Risultato JSON
N/A

Revoca dalla lista nera

Descrizione

Elimina una policy di blacklist per una determinata entità.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Inviare file alla sandbox

Descrizione

Inviare gli hash dei file alla sandbox.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sull'entità Filehash.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
command_ids N/D N/D
Risultato JSON
N/A

Recupera commenti incidente

Descrizione

Recupera i commenti relativi all'incidente.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
UUID incidente Stringa N/D Vero Specifica l'UUID dell'incidente.
Numero massimo di commenti da restituire Numero intero 20 Falso

Specifica il numero di commenti da restituire.

Il massimo è 1000 commenti. Si tratta di una limitazione di Symantec ATP.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
    "result": [
        {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }
    ],
    "total": 3
}

{
    "entity": "{Incident UUID} comments"
    "Entity Results": [
"1": {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"2" : {
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"3":
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }

]

           ],
    "total": 3
}

Aggiorna risoluzione incidente

Descrizione

Aggiorna la risoluzione dell'incidente.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
UUID incidente Stringa N/D Vero Specifica l'UUID dell'incidente.
Stato di risoluzione DDL

DATI INSUFFICIENTI

Valori possibili:

DATI INSUFFICIENTI

RISCHIO PER LA SICUREZZA

FALSO POSITIVO

GESTITI ESTERNAMENTE

NON IMPOSTATO

BENIGN

TEST

 Vero Specifica lo stato di risoluzione da impostare per l'incidente.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Elimina policy della lista nera

Descrizione

Elimina un criterio di lista nera per un'entità Google SecOps.

Parametri

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Connettori

Connettore Symantec ATP - Incidents

Autorizzazioni del connettore

Affinché il connettore funzioni, devi disporre delle seguenti autorizzazioni per il token API:

  • atp_view_incidents

Configurare il connettore Symantec ATP - Incidents in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Vero Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento Stringa AlertName Vero Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente Stringa "" Falso

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex ambiente Stringa .* Falso

Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente".

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari

Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi) Numero intero 180 Vero Limite di timeout per il processo Python che esegue lo script corrente.
Root API Stringa https://x.x.x.x:port Vero Radice API del server Symantec ATP.
ID client Password N/D Vero ID client ATP Symantec
Client secret Password Vero Client secret Symantec ATP
Filtro per priorità CSV Basso, Medio, Alto Vero

Filtro per priorità per gli incidenti.

Se vuoi importare tutti gli incidenti, specifica:
Bassa,Media,Alta.
Recupero ore massime a ritroso Numero intero 1 Falso

Numero di ore da cui recuperare gli incidenti.

Limite: 30 giorni. Si tratta di una limitazione di Symantec ATP.
Numero massimo di incidenti da recuperare Numero intero 25 Falso

Numero di incidenti da elaborare per un'iterazione del connettore.

Max: 1000.
Utilizzare la lista consentita come lista nera Booleano Deselezionata Vero Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata.
Use SSL (Usa SSL) Booleano Selezionata Vero Opzione per attivare la connessione SSL/TLS
Indirizzo del server proxy Stringa Falso L'indirizzo del server proxy da utilizzare
Nome utente proxy Stringa Falso Il nome utente del proxy per l'autenticazione
Password proxy Password Falso La password del proxy per l'autenticazione

Regole del connettore

Supporto del proxy

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.