Symantec ATP

통합 버전: 9.0

Google Security Operations와 함께 작동하도록 Symantec ATP 구성

OAuth 클라이언트를 생성하려면 다음 단계를 따르세요.

  1. Symantec ATP Manager에서 설정으로 이동한 다음 데이터 공유로 이동합니다.
  2. OAuth 클라이언트 섹션에서 애플리케이션 추가를 클릭합니다.
  3. '앱 이름' 필드에 등록할 애플리케이션의 이름을 입력한 다음 사용할 API 버전을 선택합니다 (기본 설정은 버전 2).
  4. 버전 2 API 사용을 선택하면 역할 옵션이 표시됩니다. 드롭다운 메뉴에서 앱의 사용자 역할을 선택합니다.
  5. 생성을 클릭합니다.
  6. 클라이언트 ID와 클라이언트 보안 비밀번호가 표시됩니다.
  7. 완료를 클릭합니다.

Google SecOps에서 Symantec ATP 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

인시던트에 댓글 추가

설명

인시던트에 댓글을 첨부합니다.

  1. 댓글을 달려는 인시던트의 댓글 필드를 클릭합니다.
  2. '새 댓글' 상자에 댓글을 입력합니다. 확장 ASCII 문자는 .csv 형식으로 올바르게 렌더링되지 않습니다.
  3. 댓글 추가를 클릭합니다.

매개변수

매개변수 유형 기본값 설명
인시던트 UUID 문자열 해당 사항 없음 해당 사항 없음
댓글 문자열 해당 사항 없음 해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_added True/False is_added:False
JSON 결과
N/A

차단 목록에 추가

설명

엔티티의 블랙리스트 정책을 만듭니다. Symantec은 정기적으로 업데이트되고 Symantec Advanced Threat Protection (ATP)과 통합되는 외부 컴퓨터 및 파일의 전 세계 블랙리스트를 유지합니다. 신뢰할 수 없다고 생각되는 외부 컴퓨터 또는 파일에 대한 블랙리스트 정책을 만들어 이 목록을 보완할 수 있습니다. 예를 들어 최근 사이버 보안 인텔리전스에 표시되었지만 Symantec에서 아직 위협으로 식별하지 않은 파일에 대해 블랙리스트 정책을 만들 수 있습니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • Filehash
  • 호스트 이름
  • IP 주소
  • URL

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
  N/A

허용 목록에 추가

설명

외부 컴퓨터를 허용 목록에 추가하면 ATP에서 신뢰할 수 있는 것으로 간주하고 엔드포인트에서 해당 컴퓨터로 또는 해당 컴퓨터에서 엔드포인트로 전송되는 트래픽을 검사하지 않습니다 (블랙리스트에 추가된 경우에도 마찬가지임). IP 주소, 서브넷, 도메인 또는 URL을 기반으로 외부 컴퓨터를 허용 목록에 추가할 수 있습니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • Filehash
  • 호스트 이름
  • IP 주소
  • URL

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

Close Incident(이슈 닫기)

설명

인시던트 상태를 종료됨으로 변경합니다. 인시던트를 종료하려면 인시던트의 결과를 지정해야 합니다.

매개변수

매개변수 유형 기본값 설명
인시던트 UUID 문자열 해당 사항 없음 해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_closed True/False is_closed:False
JSON 결과
N/A

파일 삭제

설명

고급 위협 방지 (ATP)에서 삭제할 파일을 선택하면 실제로 삭제되지는 않지만 선택한 엔드포인트에 의해 격리됩니다.

매개변수

매개변수 유형 기본값 설명
Filehash 문자열 해당 사항 없음 삭제할 파일 해시입니다.

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • Filehash
  • 호스트 이름

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
command_ids 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

허용 목록 정책 삭제

설명

엔티티의 허용 목록 정책을 삭제합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

파일 해시 보강

설명

파일 해시 항목을 보강합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 Filehash 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
max_file_health 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

엔티티의 이벤트 가져오기

설명

특정 시간 이후의 항목에 대한 모든 이벤트를 가져옵니다.

매개변수

매개변수 유형 기본값 설명
가져올 시간(분) 문자열 해당 사항 없음 x분 전의 이벤트를 가져옵니다.

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • 호스트 이름
  • IP 주소

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
events_amount 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

이벤트 가져오기 무료 쿼리

설명

무료 쿼리로 이벤트를 가져옵니다.

매개변수

매개변수 유형 기본값 설명
쿼리 문자열 해당 사항 없음 자유 쿼리 텍스트입니다.
한도 문자열 해당 사항 없음 쿼리 결과의 한도입니다.

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
events_amount 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

샌드박스 명령어 상태 가져오기

설명

ID로 명령어 상태를 가져옵니다.

매개변수

매개변수 유형 기본값 설명
명령어 ID 문자열 해당 사항 없음 상태를 가져올 명령어 ID입니다.

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

엔드포인트 격리

설명

엔드포인트를 ATP Manager에서 격리하려면 Symantec Endpoint Protection Manager에 격리 방화벽 정책과 호스트 무결성 정책이 필요합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • 호스트 이름
  • IP 주소

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
command_ids 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

설명

사용자가 사용자 기기를 통해 Symantec ATP에 연결되어 있는지 확인합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

엔드포인트 다시 가입

설명

ATP Manager에서 엔드포인트를 다시 가입하려면 Symantec Endpoint Protection Manager에 격리 방화벽 정책과 호스트 무결성 정책이 필요합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • 호스트 이름
  • IP 주소

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
command_ids 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

블랙리스트에서 삭제

설명

지정된 항목의 블랙리스트 정책을 삭제합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

샌드박스에 파일 제출

설명

파일 해시를 샌드박스에 제출합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 Filehash 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
command_ids 해당 사항 없음 해당 사항 없음
JSON 결과
N/A

Get Incident Comments(이슈 댓글 가져오기)

설명

인시던트와 관련된 댓글을 가져옵니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
인시던트 UUID 문자열 해당 사항 없음 인시던트의 UUID를 지정합니다.
반환할 최대 주석 정수 20 거짓

반환할 댓글 수를 지정합니다.

최대 1,000개의 댓글을 가져올 수 있습니다. 이는 Symantec ATP 제한사항입니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
{
    "next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
    "result": [
        {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }
    ],
    "total": 3
}

{
    "entity": "{Incident UUID} comments"
    "Entity Results": [
"1": {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"2" : {
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        },
"3":
 {
            "comment": "TExt",
            "time": "2020-05-03T09:57:10.348Z",
            "user_id": 2,
            "incident_responder_name": "Admin"
        }

]

           ],
    "total": 3
}

Update Incident Resolution(사고 해결 업데이트)

설명

인시던트의 해결 방법을 업데이트합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
인시던트 UUID 문자열 해당 사항 없음 인시던트의 UUID를 지정합니다.
해결 상태 DDL

데이터 불충분

가능한 값은 다음과 같습니다.

데이터 불충분

보안 위험

거짓양성

외부에서 관리

설정되지 않음

양성

테스트

 인시던트에 설정할 해결 상태를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

차단 목록 정책 삭제

설명

Google SecOps 엔티티의 블랙리스트 정책을 삭제합니다.

매개변수

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

커넥터

Symantec ATP - Incidents Connector

커넥터 권한

커넥터가 작동하려면 API 토큰에 다음 권한이 필요합니다.

  • atp_view_incidents

Google SecOps에서 Symantec ATP - Incidents Connector 구성

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
제품 필드 이름 문자열 제품 이름 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름 문자열 AlertName 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름 문자열 "" 거짓

환경 이름이 저장된 필드의 이름을 설명합니다.

환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴 문자열 .* 거짓

'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다.

기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다.

사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다.

정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초) 정수 180 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
API 루트 문자열 https://x.x.x.x:port Symantec ATP 서버의 API 루트입니다.
클라이언트 ID 비밀번호 해당 사항 없음 Symantec ATP 클라이언트 ID
클라이언트 보안 비밀번호 비밀번호 Symantec ATP 클라이언트 보안 비밀번호
우선순위 필터 CSV 낮음, 중간, 높음

인시던트의 우선순위 필터입니다.

모든 인시던트를 수집하려면
Low,Medium,High를 지정합니다.
최대 시간을 뒤로 가져오기 정수 1 거짓

인시던트를 가져올 위치의 시간입니다.

한도: 30일 이는 Symantec ATP 제한사항입니다.
가져올 최대 인시던트 수 정수 25 거짓

커넥터 반복당 처리할 인시던트 수입니다.

최대: 1,000
허용 목록을 차단 목록으로 사용 불리언 선택 해제 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다.
Use SSL 불리언 선택됨 SSL/TLS 연결을 사용 설정하는 옵션
프록시 서버 주소 문자열 거짓 사용할 프록시 서버의 주소
프록시 사용자 이름 문자열 거짓 인증할 프록시 사용자 이름
프록시 비밀번호 비밀번호 거짓 인증할 프록시 비밀번호

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.