Diese Seite wurde von der Cloud Translation API übersetzt.

Symantec DLP-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Symantec DLP-Logs mit BindPlane erfassen. Der Parsercode versucht zuerst, die eingehenden Symantec DLP-Logdaten als XML zu parsen. Wenn die XML-Analyse fehlschlägt, wird ein SYSLOG + KV-Format (CEF) angenommen und eine Kombination aus grok- und kv-Filtern verwendet, um Schlüssel/Wert-Paare zu extrahieren und dem einheitlichen Datenmodell (Unified Data Model, UDM) zuzuordnen.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Sie benötigen privilegierten Zugriff auf Symantec DLP.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Greifen Sie auf die Konfigurationsdatei zu:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec DLP konfigurieren

Melden Sie sich in der Symantec Server Administration-Konsole an.
Wählen Sie Verwalten > Richtlinien > Antwortregeln aus.
Wählen Sie Antwortregel konfigurieren aus und geben Sie einen Namen für die Regel ein.

Geben Sie die folgenden Informationen ein:

Aktionen: Wählen Sie Auf einem Syslog-Server protokollieren aus.
Host: Geben Sie die IP-Adresse Bindplane ein.
Port: Geben Sie die Portnummer Bindplane ein.

Nachricht: Geben Sie die folgende Nachricht ein:

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

Fehlerbehebung: Wählen Sie Stufe 4 aus.

Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
handeln	security_result.action	Wenn `act` `Passed` ist, legen Sie `ALLOW` fest. Wenn `act` `Modified` ist, legen Sie `ALLOW_WITH_MODIFICATION` fest. Wenn `act` `Blocked` ist, legen Sie `BLOCK` fest. Andernfalls legen Sie `UNKNOWN_ACTION` fest.
application_name	target.application	Direkt zugeordnet.
asset_ip	principal.ip, principal.asset.ip	Direkt zugeordnet.
asset_name	hauptkonto.hostname, hauptkonto.asset.hostname	Direkt zugeordnet.
attachment_name	security_result.about.file.full_path	Direkt zugeordnet.
blockiert	security_result.action_details	Direkt zugeordnet.
calling_station_id	principal.mac, principal.asset.mac	Wenn `calling_station_id` eine MAC-Adresse ist, ordnen Sie sie direkt zu, nachdem Sie `-` durch `:` ersetzt und in Kleinbuchstaben konvertiert haben.
called_station_id	target.mac, target.asset.mac	Wenn `called_station_id` eine MAC-Adresse ist, extrahieren Sie den Teil der MAC-Adresse vor dem `:` und ordnen Sie ihn direkt nach dem Ersetzen von `-` durch `:` und der Umwandlung in Kleinbuchstaben zu.
category1	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category1` und dem Wert aus `category1`.
category2	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category2` und dem Wert aus `category2`.
category3	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category3` und dem Wert aus `category3`.
client_friendly_name	target.user.userid	Direkt zugeordnet.
dataowner_mail	principal.user.email_addresses	Direkt zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt.
description	metadata.description	Direkt zugeordnet.
dest_location	target.location.country_or_region	Direkt zugeordnet, wenn es nicht `RED` ist.
deviceId	target.asset_id	Als `ID:%{deviceId}` zugeordnet.
device_version	metadata.product_version	Direkt zugeordnet.
dhost	network.http.referral_url	Direkt zugeordnet.
dlp_type	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `dlp_type` und dem Wert aus `dlp_type`.
DLP_EP_Incident_ID	security_result.threat_id, security_result.detection_fields	Direkt `threat_id` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `Incident ID` und dem Wert aus `DLP_EP_Incident_ID`.
Domain	principal.administrative_domain	Direkt zugeordnet.
dst	target.ip, target.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
endpoint_machine	target.ip, target.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
endpoint_user_department	target.user.department	Direkt zugeordnet.
endpoint_user_email	target.user.email_addresses	Direkt zugeordnet.
endpoint_user_manager	target.user.managers	Erstellen Sie mit `user_display_name` aus `endpoint_user_manager` ein Manager-Objekt.
endpoint_user_name	target.user.user_display_name	Direkt zugeordnet.
endpoint_user_title	target.user.title	Direkt zugeordnet.
event_description	metadata.description	Direkt zugeordnet.
event_id	metadata.product_log_id	Direkt zugeordnet.
event_source	target.application	Direkt zugeordnet.
event_timestamp	metadata.event_timestamp	Direkt zugeordnet.
file_name	security_result.about.file.full_path	Direkt zugeordnet.
filename	target.file.full_path, src.file.full_path	Direkt `target.file.full_path` zugeordnet. Wenn `has_principal` „true“ ist, ordnen Sie auch `src.file.full_path` zu und setzen Sie `event_type` auf `FILE_COPY`.
Host	src.hostname, principal.hostname, principal.asset.hostname	Wenn `cef_data` `CEF` enthält, ordnen Sie alle drei Felder zu. Andernfalls wird `principal.hostname` und `principal.asset.hostname` zugeordnet.
incident_id	security_result.threat_id, security_result.detection_fields	Direkt `threat_id` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `Incident ID` und dem Wert aus `incident_id`.
Standort	principal.resource.attribute.labels	Erstellen Sie ein Label mit dem Schlüssel `Location` und dem Wert aus `location`.
match_count	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `Match Count` und dem Wert aus `match_count`.
monitor_name	additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Monitor Name` und dem Wert aus `monitor_name`.
nas_id	target.hostname, target.asset.hostname	Direkt zugeordnet.
occurred_on	principal.labels, additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Occurred On` und dem Wert aus `occurred_on` für `principal.labels` und `additional.fields`.
policy_name	sec_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `policy_name` und dem Wert aus `policy_name`.
policy_rule	security_result.rule_name	Direkt zugeordnet.
policy_severity	security_result.severity	Nach der Umwandlung in Großbuchstaben wird `severity` zugeordnet. Wenn `policy_severity` `INFO` ist, ordnen Sie es als `INFORMATIONAL` zu. Wenn `policy_severity` nicht `HIGH`, `MEDIUM`, `LOW` oder `INFORMATIONAL` ist, legen Sie `severity` auf `UNKNOWN_SEVERITY` fest.
policy_violated	security_result.summary	Direkt zugeordnet.
Protokoll	network.application_protocol, target.application, sec_result.description	Wenn `Protocol` nicht `FTP` oder `Endpoint` ist, ordnen Sie es `network.application_protocol` zu, nachdem Sie es mit der Datei `parse_app_protocol.include` geparst haben. Wenn `Protocol` `FTP` ist, ordnen Sie es `target.application` zu. Wenn `Protocol` `Endpoint` ist, legen Sie `sec_result.description` auf `Protocol=%{Protocol}` fest.
Empfänger	target.user.email_addresses, about.user.email_addresses	Ordnen Sie jede E-Mail-Adresse in `recipient` sowohl `target.user.email_addresses` als auch `about.user.email_addresses` zu.
Empfänger	network.http.referral_url, target.resource.attribute.labels	Direkt `network.http.referral_url` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `recipients` und dem Wert aus `recipients`.
reported_on	additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Reported On` und dem Wert aus `reported_on`.
Regeln	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `Rules` und dem Wert aus `rules`.
sender	network.email.from, target.resource.attribute.labels	Wenn `sender` eine gültige E-Mail-Adresse ist, ordnen Sie sie `network.email.from` zu. Erstellen Sie außerdem ein Label mit dem Schlüssel `sender` und dem Wert aus `sender`.
Server	target.application	Direkt zugeordnet.
Schweregrad	security_result.severity	Informationen zur Zuordnungslogik finden Sie unter `policy_severity`.
src	principal.ip, principal.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
Status	principal.labels, additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Status` und dem Wert aus `status` für `principal.labels` und `additional.fields`.
subject	target.resource.attribute.labels, network.email.subject	Erstellen Sie ein Label mit dem Schlüssel `subject` und dem Wert aus `subject`. Ordne außerdem `subject` `network.email.subject` zu.
target_type	target.resource.attribute.labels	Erstellen Sie ein Label mit dem Schlüssel `Target Type` und dem Wert aus `target_type`.
timestamp	metadata.event_timestamp	Direkt zugeordnet, nachdem sie mit dem Filter `date` geparst wurde.
URL	target.url	Direkt zugeordnet.
Nutzer	target.user.userid	Direkt zugeordnet.
user_id	principal.user.userid	Direkt zugeordnet.
Nutzername	principal.user.userid	Direkt zugeordnet.
–	metadata.product_name	Legen Sie `SYMANTEC_DLP` fest.
–	metadata.vendor_name	Legen Sie `SYMANTEC` fest.
–	metadata.event_type	Wenn `event_type` nicht leer ist, ordnen Sie es direkt zu. Andernfalls, wenn `host` nicht leer und `has_principal` „true“ ist, wird der Wert auf `SCAN_NETWORK` gesetzt. Andernfalls legen Sie `GENERIC_EVENT` fest.
–	metadata.product_event_type	Wenn `policy_violated` `-NM-` enthält oder `data` `DLP NM` enthält, legen Sie den Wert auf `Network Monitor` fest. Wenn `policy_violated` `-EP-` enthält oder `data` `DLP EP` enthält, legen Sie den Wert auf `Endpoint` fest.
–	metadata.log_type	Legen Sie `SYMANTEC_DLP` fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten