Diese Seite wurde von der Cloud Translation API übersetzt.

Symantec DLP-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Symantec DLP-Logs mit BindPlane erfassen. Der Parsercode versucht zuerst, die eingehenden Symantec DLP-Protokolldaten als XML zu parsen. Wenn die XML-Analyse fehlschlägt, wird davon ausgegangen, dass es sich um ein SYSLOG + KV (CEF)-Format handelt. Es werden dann eine Kombination aus grok- und kv-Filtern verwendet, um Schlüssel/Wert-Paare zu extrahieren und dem einheitlichen Datenmodell (UDM) zuzuordnen.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen Berechtigungen für den Zugriff auf die Symantec-DLP-Lösung.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec DLP konfigurieren

Melden Sie sich in der Symantec Server Administration-Konsole an.
Wählen Sie Verwalten > Richtlinien > Antwortregeln aus.
Wählen Sie Antwortregel konfigurieren aus und geben Sie einen Regelnamen ein.

Geben Sie die folgenden Informationen ein:

Aktionen: Wählen Sie In einen syslog-Server protokollieren aus.
Host: Geben Sie die IP-Adresse von Bindplane ein.
Port: Geben Sie die Portnummer Bindplane ein.

Message: Geben Sie die folgende Nachricht ein:

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

Fehlerbehebung: Wählen Sie Level 4 aus.

Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
handeln	security_result.action	Wenn `act` `Passed` ist, setzen Sie `ALLOW`. Wenn `act` `Modified` ist, setzen Sie `ALLOW_WITH_MODIFICATION`. Wenn `act` `Blocked` ist, setzen Sie `BLOCK`. Andernfalls setzen Sie `UNKNOWN_ACTION`.
application_name	target.application	Direkt zugeordnet.
asset_ip	principal.ip, principal.asset.ip	Direkt zugeordnet.
asset_name	principal.hostname, principal.asset.hostname	Direkt zugeordnet.
attachment_name	security_result.about.file.full_path	Direkt zugeordnet.
blockiert	security_result.action_details	Direkt zugeordnet.
calling_station_id	principal.mac, principal.asset.mac	Wenn `calling_station_id` eine MAC-Adresse ist, ordnen Sie sie direkt zu, nachdem Sie `-` durch `:` ersetzt und in Kleinbuchstaben umgewandelt haben.
called_station_id	target.mac, target.asset.mac	Wenn `called_station_id` eine MAC-Adresse ist, extrahieren Sie den MAC-Adressteil vor dem `:` und ordnen Sie ihn direkt zu, nachdem Sie `-` durch `:` ersetzt und in Kleinbuchstaben umgewandelt haben.
category1	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category1` und dem Wert aus `category1`.
category2	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category2` und dem Wert aus `category2`.
category3	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `category3` und dem Wert aus `category3`.
client_friendly_name	target.user.userid	Direkt zugeordnet.
dataowner_mail	principal.user.email_addresses	Wird direkt zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt.
description	metadata.description	Direkt zugeordnet.
dest_location	target.location.country_or_region	Direkt zugeordnet, wenn es sich nicht um `RED` handelt.
deviceId	target.asset_id	Zugewiesen als `ID:%{deviceId}`.
device_version	metadata.product_version	Direkt zugeordnet.
dhost	network.http.referral_url	Direkt zugeordnet.
dlp_type	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `dlp_type` und dem Wert aus `dlp_type`.
DLP_EP_Incident_ID	security_result.threat_id, security_result.detection_fields	Direkt `threat_id` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `Incident ID` und dem Wert aus `DLP_EP_Incident_ID`.
Domain	principal.administrative_domain	Direkt zugeordnet.
dst	target.ip, target.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
endpoint_machine	target.ip, target.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
endpoint_user_department	target.user.department	Direkt zugeordnet.
endpoint_user_email	target.user.email_addresses	Direkt zugeordnet.
endpoint_user_manager	target.user.managers	Erstelle ein Verwaltungsobjekt mit `user_display_name` von `endpoint_user_manager`.
endpoint_user_name	target.user.user_display_name	Direkt zugeordnet.
endpoint_user_title	target.user.title	Direkt zugeordnet.
event_description	metadata.description	Direkt zugeordnet.
event_id	metadata.product_log_id	Direkt zugeordnet.
event_source	target.application	Direkt zugeordnet.
event_timestamp	metadata.event_timestamp	Direkt zugeordnet.
file_name	security_result.about.file.full_path	Direkt zugeordnet.
filename	target.file.full_path, src.file.full_path	Direkt `target.file.full_path` zugeordnet. Wenn `has_principal` auf „wahr“ gesetzt ist, ordnen Sie auch `src.file.full_path` zu und legen Sie `event_type` auf `FILE_COPY` fest.
Host	src.hostname, principal.hostname, principal.asset.hostname	Wenn `cef_data` `CEF` enthält, ordnen Sie es allen drei Feldern zu. Andernfalls ordnen Sie sie `principal.hostname` und `principal.asset.hostname` zu.
incident_id	security_result.threat_id, security_result.detection_fields	Direkt `threat_id` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `Incident ID` und dem Wert aus `incident_id`.
Standort	principal.resource.attribute.labels	Erstellen Sie ein Label mit dem Schlüssel `Location` und dem Wert aus `location`.
match_count	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `Match Count` und dem Wert aus `match_count`.
monitor_name	additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Monitor Name` und dem Wert aus `monitor_name`.
nas_id	target.hostname, target.asset.hostname	Direkt zugeordnet.
occurred_on	principal.labels, additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Occurred On` und dem Wert aus `occurred_on` sowohl für `principal.labels` als auch für `additional.fields`.
policy_name	sec_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `policy_name` und dem Wert aus `policy_name`.
policy_rule	security_result.rule_name	Direkt zugeordnet.
policy_severity	security_result.severity	Nach der Umwandlung in Großbuchstaben wird `severity` zugewiesen. Wenn `policy_severity` `INFO` ist, ordnen Sie ihm `INFORMATIONAL` zu. Wenn `policy_severity` nicht `HIGH`, `MEDIUM`, `LOW` oder `INFORMATIONAL` ist, setzen Sie `severity` auf `UNKNOWN_SEVERITY`.
policy_violated	security_result.summary	Direkt zugeordnet.
Protokoll	network.application_protocol, target.application, sec_result.description	Wenn `Protocol` nicht `FTP` oder `Endpoint` ist, ordnen Sie es `network.application_protocol` zu, nachdem Sie es mit der `parse_app_protocol.include`-Datei geparst haben. Wenn `Protocol` `FTP` ist, ordnen Sie ihm `target.application` zu. Wenn `Protocol` `Endpoint` ist, legen Sie `sec_result.description` auf `Protocol=%{Protocol}` fest.
Empfänger	target.user.email_addresses, about.user.email_addresses	Ordnen Sie jede E-Mail-Adresse in `recipient` sowohl `target.user.email_addresses` als auch `about.user.email_addresses` zu.
Empfänger	network.http.referral_url, target.resource.attribute.labels	Direkt `network.http.referral_url` zugeordnet. Erstellen Sie außerdem ein Label mit dem Schlüssel `recipients` und dem Wert aus `recipients`.
reported_on	additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Reported On` und dem Wert aus `reported_on`.
Regeln	security_result.detection_fields	Erstellen Sie ein Label mit dem Schlüssel `Rules` und dem Wert aus `rules`.
sender	network.email.from, target.resource.attribute.labels	Wenn `sender` eine gültige E-Mail-Adresse ist, ordnen Sie sie `network.email.from` zu. Erstellen Sie außerdem ein Label mit dem Schlüssel `sender` und dem Wert aus `sender`.
Server	target.application	Direkt zugeordnet.
Schweregrad	security_result.severity	Informationen zur Zuordnungslogik finden Sie unter `policy_severity`.
src	principal.ip, principal.asset.ip	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
Status	principal.labels, additional.fields	Erstellen Sie ein Label mit dem Schlüssel `Status` und dem Wert aus `status` sowohl für `principal.labels` als auch für `additional.fields`.
subject	target.resource.attribute.labels, network.email.subject	Erstellen Sie ein Label mit dem Schlüssel `subject` und dem Wert aus `subject`. Ordnen Sie außerdem `subject` `network.email.subject` zu.
target_type	target.resource.attribute.labels	Erstellen Sie ein Label mit dem Schlüssel `Target Type` und dem Wert aus `target_type`.
timestamp	metadata.event_timestamp	Direkt nach dem Parsen mit dem Filter `date` zugeordnet.
URL	target.url	Direkt zugeordnet.
Nutzer	target.user.userid	Direkt zugeordnet.
user_id	principal.user.userid	Direkt zugeordnet.
Nutzername	principal.user.userid	Direkt zugeordnet.
–	metadata.product_name	Legen Sie `SYMANTEC_DLP` fest.
–	metadata.vendor_name	Legen Sie `SYMANTEC` fest.
–	metadata.event_type	Wenn `event_type` nicht leer ist, ordnen Sie ihm direkt einen Wert zu. Andernfalls, wenn `host` nicht leer ist und `has_principal` wahr ist, setze `SCAN_NETWORK`. Andernfalls setzen Sie `GENERIC_EVENT`.
–	metadata.product_event_type	Wenn `policy_violated` `-NM-` oder `data` `DLP NM` enthält, legen Sie `Network Monitor` fest. Wenn `policy_violated` `-EP-` oder `data` `DLP EP` enthält, legen Sie `Endpoint` fest.
–	metadata.log_type	Legen Sie `SYMANTEC_DLP` fest.

Änderungen

2025-02-04

Optimierung:

Unterstützung für SYSLOG-Protokolle hinzugefügt.

2025-01-08

Optimierung:

ATTACHMENT_FILENAME wurde principal.file.full_path zugeordnet.
Wenn DATAOWNER_NAME vorhanden ist, wird DATAOWNER_NAME principal.user.userid zugeordnet.
Wenn DATAOWNER_NAME nicht vorhanden ist, wird ENDPOINT_USERNAME mit principal.user.userid verknüpft.

2024-12-27

Optimierung:

Unterstützung für das Parsen des neuen Protokollformats hinzugefügt.

2024-12-04

Optimierung:

Unterstützung für das Parsen des neuen Protokollformats hinzugefügt.

2024-11-11

Optimierung:

Unterstützung für das Parsen des neuen Protokollformats hinzugefügt.

2024-09-05

Optimierung:

Unterstützung für das Parsen des neuen Protokollformats hinzugefügt.

2024-06-17

Optimierung:

Unterstützung für das neue Format des Felds recipients hinzugefügt.

2024-06-14

Optimierung:

Unterstützung für CEF-Protokolle hinzugefügt.

2024-05-16

Optimierung:

dlp_type wurde security_result.detection_fields zugeordnet.

2024-04-26

Fehlerkorrektur:

recipients wurde target.user.email_addresses zugeordnet.

2024-03-10

Optimierung:

Es wurden neue Grok-Muster hinzugefügt, um Protokolle neuer SYSLOG-Formate zu analysieren.
server wurde target.application zugeordnet.
url wurde target.url zugeordnet.
dataowner_mail wurde principal.user.email_addresses zugeordnet.
reported_on und monitor_name wurden additional.fields zugeordnet.
sender wurde network.email.from zugeordnet.
subject wurde network.email.subject zugeordnet.

2024-02-20

Optimierung:

blocked wurde security_result.action_details und security_result.action zugeordnet.

2024-01-12

Optimierung:

incident_id und DLP_EP_Incident_ID wurden security_result.detection_fields zugeordnet.
Es wurde ein Grok-Muster hinzugefügt, um Protokolle neuer SYSLOG-Formate zu parsen.
location wurde principal.resource.attribute.labels zugeordnet.
target_type wurde target.resource.attribute.labels zugeordnet.

2023-12-06

Optimierung:

Es wurde ein Grok-Muster hinzugefügt, um Protokolle neuer Formate zu parsen.
application wurde principal.application zugeordnet.
application_name wurde target.application zugeordnet.
policy_name wurde security_result.detection_fields zugeordnet.

2023-09-02

Optimierung:

Es wurde eine Unterstützung für das Parsen fehlgeschlagener Protokolle hinzugefügt und die Felder wurden entsprechend zugeordnet.

2023-08-17

Optimierung:

Occurred on wurde principal.labels zugeordnet.
Wenn act Modified ist, setzen Sie security_result.action auf ALLOW_WITH_MODIFICATION.
status wurde principal.labels zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten