Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Symantec DLP

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de DLP de Symantec con Bindplane. El código del analizador primero intenta analizar los datos de registro entrantes de Symantec DLP como XML. Si el análisis XML falla, se supone un formato SYSLOG + KV (CEF) y se usa una combinación de filtros grok y kv para extraer pares clave-valor y asignarlos al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a la DLP de Symantec.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Symantec DLP

Accede a la consola de administración de servidores de Symantec.
Selecciona Administrar > Políticas > Reglas de respuesta.
Selecciona Configurar regla de respuesta y, luego, ingresa un nombre para la regla.

Proporciona los siguientes detalles:

Acciones: Selecciona Registrar en un servidor de syslog.
Host: Ingresa la dirección IP de Bindplane.
Puerto: Ingresa el número de puerto Bindplane.

Mensaje: Ingresa el siguiente mensaje:

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

Depuración: Selecciona Nivel 4.

Haz clic en Aplicar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
actuar	security_result.action	Si `act` es `Passed`, configúralo como `ALLOW`. Si `act` es `Modified`, configúralo como `ALLOW_WITH_MODIFICATION`. Si `act` es `Blocked`, configúralo como `BLOCK`. De lo contrario, configúralo como `UNKNOWN_ACTION`.
application_name	target.application	Se asignan directamente.
asset_ip	principal.ip, principal.asset.ip	Se asignan directamente.
asset_name	principal.hostname, principal.asset.hostname	Se asignan directamente.
attachment_name	security_result.about.file.full_path	Se asignan directamente.
blocked	security_result.action_details	Se asignan directamente.
calling_station_id	principal.mac, principal.asset.mac	Si `calling_station_id` es una dirección MAC, asóciala directamente después de reemplazar `-` por `:` y convertirla a minúsculas.
called_station_id	target.mac, target.asset.mac	Si `called_station_id` es una dirección MAC, extrae la parte de la dirección MAC antes de `:` y asóciala directamente después de reemplazar `-` por `:` y convertirla a minúsculas.
category1	security_result.detection_fields	Crea una etiqueta con la clave `category1` y el valor de `category1`.
category2	security_result.detection_fields	Crea una etiqueta con la clave `category2` y el valor de `category2`.
category3	security_result.detection_fields	Crea una etiqueta con la clave `category3` y el valor de `category3`.
client_friendly_name	target.user.userid	Se asignan directamente.
dataowner_mail	principal.user.email_addresses	Se asigna directamente si es una dirección de correo electrónico válida.
descripción	metadata.description	Se asignan directamente.
dest_location	target.location.country_or_region	Se asigna directamente si no es `RED`.
deviceId	target.asset_id	Se asigna como `ID:%{deviceId}`.
device_version	metadata.product_version	Se asignan directamente.
dhost	network.http.referral_url	Se asignan directamente.
dlp_type	security_result.detection_fields	Crea una etiqueta con la clave `dlp_type` y el valor de `dlp_type`.
DLP_EP_Incident_ID	security_result.threat_id, security_result.detection_fields	Se asignan directamente a `threat_id`. Además, crea una etiqueta con la clave `Incident ID` y el valor de `DLP_EP_Incident_ID`.
dominio	principal.administrative_domain	Se asignan directamente.
DST	target.ip, target.asset.ip	Se asigna directamente si es una dirección IP válida.
endpoint_machine	target.ip, target.asset.ip	Se asigna directamente si es una dirección IP válida.
endpoint_user_department	target.user.department	Se asignan directamente.
endpoint_user_email	target.user.email_addresses	Se asignan directamente.
endpoint_user_manager	target.user.managers	Crea un objeto de administrador con `user_display_name` a partir de `endpoint_user_manager`.
endpoint_user_name	target.user.user_display_name	Se asignan directamente.
endpoint_user_title	target.user.title	Se asignan directamente.
event_description	metadata.description	Se asignan directamente.
event_id	metadata.product_log_id	Se asignan directamente.
event_source	target.application	Se asignan directamente.
event_timestamp	metadata.event_timestamp	Se asignan directamente.
file_name	security_result.about.file.full_path	Se asignan directamente.
filename	target.file.full_path, src.file.full_path	Se asignan directamente a `target.file.full_path`. Si `has_principal` es verdadero, también asigna a `src.file.full_path` y establece `event_type` en `FILE_COPY`.
host	src.hostname, principal.hostname, principal.asset.hostname	Si `cef_data` contiene `CEF`, asigna a los tres campos. De lo contrario, asigna a `principal.hostname` y `principal.asset.hostname`.
incident_id	security_result.threat_id, security_result.detection_fields	Se asignan directamente a `threat_id`. Además, crea una etiqueta con la clave `Incident ID` y el valor de `incident_id`.
ubicación	principal.resource.attribute.labels	Crea una etiqueta con la clave `Location` y el valor de `location`.
match_count	security_result.detection_fields	Crea una etiqueta con la clave `Match Count` y el valor de `match_count`.
monitor_name	additional.fields	Crea una etiqueta con la clave `Monitor Name` y el valor de `monitor_name`.
nas_id	target.hostname, target.asset.hostname	Se asignan directamente.
occurred_on	principal.labels, additional.fields	Crea una etiqueta con la clave `Occurred On` y el valor de `occurred_on` para `principal.labels` y `additional.fields`.
policy_name	sec_result.detection_fields	Crea una etiqueta con la clave `policy_name` y el valor de `policy_name`.
policy_rule	security_result.rule_name	Se asignan directamente.
policy_severity	security_result.severity	Se asigna a `severity` después de convertirlo a mayúsculas. Si `policy_severity` es `INFO`, asócialo como `INFORMATIONAL`. Si `policy_severity` no es uno de `HIGH`, `MEDIUM`, `LOW` o `INFORMATIONAL`, establece `severity` en `UNKNOWN_SEVERITY`.
policy_violated	security_result.summary	Se asignan directamente.
Protocolo	network.application_protocol, target.application, sec_result.description	Si `Protocol` no es `FTP` o `Endpoint`, asígnale `network.application_protocol` después de analizarlo con el archivo `parse_app_protocol.include`. Si `Protocol` es `FTP`, asócialo a `target.application`. Si `Protocol` es `Endpoint`, establece `sec_result.description` en `Protocol=%{Protocol}`.
destinatario	target.user.email_addresses, about.user.email_addresses	Para cada dirección de correo electrónico en `recipient`, asóciala a `target.user.email_addresses` y `about.user.email_addresses`.
destinatarios	network.http.referral_url, target.resource.attribute.labels	Se asignan directamente a `network.http.referral_url`. Además, crea una etiqueta con la clave `recipients` y el valor de `recipients`.
reported_on	additional.fields	Crea una etiqueta con la clave `Reported On` y el valor de `reported_on`.
reglas	security_result.detection_fields	Crea una etiqueta con la clave `Rules` y el valor de `rules`.
remitente	network.email.from, target.resource.attribute.labels	Si `sender` es una dirección de correo electrónico válida, asóciala a `network.email.from`. Además, crea una etiqueta con la clave `sender` y el valor de `sender`.
servidor	target.application	Se asignan directamente.
Gravedad	security_result.severity	Consulta `policy_severity` para obtener información sobre la lógica de asignación.
src	principal.ip, principal.asset.ip	Se asigna directamente si es una dirección IP válida.
estado	principal.labels, additional.fields	Crea una etiqueta con la clave `Status` y el valor de `status` para `principal.labels` y `additional.fields`.
asunto	target.resource.attribute.labels, network.email.subject	Crea una etiqueta con la clave `subject` y el valor de `subject`. Además, asigna `subject` a `network.email.subject`.
target_type	target.resource.attribute.labels	Crea una etiqueta con la clave `Target Type` y el valor de `target_type`.
timestamp	metadata.event_timestamp	Se asigna directamente después de analizarlo con el filtro `date`.
url	target.url	Se asignan directamente.
usuario	target.user.userid	Se asignan directamente.
user_id	principal.user.userid	Se asignan directamente.
nombre de usuario	principal.user.userid	Se asignan directamente.
N/A	metadata.product_name	Se define en `SYMANTEC_DLP`.
N/A	metadata.vendor_name	Se define en `SYMANTEC`.
N/A	metadata.event_type	Si `event_type` no está vacío, asócialo directamente. De lo contrario, si `host` no está vacío y `has_principal` es verdadero, configúralo como `SCAN_NETWORK`. De lo contrario, configúralo como `GENERIC_EVENT`.
N/A	metadata.product_event_type	Si `policy_violated` contiene `-NM-` o `data` contiene `DLP NM`, configúralo como `Network Monitor`. Si `policy_violated` contiene `-EP-` o `data` contiene `DLP EP`, configúralo como `Endpoint`.
N/A	metadata.log_type	Se define en `SYMANTEC_DLP`.

Cambios

2025-02-04

Mejora:

Se agregó compatibilidad con los registros SYSLOG.

2025-01-08

Mejora:

Se asignó ATTACHMENT_FILENAME a principal.file.full_path.
Cuando DATAOWNER_NAME está presente, se asigna DATAOWNER_NAME a principal.user.userid.
Cuando DATAOWNER_NAME no está presente, se asigna ENDPOINT_USERNAME a principal.user.userid.

2024-12-27

Mejora:

Se agregó compatibilidad para analizar el nuevo formato de registro.

2024-12-04

Mejora:

Se agregó compatibilidad para analizar el nuevo formato de registro.

2024-11-11

Mejora:

Se agregó compatibilidad para analizar el nuevo formato de registro.

2024-09-05

Mejora:

Se agregó compatibilidad para analizar el nuevo formato de registro.

2024-06-17

Mejora:

Se agregó compatibilidad para analizar el nuevo formato del campo recipients.

2024-06-14

Mejora:

Se agregó compatibilidad con los registros de CEF.

16 de mayo de 2024

Mejora:

Se asignó dlp_type a security_result.detection_fields.

2024-04-26

Corrección de errores:

Se asignó recipients a target.user.email_addresses.

2024-03-10

Mejora:

Se agregaron nuevos patrones de Grok para analizar registros de nuevos formatos de SYSLOG.
Se asignó server a target.application.
Se asignó url a target.url.
Se asignó dataowner_mail a principal.user.email_addresses.
Se asignaron reported_on y monitor_name a additional.fields.
Se asignó sender a network.email.from.
Se asignó subject a network.email.subject.

2024-02-20

Mejora:

Se asignó blocked a security_result.action_details y security_result.action.

2024-01-12

Mejora:

Se asignaron incident_id y DLP_EP_Incident_ID a security_result.detection_fields.
Se agregó un patrón Grok para analizar registros de nuevos formatos de SYSLOG.
Se asignó location a principal.resource.attribute.labels.
Se asignó target_type a target.resource.attribute.labels.

2023-12-06

Mejora:

Se agregó un patrón Grok para analizar registros de formatos nuevos.
Se asignó application a principal.application.
Se asignó application_name a target.application.
Se asignó policy_name a security_result.detection_fields.

2023-09-02

Mejora:

Se agregó compatibilidad para analizar registros con errores y se asignaron los campos según corresponda.

2023-08-17

Mejora:

Se asignó Occurred on a principal.labels.
Cuando act sea Modified, establece security_result.action como ALLOW_WITH_MODIFICATION.
Se asignó status a principal.labels.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.