Recopila registros de Symantec DLP
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo recopilar registros de DLP de Symantec con Bindplane. Primero, el código del analizador intenta analizar los datos de registro de DLP de Symantec entrantes como XML. Si falla el análisis de XML, se supone que hay un formato SYSLOG + KV (CEF) y se usa una combinación de filtros grok y kv para extraer pares clave-valor y asignarlos al modelo de datos unificado (UDM).
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd. - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a la DLP de Symantec.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: symantec_dlp raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Symantec DLP
- Accede a la consola de administración del servidor de Symantec.
- Selecciona Administrar > Políticas > Reglas de respuesta.
- Selecciona Configurar regla de respuesta y, luego, ingresa un nombre para la regla.
Proporciona los siguientes detalles:
- Acciones: Selecciona Registrar en un servidor syslog.
- Host: Ingresa la dirección IP de
Bindplane. - Puerto: Ingresa el número de puerto
Bindplane. Message: Ingresa el siguiente mensaje:
|symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|Depuración: Selecciona Nivel 4.
Haz clic en Aplicar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| actúa | security_result.action | Si act es Passed, configúralo como ALLOW. Si act es Modified, configúralo como ALLOW_WITH_MODIFICATION. Si act es Blocked, configúralo como BLOCK. De lo contrario, configúralo como UNKNOWN_ACTION. |
| application_name | target.application | Se asigna directamente. |
| asset_ip | principal.ip, principal.asset.ip | Se asigna directamente. |
| asset_name | principal.hostname, principal.asset.hostname | Se asigna directamente. |
| attachment_name | security_result.about.file.full_path | Se asigna directamente. |
| blocked | security_result.action_details | Se asigna directamente. |
| calling_station_id | principal.mac, principal.asset.mac | Si calling_station_id es una dirección MAC, asígnale un mapa directamente después de reemplazar - por : y convertirlo a minúsculas. |
| called_station_id | target.mac, target.asset.mac | Si called_station_id es una dirección MAC, extrae la parte de la dirección MAC que se encuentra antes de : y asígnala directamente después de reemplazar - por : y convertirla a minúsculas. |
| category1 | security_result.detection_fields | Crea una etiqueta con la clave category1 y el valor de category1. |
| category2 | security_result.detection_fields | Crea una etiqueta con la clave category2 y el valor de category2. |
| category3 | security_result.detection_fields | Crea una etiqueta con la clave category3 y el valor de category3. |
| client_friendly_name | target.user.userid | Se asigna directamente. |
| dataowner_mail | principal.user.email_addresses | Se asigna directamente si es una dirección de correo electrónico válida. |
| descripción | metadata.description | Se asigna directamente. |
| dest_location | target.location.country_or_region | Se asigna directamente si no es RED. |
| deviceId | target.asset_id | Se asigna como ID:%{deviceId}. |
| device_version | metadata.product_version | Se asigna directamente. |
| dhost | network.http.referral_url | Se asigna directamente. |
| dlp_type | security_result.detection_fields | Crea una etiqueta con la clave dlp_type y el valor de dlp_type. |
| DLP_EP_Incident_ID | security_result.threat_id, security_result.detection_fields | Se asigna directamente a threat_id. Además, crea una etiqueta con la clave Incident ID y el valor de DLP_EP_Incident_ID. |
| dominio | principal.administrative_domain | Se asigna directamente. |
| DST | target.ip, target.asset.ip | Se asigna directamente si es una dirección IP válida. |
| endpoint_machine | target.ip, target.asset.ip | Se asigna directamente si es una dirección IP válida. |
| endpoint_user_department | target.user.department | Se asigna directamente. |
| endpoint_user_email | target.user.email_addresses | Se asigna directamente. |
| endpoint_user_manager | target.user.managers | Crea un objeto administrador con user_display_name a partir de endpoint_user_manager. |
| endpoint_user_name | target.user.user_display_name | Se asigna directamente. |
| endpoint_user_title | target.user.title | Se asigna directamente. |
| event_description | metadata.description | Se asigna directamente. |
| event_id | metadata.product_log_id | Se asigna directamente. |
| event_source | target.application | Se asigna directamente. |
| event_timestamp | metadata.event_timestamp | Se asigna directamente. |
| file_name | security_result.about.file.full_path | Se asigna directamente. |
| filename | target.file.full_path, src.file.full_path | Se asigna directamente a target.file.full_path. Si has_principal es verdadero, también se debe asignar a src.file.full_path y establecer event_type en FILE_COPY. |
| host | src.hostname, principal.hostname, principal.asset.hostname | Si cef_data contiene CEF, se debe asignar a los tres campos. De lo contrario, asigna a principal.hostname y principal.asset.hostname. |
| incident_id | security_result.threat_id, security_result.detection_fields | Se asigna directamente a threat_id. Además, crea una etiqueta con la clave Incident ID y el valor de incident_id. |
| ubicación | principal.resource.attribute.labels | Crea una etiqueta con la clave Location y el valor de location. |
| match_count | security_result.detection_fields | Crea una etiqueta con la clave Match Count y el valor de match_count. |
| monitor_name | additional.fields | Crea una etiqueta con la clave Monitor Name y el valor de monitor_name. |
| nas_id | target.hostname, target.asset.hostname | Se asigna directamente. |
| occurred_on | principal.labels, additional.fields | Crea una etiqueta con la clave Occurred On y el valor de occurred_on para principal.labels y additional.fields. |
| policy_name | sec_result.detection_fields | Crea una etiqueta con la clave policy_name y el valor de policy_name. |
| policy_rule | security_result.rule_name | Se asigna directamente. |
| policy_severity | security_result.severity | Se asigna a severity después de convertirse a mayúsculas. Si policy_severity es INFO, asígnalo como INFORMATIONAL. Si policy_severity no es uno de HIGH, MEDIUM, LOW o INFORMATIONAL, establece severity en UNKNOWN_SEVERITY. |
| policy_violated | security_result.summary | Se asigna directamente. |
| Protocolo | network.application_protocol, target.application, sec_result.description | Si Protocol no es FTP o Endpoint, asígnalo a network.application_protocol después de analizarlo con el archivo parse_app_protocol.include. Si Protocol es FTP, asígnale el valor target.application. Si Protocol es Endpoint, establece sec_result.description en Protocol=%{Protocol}. |
| destinatario | target.user.email_addresses, about.user.email_addresses | Para cada dirección de correo electrónico en recipient, asígnala a target.user.email_addresses y about.user.email_addresses. |
| destinatarios | network.http.referral_url, target.resource.attribute.labels | Se asigna directamente a network.http.referral_url. Además, crea una etiqueta con la clave recipients y el valor de recipients. |
| reported_on | additional.fields | Crea una etiqueta con la clave Reported On y el valor de reported_on. |
| reglas | security_result.detection_fields | Crea una etiqueta con la clave Rules y el valor de rules. |
| Remitente | network.email.from, target.resource.attribute.labels | Si sender es una dirección de correo electrónico válida, asígnale el valor network.email.from. Además, crea una etiqueta con la clave sender y el valor de sender. |
| servidor | target.application | Se asigna directamente. |
| Gravedad | security_result.severity | Consulta policy_severity para conocer la lógica de asignación. |
| src | principal.ip, principal.asset.ip | Se asigna directamente si es una dirección IP válida. |
| estado | principal.labels, additional.fields | Crea una etiqueta con la clave Status y el valor de status para principal.labels y additional.fields. |
| asunto | target.resource.attribute.labels, network.email.subject | Crea una etiqueta con la clave subject y el valor de subject. También asigna subject a network.email.subject. |
| target_type | target.resource.attribute.labels | Crea una etiqueta con la clave Target Type y el valor de target_type. |
| timestamp | metadata.event_timestamp | Se asigna directamente después de analizarlo con el filtro date. |
| url | target.url | Se asigna directamente. |
| usuario | target.user.userid | Se asigna directamente. |
| user_id | principal.user.userid | Se asigna directamente. |
| nombre de usuario | principal.user.userid | Se asigna directamente. |
| N/A | metadata.product_name | Se define en SYMANTEC_DLP. |
| N/A | metadata.vendor_name | Se define en SYMANTEC. |
| N/A | metadata.event_type | Si event_type no está vacío, asígnale el mapa directamente. De lo contrario, si host no está vacío y has_principal es verdadero, se establece en SCAN_NETWORK. De lo contrario, configúralo como GENERIC_EVENT. |
| N/A | metadata.product_event_type | Si policy_violated contiene -NM- o data contiene DLP NM, se debe establecer en Network Monitor. Si policy_violated contiene -EP- o data contiene DLP EP, se debe establecer en Endpoint. |
| N/A | metadata.log_type | Se define en SYMANTEC_DLP. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.