Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Symantec DLP

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Symantec DLP menggunakan Bindplane. Kode parser pertama-tama mencoba mengurai data log Symantec DLP yang masuk sebagai XML. Jika parsing XML gagal, format SYSLOG + KV (CEF) akan diasumsikan dan kombinasi filter grok dan kv akan digunakan untuk mengekstrak pasangan nilai kunci dan memetakannya ke model data terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Symantec DLP.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Symantec DLP

Login ke konsol Administrasi server Symantec.
Pilih Manage > Policies > Response rules.
Pilih Konfigurasi aturan respons dan masukkan nama aturan.

Berikan detail berikut:

Tindakan: pilih Log ke server syslog.
Host: masukkan alamat IP Bindplane.
Port: masukkan nomor port Bindplane.

Pesan: masukkan pesan berikut:

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

Debugging: pilih Level 4.

Klik Terapkan.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
bertindak	security_result.action	Jika `act` adalah `Passed`, tetapkan ke `ALLOW`. Jika `act` adalah `Modified`, tetapkan ke `ALLOW_WITH_MODIFICATION`. Jika `act` adalah `Blocked`, tetapkan ke `BLOCK`. Jika tidak, setel ke `UNKNOWN_ACTION`.
application_name	target.application	Dipetakan secara langsung.
asset_ip	principal.ip, principal.asset.ip	Dipetakan secara langsung.
asset_name	principal.hostname, principal.asset.hostname	Dipetakan secara langsung.
attachment_name	security_result.about.file.full_path	Dipetakan secara langsung.
diblokir	security_result.action_details	Dipetakan secara langsung.
calling_station_id	principal.mac, principal.asset.mac	Jika `calling_station_id` adalah alamat MAC, petakan secara langsung setelah mengganti `-` dengan `:` dan mengonversi ke huruf kecil.
called_station_id	target.mac, target.asset.mac	Jika `called_station_id` adalah alamat MAC, ekstrak bagian alamat MAC sebelum `:` dan petakan langsung setelah mengganti `-` dengan `:` dan mengonversi ke huruf kecil.
category1	security_result.detection_fields	Buat label dengan kunci `category1` dan nilai dari `category1`.
category2	security_result.detection_fields	Buat label dengan kunci `category2` dan nilai dari `category2`.
category3	security_result.detection_fields	Buat label dengan kunci `category3` dan nilai dari `category3`.
client_friendly_name	target.user.userid	Dipetakan secara langsung.
dataowner_mail	principal.user.email_addresses	Dipetakan secara langsung jika merupakan alamat email yang valid.
deskripsi	metadata.description	Dipetakan secara langsung.
dest_location	target.location.country_or_region	Dipetakan secara langsung jika bukan `RED`.
deviceId	target.asset_id	Dipetakan sebagai `ID:%{deviceId}`.
device_version	metadata.product_version	Dipetakan secara langsung.
dhost	network.http.referral_url	Dipetakan secara langsung.
dlp_type	security_result.detection_fields	Buat label dengan kunci `dlp_type` dan nilai dari `dlp_type`.
DLP_EP_Incident_ID	security_result.threat_id, security_result.detection_fields	Dipetakan langsung ke `threat_id`. Selain itu, buat label dengan kunci `Incident ID` dan nilai dari `DLP_EP_Incident_ID`.
domain	principal.administrative_domain	Dipetakan secara langsung.
dst	target.ip, target.asset.ip	Dipetakan secara langsung jika merupakan alamat IP yang valid.
endpoint_machine	target.ip, target.asset.ip	Dipetakan secara langsung jika merupakan alamat IP yang valid.
endpoint_user_department	target.user.department	Dipetakan secara langsung.
endpoint_user_email	target.user.email_addresses	Dipetakan secara langsung.
endpoint_user_manager	target.user.managers	Buat objek pengelola dengan `user_display_name` dari `endpoint_user_manager`.
endpoint_user_name	target.user.user_display_name	Dipetakan secara langsung.
endpoint_user_title	target.user.title	Dipetakan secara langsung.
event_description	metadata.description	Dipetakan secara langsung.
event_id	metadata.product_log_id	Dipetakan secara langsung.
event_source	target.application	Dipetakan secara langsung.
event_timestamp	metadata.event_timestamp	Dipetakan secara langsung.
file_name	security_result.about.file.full_path	Dipetakan secara langsung.
filename	target.file.full_path, src.file.full_path	Dipetakan langsung ke `target.file.full_path`. Jika `has_principal` benar, petakan juga ke `src.file.full_path` dan tetapkan `event_type` ke `FILE_COPY`.
host	src.hostname, principal.hostname, principal.asset.hostname	Jika `cef_data` berisi `CEF`, petakan ke ketiga kolom. Jika tidak, petakan ke `principal.hostname` dan `principal.asset.hostname`.
incident_id	security_result.threat_id, security_result.detection_fields	Dipetakan langsung ke `threat_id`. Selain itu, buat label dengan kunci `Incident ID` dan nilai dari `incident_id`.
location	principal.resource.attribute.labels	Buat label dengan kunci `Location` dan nilai dari `location`.
match_count	security_result.detection_fields	Buat label dengan kunci `Match Count` dan nilai dari `match_count`.
monitor_name	additional.fields	Buat label dengan kunci `Monitor Name` dan nilai dari `monitor_name`.
nas_id	target.hostname, target.asset.hostname	Dipetakan secara langsung.
occurred_on	principal.labels, additional.fields	Buat label dengan kunci `Occurred On` dan nilai dari `occurred_on` untuk `principal.labels` dan `additional.fields`.
policy_name	sec_result.detection_fields	Buat label dengan kunci `policy_name` dan nilai dari `policy_name`.
policy_rule	security_result.rule_name	Dipetakan secara langsung.
policy_severity	security_result.severity	Dipetakan ke `severity` setelah dikonversi ke huruf besar. Jika `policy_severity` adalah `INFO`, petakan sebagai `INFORMATIONAL`. Jika `policy_severity` bukan salah satu dari `HIGH`, `MEDIUM`, `LOW`, atau `INFORMATIONAL`, tetapkan `severity` ke `UNKNOWN_SEVERITY`.
policy_violated	security_result.summary	Dipetakan secara langsung.
Protokol	network.application_protocol, target.application, sec_result.description	Jika `Protocol` bukan `FTP` atau `Endpoint`, petakan ke `network.application_protocol` setelah menguraikannya menggunakan file `parse_app_protocol.include`. Jika `Protocol` adalah `FTP`, petakan ke `target.application`. Jika `Protocol` adalah `Endpoint`, tetapkan `sec_result.description` ke `Protocol=%{Protocol}`.
penerima	target.user.email_addresses, about.user.email_addresses	Untuk setiap alamat email di `recipient`, petakan ke `target.user.email_addresses` dan `about.user.email_addresses`.
penerima	network.http.referral_url, target.resource.attribute.labels	Dipetakan langsung ke `network.http.referral_url`. Selain itu, buat label dengan kunci `recipients` dan nilai dari `recipients`.
reported_on	additional.fields	Buat label dengan kunci `Reported On` dan nilai dari `reported_on`.
rules	security_result.detection_fields	Buat label dengan kunci `Rules` dan nilai dari `rules`.
pengirim	network.email.from, target.resource.attribute.labels	Jika `sender` adalah alamat email yang valid, petakan ke `network.email.from`. Selain itu, buat label dengan kunci `sender` dan nilai dari `sender`.
server	target.application	Dipetakan secara langsung.
Keparahan	security_result.severity	Lihat `policy_severity` untuk logika pemetaan.
src	principal.ip, principal.asset.ip	Dipetakan secara langsung jika merupakan alamat IP yang valid.
status	principal.labels, additional.fields	Buat label dengan kunci `Status` dan nilai dari `status` untuk `principal.labels` dan `additional.fields`.
subject	target.resource.attribute.labels, network.email.subject	Buat label dengan kunci `subject` dan nilai dari `subject`. Selain itu, petakan `subject` ke `network.email.subject`.
target_type	target.resource.attribute.labels	Buat label dengan kunci `Target Type` dan nilai dari `target_type`.
timestamp	metadata.event_timestamp	Dipetakan secara langsung setelah menguraikannya menggunakan filter `date`.
url	target.url	Dipetakan secara langsung.
pengguna	target.user.userid	Dipetakan secara langsung.
user_id	principal.user.userid	Dipetakan secara langsung.
nama pengguna	principal.user.userid	Dipetakan secara langsung.
T/A	metadata.product_name	Tetapkan ke `SYMANTEC_DLP`.
T/A	metadata.vendor_name	Tetapkan ke `SYMANTEC`.
T/A	metadata.event_type	Jika `event_type` tidak kosong, petakan secara langsung. Jika tidak, jika `host` tidak kosong dan `has_principal` benar, tetapkan ke `SCAN_NETWORK`. Jika tidak, setel ke `GENERIC_EVENT`.
T/A	metadata.product_event_type	Jika `policy_violated` berisi `-NM-` atau `data` berisi `DLP NM`, tetapkan ke `Network Monitor`. Jika `policy_violated` berisi `-EP-` atau `data` berisi `DLP EP`, tetapkan ke `Endpoint`.
T/A	metadata.log_type	Tetapkan ke `SYMANTEC_DLP`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.