Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log DLP Symantec

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log DLP Symantec menggunakan Bindplane. Kode parser pertama-tama mencoba mengurai data log Symantec DLP yang masuk sebagai XML. Jika penguraian XML gagal, penguraian akan mengasumsikan format SYSLOG + KV (CEF) dan menggunakan kombinasi filter grok dan kv untuk mengekstrak pasangan nilai kunci dan memetakan ke model data terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke DLP Symantec.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi DLP Symantec

Login ke konsol administrasi Server Symantec.
Pilih Kelola > Kebijakan > Aturan respons.
Pilih Konfigurasikan aturan respons dan masukkan nama aturan.

Berikan detail berikut:

Tindakan: pilih Log ke server syslog.
Host: masukkan alamat IP Bindplane.
Port: masukkan nomor port Bindplane.

Pesan: masukkan pesan berikut:

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

Proses debug: pilih Level 4.

Klik Terapkan.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
tindakan	security_result.action	Jika `act` adalah `Passed`, tetapkan ke `ALLOW`. Jika `act` adalah `Modified`, tetapkan ke `ALLOW_WITH_MODIFICATION`. Jika `act` adalah `Blocked`, tetapkan ke `BLOCK`. Jika tidak, tetapkan ke `UNKNOWN_ACTION`.
application_name	target.application	Dipetakan secara langsung.
asset_ip	principal.ip, principal.asset.ip	Dipetakan secara langsung.
asset_name	principal.hostname, principal.asset.hostname	Dipetakan secara langsung.
attachment_name	security_result.about.file.full_path	Dipetakan secara langsung.
diblokir	security_result.action_details	Dipetakan secara langsung.
calling_station_id	principal.mac, principal.asset.mac	Jika `calling_station_id` adalah alamat MAC, petakan secara langsung setelah mengganti `-` dengan `:` dan mengonversinya menjadi huruf kecil.
called_station_id	target.mac, target.asset.mac	Jika `called_station_id` adalah alamat MAC, ekstrak bagian alamat MAC sebelum `:` dan petakan langsung setelah mengganti `-` dengan `:` dan mengonversinya ke huruf kecil.
category1	security_result.detection_fields	Buat label dengan kunci `category1` dan nilai dari `category1`.
category2	security_result.detection_fields	Buat label dengan kunci `category2` dan nilai dari `category2`.
category3	security_result.detection_fields	Buat label dengan kunci `category3` dan nilai dari `category3`.
client_friendly_name	target.user.userid	Dipetakan secara langsung.
dataowner_mail	principal.user.email_addresses	Dipetakan langsung jika merupakan alamat email yang valid.
deskripsi	metadata.description	Dipetakan secara langsung.
dest_location	target.location.country_or_region	Dipetakan secara langsung jika bukan `RED`.
deviceId	target.asset_id	Dipetakan sebagai `ID:%{deviceId}`.
device_version	metadata.product_version	Dipetakan secara langsung.
dhost	network.http.referral_url	Dipetakan secara langsung.
dlp_type	security_result.detection_fields	Buat label dengan kunci `dlp_type` dan nilai dari `dlp_type`.
DLP_EP_Incident_ID	security_result.threat_id, security_result.detection_fields	Dipetakan langsung ke `threat_id`. Selain itu, buat label dengan kunci `Incident ID` dan nilai dari `DLP_EP_Incident_ID`.
domain	principal.administrative_domain	Dipetakan secara langsung.
dst	target.ip, target.asset.ip	Dipetakan langsung jika merupakan alamat IP yang valid.
endpoint_machine	target.ip, target.asset.ip	Dipetakan langsung jika merupakan alamat IP yang valid.
endpoint_user_department	target.user.department	Dipetakan secara langsung.
endpoint_user_email	target.user.email_addresses	Dipetakan secara langsung.
endpoint_user_manager	target.user.managers	Buat objek pengelola dengan `user_display_name` dari `endpoint_user_manager`.
endpoint_user_name	target.user.user_display_name	Dipetakan secara langsung.
endpoint_user_title	target.user.title	Dipetakan secara langsung.
event_description	metadata.description	Dipetakan secara langsung.
event_id	metadata.product_log_id	Dipetakan secara langsung.
event_source	target.application	Dipetakan secara langsung.
event_timestamp	metadata.event_timestamp	Dipetakan secara langsung.
file_name	security_result.about.file.full_path	Dipetakan secara langsung.
filename	target.file.full_path, src.file.full_path	Dipetakan langsung ke `target.file.full_path`. Jika `has_principal` bernilai benar, petakan juga ke `src.file.full_path` dan tetapkan `event_type` ke `FILE_COPY`.
host	src.hostname, principal.hostname, principal.asset.hostname	Jika `cef_data` berisi `CEF`, petakan ke ketiga kolom. Jika tidak, petakan ke `principal.hostname` dan `principal.asset.hostname`.
incident_id	security_result.threat_id, security_result.detection_fields	Dipetakan langsung ke `threat_id`. Selain itu, buat label dengan kunci `Incident ID` dan nilai dari `incident_id`.
location	principal.resource.attribute.labels	Buat label dengan kunci `Location` dan nilai dari `location`.
match_count	security_result.detection_fields	Buat label dengan kunci `Match Count` dan nilai dari `match_count`.
monitor_name	additional.fields	Buat label dengan kunci `Monitor Name` dan nilai dari `monitor_name`.
nas_id	target.hostname, target.asset.hostname	Dipetakan secara langsung.
occurred_on	principal.labels, additional.fields	Buat label dengan kunci `Occurred On` dan nilai dari `occurred_on` untuk `principal.labels` dan `additional.fields`.
policy_name	sec_result.detection_fields	Buat label dengan kunci `policy_name` dan nilai dari `policy_name`.
policy_rule	security_result.rule_name	Dipetakan secara langsung.
policy_severity	security_result.severity	Dipetakan ke `severity` setelah dikonversi ke huruf besar. Jika `policy_severity` adalah `INFO`, petakan sebagai `INFORMATIONAL`. Jika `policy_severity` bukan salah satu dari `HIGH`, `MEDIUM`, `LOW`, atau `INFORMATIONAL`, tetapkan `severity` ke `UNKNOWN_SEVERITY`.
policy_violated	security_result.summary	Dipetakan secara langsung.
Protokol	network.application_protocol, target.application, sec_result.description	Jika `Protocol` bukan `FTP` atau `Endpoint`, petakan ke `network.application_protocol` setelah mengurainya menggunakan file `parse_app_protocol.include`. Jika `Protocol` adalah `FTP`, petakan ke `target.application`. Jika `Protocol` adalah `Endpoint`, tetapkan `sec_result.description` ke `Protocol=%{Protocol}`.
penerima	target.user.email_addresses, about.user.email_addresses	Untuk setiap alamat email di `recipient`, petakan ke `target.user.email_addresses` dan `about.user.email_addresses`.
penerima	network.http.referral_url, target.resource.attribute.labels	Dipetakan langsung ke `network.http.referral_url`. Selain itu, buat label dengan kunci `recipients` dan nilai dari `recipients`.
reported_on	additional.fields	Buat label dengan kunci `Reported On` dan nilai dari `reported_on`.
rules	security_result.detection_fields	Buat label dengan kunci `Rules` dan nilai dari `rules`.
pengirim	network.email.from, target.resource.attribute.labels	Jika `sender` adalah alamat email yang valid, petakan ke `network.email.from`. Selain itu, buat label dengan kunci `sender` dan nilai dari `sender`.
server	target.application	Dipetakan secara langsung.
Keparahan	security_result.severity	Lihat `policy_severity` untuk logika pemetaan.
src	principal.ip, principal.asset.ip	Dipetakan langsung jika merupakan alamat IP yang valid.
status	principal.labels, additional.fields	Buat label dengan kunci `Status` dan nilai dari `status` untuk `principal.labels` dan `additional.fields`.
subject	target.resource.attribute.labels, network.email.subject	Buat label dengan kunci `subject` dan nilai dari `subject`. Selain itu, petakan `subject` ke `network.email.subject`.
target_type	target.resource.attribute.labels	Buat label dengan kunci `Target Type` dan nilai dari `target_type`.
timestamp	metadata.event_timestamp	Dipetakan langsung setelah mengurainya menggunakan filter `date`.
url	target.url	Dipetakan secara langsung.
pengguna	target.user.userid	Dipetakan secara langsung.
user_id	principal.user.userid	Dipetakan secara langsung.
nama pengguna	principal.user.userid	Dipetakan secara langsung.
T/A	metadata.product_name	Tetapkan ke `SYMANTEC_DLP`.
T/A	metadata.vendor_name	Tetapkan ke `SYMANTEC`.
T/A	metadata.event_type	Jika `event_type` tidak kosong, petakan secara langsung. Jika tidak, jika `host` tidak kosong dan `has_principal` benar, tetapkan ke `SCAN_NETWORK`. Jika tidak, tetapkan ke `GENERIC_EVENT`.
T/A	metadata.product_event_type	Jika `policy_violated` berisi `-NM-` atau `data` berisi `DLP NM`, tetapkan ke `Network Monitor`. Jika `policy_violated` berisi `-EP-` atau `data` berisi `DLP EP`, tetapkan ke `Endpoint`.
T/A	metadata.log_type	Tetapkan ke `SYMANTEC_DLP`.

Perubahan

2025-02-04

Peningkatan:

Menambahkan dukungan untuk log SYSLOG.

2025-01-08

Peningkatan:

Memetakan ATTACHMENT_FILENAME ke principal.file.full_path.
Jika DATAOWNER_NAME ada, pemetakan DATAOWNER_NAME ke principal.user.userid.
Jika DATAOWNER_NAME tidak ada, pemetakan ENDPOINT_USERNAME ke principal.user.userid.

2024-12-27

Peningkatan:

Menambahkan dukungan untuk mengurai format log baru.

2024-12-04

Peningkatan:

Menambahkan dukungan untuk mengurai format log baru.

2024-11-11

Peningkatan:

Menambahkan dukungan untuk mengurai format log baru.

2024-09-05

Peningkatan:

Menambahkan dukungan untuk mengurai format log baru.

2024-06-17

Peningkatan:

Menambahkan dukungan untuk mengurai format baru kolom recipients.

2024-06-14

Peningkatan:

Menambahkan dukungan untuk Log CEF.

2024-05-16

Peningkatan:

Memetakan dlp_type ke security_result.detection_fields.

2024-04-26

Perbaikan bug:

Memetakan recipients ke target.user.email_addresses.

2024-03-10

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log format SYSLOG baru.
Memetakan server ke target.application.
Memetakan url ke target.url.
Memetakan dataowner_mail ke principal.user.email_addresses.
Memetakan reported_on dan monitor_name ke additional.fields.
Memetakan sender ke network.email.from.
Memetakan subject ke network.email.subject.

2024-02-20

Peningkatan:

Memetakan blocked ke security_result.action_details dan security_result.action.

2024-01-12

Peningkatan:

Memetakan incident_id dan DLP_EP_Incident_ID ke security_result.detection_fields.
Menambahkan pola Grok untuk mengurai log format SYSLOG baru.
Memetakan location ke principal.resource.attribute.labels.
Memetakan target_type ke target.resource.attribute.labels.

2023-12-06

Peningkatan:

Menambahkan pola Grok untuk mengurai log format baru.
Memetakan application ke principal.application.
Memetakan application_name ke target.application.
Memetakan policy_name ke security_result.detection_fields.

2023-09-02

Peningkatan:

Menambahkan dukungan untuk mengurai log yang gagal dan memetakan kolom yang sesuai.

2023-08-17

Peningkatan:

Memetakan Occurred on ke principal.labels.
Jika act adalah Modified, tetapkan security_result.action ke ALLOW_WITH_MODIFICATION.
Memetakan status ke principal.labels.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.