このページは Cloud Translation API によって翻訳されました。

Symantec DLP のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Symantec DLP ログを収集する方法について説明します。パーサーコードは、まず受信した Symantec DLP ログデータを XML として解析しようとします。XML の解析に失敗した場合、SYSLOG + KV（CEF）形式と見なし、grok フィルタと kv フィルタを組み合わせて使用して、キーと値のペアを抽出し、統合データモデル（UDM）にマッピングします。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Symantec DLP への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec DLP を構成する

Symantec Server administration コンソールにログインします。
[管理> ポリシー> レスポンスルール] を選択します。
[Configure response rule] を選択し、ルール名を入力します。

以下の詳細を入力します。

アクション: [syslog サーバーにログを記録する] を選択します。
ホスト: Bindplane IP アドレスを入力します。
ポート: Bindplane ポート番号を入力します。

メッセージ: 次のメッセージを入力します。

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

デバッグ: [レベル 4] を選択します。

[適用] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
act	security_result.action	`act` が `Passed` の場合は、`ALLOW` に設定します。`act` が `Modified` の場合は、`ALLOW_WITH_MODIFICATION` に設定します。`act` が `Blocked` の場合は、`BLOCK` に設定します。それ以外の場合は `UNKNOWN_ACTION` に設定します。
application_name	target.application	直接マッピングされます。
asset_ip	principal.ip、principal.asset.ip	直接マッピングされます。
asset_name	principal.hostname、principal.asset.hostname	直接マッピングされます。
attachment_name	security_result.about.file.full_path	直接マッピングされます。
blocked	security_result.action_details	直接マッピングされます。
calling_station_id	principal.mac、principal.asset.mac	`calling_station_id` が MAC アドレスの場合は、`-` を `:` に置き換えて小文字に変換した後、直接マッピングします。
called_station_id	target.mac、target.asset.mac	`called_station_id` が MAC アドレスの場合は、`:` の前の MAC アドレス部分を抽出し、`-` を `:` に置き換えて小文字に変換した後、直接マッピングします。
category1	security_result.detection_fields	キー `category1` と `category1` の値を使用してラベルを作成します。
category2	security_result.detection_fields	キー `category2` と `category2` の値を使用してラベルを作成します。
category3	security_result.detection_fields	キー `category3` と `category3` の値を使用してラベルを作成します。
client_friendly_name	target.user.userid	直接マッピングされます。
dataowner_mail	principal.user.email_addresses	有効なメールアドレスの場合、直接マッピングされます。
説明	metadata.description	直接マッピングされます。
dest_location	target.location.country_or_region	`RED` でない場合、直接マッピングされます。
deviceId	target.asset_id	`ID:%{deviceId}` としてマッピングされます。
device_version	metadata.product_version	直接マッピングされます。
dhost	network.http.referral_url	直接マッピングされます。
dlp_type	security_result.detection_fields	キー `dlp_type` と `dlp_type` の値を使用してラベルを作成します。
DLP_EP_Incident_ID	security_result.threat_id、security_result.detection_fields	`threat_id` に直接マッピングされます。また、キー `Incident ID` と `DLP_EP_Incident_ID` の値を使用してラベルを作成します。
ドメイン	principal.administrative_domain	直接マッピングされます。
dst	target.ip、target.asset.ip	有効な IP アドレスの場合、直接マッピングされます。
endpoint_machine	target.ip、target.asset.ip	有効な IP アドレスの場合、直接マッピングされます。
endpoint_user_department	target.user.department	直接マッピングされます。
endpoint_user_email	target.user.email_addresses	直接マッピングされます。
endpoint_user_manager	target.user.managers	`endpoint_user_manager` から `user_display_name` を使用してマネージャーオブジェクトを作成します。
endpoint_user_name	target.user.user_display_name	直接マッピングされます。
endpoint_user_title	target.user.title	直接マッピングされます。
event_description	metadata.description	直接マッピングされます。
event_id	metadata.product_log_id	直接マッピングされます。
event_source	target.application	直接マッピングされます。
event_timestamp	metadata.event_timestamp	直接マッピングされます。
file_name	security_result.about.file.full_path	直接マッピングされます。
filename	target.file.full_path, src.file.full_path	`target.file.full_path` に直接マッピングされます。`has_principal` が true の場合は、`src.file.full_path` にもマッピングし、`event_type` を `FILE_COPY` に設定します。
ホスト	src.hostname、principal.hostname、principal.asset.hostname	`cef_data` に `CEF` が含まれている場合は、3 つのフィールドすべてにマッピングします。それ以外の場合は、`principal.hostname` と `principal.asset.hostname` にマッピングします。
incident_id	security_result.threat_id、security_result.detection_fields	`threat_id` に直接マッピングされます。また、キー `Incident ID` と `incident_id` の値を使用してラベルを作成します。
ロケーション	principal.resource.attribute.labels	キー `Location` と `location` の値を使用してラベルを作成します。
match_count	security_result.detection_fields	キー `Match Count` と `match_count` の値を使用してラベルを作成します。
monitor_name	additional.fields	キー `Monitor Name` と `monitor_name` の値を使用してラベルを作成します。
nas_id	target.hostname、target.asset.hostname	直接マッピングされます。
occurred_on	principal.labels、additional.fields	`principal.labels` と `additional.fields` の両方に対して、キー `Occurred On` と `occurred_on` の値を使用してラベルを作成します。
policy_name	sec_result.detection_fields	キー `policy_name` と `policy_name` の値を使用してラベルを作成します。
policy_rule	security_result.rule_name	直接マッピングされます。
policy_severity	security_result.severity	大文字に変換された後、`severity` にマッピングされます。`policy_severity` が `INFO` の場合、`INFORMATIONAL` としてマッピングします。`policy_severity` が `HIGH`、`MEDIUM`、`LOW`、`INFORMATIONAL` のいずれでもない場合は、`severity` を `UNKNOWN_SEVERITY` に設定します。
policy_violated	security_result.summary	直接マッピングされます。
プロトコル	network.application_protocol、target.application、sec_result.description	`Protocol` が `FTP` または `Endpoint` でない場合は、`parse_app_protocol.include` ファイルを使用して解析した後、`network.application_protocol` にマッピングします。`Protocol` が `FTP` の場合、`target.application` にマッピングします。`Protocol` が `Endpoint` の場合、`sec_result.description` を `Protocol=%{Protocol}` に設定します。
受信者	target.user.email_addresses、about.user.email_addresses	`recipient` の各メールアドレスを `target.user.email_addresses` と `about.user.email_addresses` の両方にマッピングします。
受信者	network.http.referral_url、target.resource.attribute.labels	`network.http.referral_url` に直接マッピングされます。また、キー `recipients` と `recipients` の値を使用してラベルを作成します。
reported_on	additional.fields	キー `Reported On` と `reported_on` の値を使用してラベルを作成します。
ルール	security_result.detection_fields	キー `Rules` と `rules` の値を使用してラベルを作成します。
sender	network.email.from、target.resource.attribute.labels	`sender` が有効なメールアドレスの場合は、`network.email.from` にマッピングします。また、キー `sender` と `sender` の値を使用してラベルを作成します。
サーバー	target.application	直接マッピングされます。
重大度	security_result.severity	マッピングロジックについては、`policy_severity` をご覧ください。
src	principal.ip、principal.asset.ip	有効な IP アドレスの場合、直接マッピングされます。
ステータス	principal.labels、additional.fields	`principal.labels` と `additional.fields` の両方に対して、キー `Status` と `status` の値を使用してラベルを作成します。
件名	target.resource.attribute.labels、network.email.subject	キー `subject` と `subject` の値を使用してラベルを作成します。また、`subject` を `network.email.subject` にマッピングします。
target_type	target.resource.attribute.labels	キー `Target Type` と `target_type` の値を使用してラベルを作成します。
timestamp	metadata.event_timestamp	`date` フィルタを使用して解析した後、直接マッピングされます。
URL	target.url	直接マッピングされます。
ユーザー	target.user.userid	直接マッピングされます。
user_id	principal.user.userid	直接マッピングされます。
ユーザー名	principal.user.userid	直接マッピングされます。
なし	metadata.product_name	`SYMANTEC_DLP` に設定します。
なし	metadata.vendor_name	`SYMANTEC` に設定します。
なし	metadata.event_type	`event_type` が空でない場合は、直接マッピングします。それ以外の場合、`host` が空ではなく、`has_principal` が true の場合は、`SCAN_NETWORK` に設定します。それ以外の場合は `GENERIC_EVENT` に設定します。
なし	metadata.product_event_type	`policy_violated` に `-NM-` が含まれている場合、または `data` に `DLP NM` が含まれている場合は、`Network Monitor` に設定します。`policy_violated` に `-EP-` が含まれている場合、または `data` に `DLP EP` が含まれている場合は、`Endpoint` に設定します。
なし	metadata.log_type	`SYMANTEC_DLP` に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。