收集 Symantec DLP 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 收集 Symantec DLP 日志。解析器代码首先尝试将传入的 Symantec DLP 日志数据解析为 XML。如果 XML 解析失败,系统会假定采用 SYSLOG + KV (CEF) 格式,并结合使用 grok 和 kv 过滤器来提取键值对,然后将其映射到统一数据模型 (UDM)。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有对 Symantec DLP 的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: symantec_dlp raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Symantec DLP
- 登录 Symantec 服务器管理控制台。
- 依次选择管理 > 政策 > 回应规则。
- 选择配置回答规则,然后输入规则名称。
提供以下详细信息:
- 操作:选择记录到 syslog 服务器。
- Host:输入
BindplaneIP 地址。 - 端口:输入
Bindplane端口号。 消息:输入以下消息:
|symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|调试:选择级别 4。
点击应用。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| act | security_result.action | 如果 act 为 Passed,则设置为 ALLOW。如果 act 为 Modified,则设置为 ALLOW_WITH_MODIFICATION。如果 act 为 Blocked,则设置为 BLOCK。否则,请将其设置为 UNKNOWN_ACTION。 |
| application_name | target.application | 直接映射。 |
| asset_ip | principal.ip、principal.asset.ip | 直接映射。 |
| asset_name | principal.hostname、principal.asset.hostname | 直接映射。 |
| attachment_name | security_result.about.file.full_path | 直接映射。 |
| 已屏蔽 | security_result.action_details | 直接映射。 |
| calling_station_id | principal.mac、principal.asset.mac | 如果 calling_station_id 是 MAC 地址,则在将 - 替换为 : 并转换为小写后,直接进行映射。 |
| called_station_id | target.mac, target.asset.mac | 如果 called_station_id 是 MAC 地址,请提取 : 之前的 MAC 地址部分,并在将 - 替换为 : 并转换为小写后直接映射该部分。 |
| category1 | security_result.detection_fields | 创建键为 category1 且值来自 category1 的标签。 |
| category2 | security_result.detection_fields | 创建键为 category2 且值来自 category2 的标签。 |
| category3 | security_result.detection_fields | 创建键为 category3 且值来自 category3 的标签。 |
| client_friendly_name | target.user.userid | 直接映射。 |
| dataowner_mail | principal.user.email_addresses | 如果电子邮件地址有效,则直接映射。 |
| 说明 | metadata.description | 直接映射。 |
| dest_location | target.location.country_or_region | 如果不是 RED,则直接映射。 |
| deviceId | target.asset_id | 映射为 ID:%{deviceId}。 |
| device_version | metadata.product_version | 直接映射。 |
| dhost | network.http.referral_url | 直接映射。 |
| dlp_type | security_result.detection_fields | 创建键为 dlp_type 且值来自 dlp_type 的标签。 |
| DLP_EP_Incident_ID | security_result.threat_id、security_result.detection_fields | 直接映射到 threat_id。此外,还要创建一个键为 Incident ID、值为 DLP_EP_Incident_ID 的标签。 |
| 网域 | principal.administrative_domain | 直接映射。 |
| dst | target.ip、target.asset.ip | 如果它是有效的 IP 地址,则直接映射。 |
| endpoint_machine | target.ip、target.asset.ip | 如果它是有效的 IP 地址,则直接映射。 |
| endpoint_user_department | target.user.department | 直接映射。 |
| endpoint_user_email | target.user.email_addresses | 直接映射。 |
| endpoint_user_manager | target.user.managers | 使用 endpoint_user_manager 中的 user_display_name 创建一个 manager 对象。 |
| endpoint_user_name | target.user.user_display_name | 直接映射。 |
| endpoint_user_title | target.user.title | 直接映射。 |
| event_description | metadata.description | 直接映射。 |
| event_id | metadata.product_log_id | 直接映射。 |
| event_source | target.application | 直接映射。 |
| event_timestamp | metadata.event_timestamp | 直接映射。 |
| file_name | security_result.about.file.full_path | 直接映射。 |
| filename | target.file.full_path, src.file.full_path | 直接映射到 target.file.full_path。如果 has_principal 为 true,则还需映射到 src.file.full_path 并将 event_type 设置为 FILE_COPY。 |
| 主机 | src.hostname、principal.hostname、principal.asset.hostname | 如果 cef_data 包含 CEF,则映射到所有三个字段。否则,映射到 principal.hostname 和 principal.asset.hostname。 |
| incident_id | security_result.threat_id、security_result.detection_fields | 直接映射到 threat_id。此外,还要创建一个键为 Incident ID、值为 incident_id 的标签。 |
| 位置 | principal.resource.attribute.labels | 创建键为 Location 且值来自 location 的标签。 |
| match_count | security_result.detection_fields | 创建键为 Match Count 且值来自 match_count 的标签。 |
| monitor_name | additional.fields | 创建键为 Monitor Name 且值来自 monitor_name 的标签。 |
| nas_id | target.hostname、target.asset.hostname | 直接映射。 |
| occurred_on | principal.labels, additional.fields | 为 principal.labels 和 additional.fields 创建一个标签,该标签的键为 Occurred On,值为 occurred_on。 |
| policy_name | sec_result.detection_fields | 创建键为 policy_name 且值来自 policy_name 的标签。 |
| policy_rule | security_result.rule_name | 直接映射。 |
| policy_severity | security_result.severity | 转换为大写后,映射到 severity。如果 policy_severity 为 INFO,则将其映射为 INFORMATIONAL。如果 policy_severity 不是 HIGH、MEDIUM、LOW 或 INFORMATIONAL 中的一个,请将 severity 设置为 UNKNOWN_SEVERITY。 |
| policy_violated | security_result.summary | 直接映射。 |
| 协议 | network.application_protocol, target.application, sec_result.description | 如果 Protocol 不是 FTP 或 Endpoint,请使用 parse_app_protocol.include 文件解析 Protocol,然后将其映射到 network.application_protocol。如果 Protocol 为 FTP,则将其映射到 target.application。如果 Protocol 为 Endpoint,则将 sec_result.description 设置为 Protocol=%{Protocol}。 |
| 收件人 | target.user.email_addresses, about.user.email_addresses | 对于 recipient 中的每个电子邮件地址,将其同时映射到 target.user.email_addresses 和 about.user.email_addresses。 |
| 收件人 | network.http.referral_url, target.resource.attribute.labels | 直接映射到 network.http.referral_url。此外,还要创建一个键为 recipients、值为 recipients 的标签。 |
| reported_on | additional.fields | 创建键为 Reported On 且值来自 reported_on 的标签。 |
| 规则 | security_result.detection_fields | 创建键为 Rules 且值来自 rules 的标签。 |
| sender | network.email.from, target.resource.attribute.labels | 如果 sender 是有效的电子邮件地址,则将其映射到 network.email.from。此外,还要创建一个键为 sender、值为 sender 的标签。 |
| 服务器 | target.application | 直接映射。 |
| 严重程度 | security_result.severity | 如需了解映射逻辑,请参阅 policy_severity。 |
| src | principal.ip、principal.asset.ip | 如果它是有效的 IP 地址,则直接映射。 |
| 状态 | principal.labels, additional.fields | 为 principal.labels 和 additional.fields 创建一个标签,该标签的键为 Status,值为 status。 |
| subject | target.resource.attribute.labels, network.email.subject | 创建键为 subject 且值来自 subject 的标签。此外,将 subject 映射到 network.email.subject。 |
| target_type | target.resource.attribute.labels | 创建键为 Target Type 且值来自 target_type 的标签。 |
| 时间戳 | metadata.event_timestamp | 使用 date 过滤条件解析后直接映射。 |
| 网址 | target.url | 直接映射。 |
| 用户 | target.user.userid | 直接映射。 |
| user_id | principal.user.userid | 直接映射。 |
| 用户名 | principal.user.userid | 直接映射。 |
| 不适用 | metadata.product_name | 设置为 SYMANTEC_DLP。 |
| 不适用 | metadata.vendor_name | 设置为 SYMANTEC。 |
| 不适用 | metadata.event_type | 如果 event_type 不为空,则直接映射。否则,如果 host 不为空且 has_principal 为 true,则设置为 SCAN_NETWORK。否则,请将其设置为 GENERIC_EVENT。 |
| 不适用 | metadata.product_event_type | 如果 policy_violated 包含 -NM- 或 data 包含 DLP NM,则设置为 Network Monitor。如果 policy_violated 包含 -EP- 或 data 包含 DLP EP,则设置为 Endpoint。 |
| 不适用 | metadata.log_type | 设置为 SYMANTEC_DLP。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。