收集 Symantec DLP 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 BindPlane 收集 Symantec DLP 日志。解析器代码首先会尝试将传入的 Symantec DLP 日志数据解析为 XML。如果 XML 解析失败,则假定为 SYSLOG + KV (CEF) 格式,并组合使用 grok 和 kv 过滤器来提取键值对,并将其映射到统一数据模型 (UDM)。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Symantec DLP 的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: symantec_dlp raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Symantec DLP
- 登录 Symantec 服务器管理控制台。
- 依次选择管理 > 政策 > 回复规则。
- 选择配置回复规则,然后输入规则名称。
提供以下详细信息:
- 操作:选择记录到 syslog 服务器。
- 主机:输入
BindplaneIP 地址。 - 端口:输入
Bindplane端口号。 消息:输入以下消息:
|symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|调试:选择第 4 级。
点击应用。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 法案 | security_result.action | 如果 act 为 Passed,请设置为 ALLOW。如果 act 为 Modified,请设置为 ALLOW_WITH_MODIFICATION。如果 act 为 Blocked,请设置为 BLOCK。否则,请将其设置为 UNKNOWN_ACTION。 |
| application_name | target.application | 直接映射。 |
| asset_ip | principal.ip、principal.asset.ip | 直接映射。 |
| asset_name | principal.hostname、principal.asset.hostname | 直接映射。 |
| attachment_name | security_result.about.file.full_path | 直接映射。 |
| 已屏蔽 | security_result.action_details | 直接映射。 |
| calling_station_id | principal.mac、principal.asset.mac | 如果 calling_station_id 是 MAC 地址,请将 - 替换为 : 并转换为小写后,直接将其映射。 |
| called_station_id | target.mac、target.asset.mac | 如果 called_station_id 是 MAC 地址,请提取 : 之前的 MAC 地址部分,并在将 - 替换为 : 并转换为小写后直接进行映射。 |
| category1 | security_result.detection_fields | 创建键为 category1 且值来自 category1 的标签。 |
| category2 | security_result.detection_fields | 创建键为 category2 且值来自 category2 的标签。 |
| category3 | security_result.detection_fields | 创建键为 category3 且值来自 category3 的标签。 |
| client_friendly_name | target.user.userid | 直接映射。 |
| dataowner_mail | principal.user.email_addresses | 如果是有效的电子邮件地址,则直接映射。 |
| 说明 | metadata.description | 直接映射。 |
| dest_location | target.location.country_or_region | 如果不是 RED,则直接映射。 |
| deviceId | target.asset_id | 映射为 ID:%{deviceId}。 |
| device_version | metadata.product_version | 直接映射。 |
| dhost | network.http.referral_url | 直接映射。 |
| dlp_type | security_result.detection_fields | 创建键为 dlp_type 且值来自 dlp_type 的标签。 |
| DLP_EP_Incident_ID | security_result.threat_id、security_result.detection_fields | 直接映射到 threat_id。此外,创建一个键为 Incident ID 且值来自 DLP_EP_Incident_ID 的标签。 |
| 网域 | principal.administrative_domain | 直接映射。 |
| dst | target.ip、target.asset.ip | 如果是有效的 IP 地址,则直接映射。 |
| endpoint_machine | target.ip、target.asset.ip | 如果是有效的 IP 地址,则直接映射。 |
| endpoint_user_department | target.user.department | 直接映射。 |
| endpoint_user_email | target.user.email_addresses | 直接映射。 |
| endpoint_user_manager | target.user.managers | 使用 endpoint_user_manager 中的 user_display_name 创建一个 manager 对象。 |
| endpoint_user_name | target.user.user_display_name | 直接映射。 |
| endpoint_user_title | target.user.title | 直接映射。 |
| event_description | metadata.description | 直接映射。 |
| event_id | metadata.product_log_id | 直接映射。 |
| event_source | target.application | 直接映射。 |
| event_timestamp | metadata.event_timestamp | 直接映射。 |
| file_name | security_result.about.file.full_path | 直接映射。 |
| filename | target.file.full_path, src.file.full_path | 直接映射到 target.file.full_path。如果 has_principal 为 true,还应映射到 src.file.full_path 并将 event_type 设置为 FILE_COPY。 |
| 主机 | src.hostname、principal.hostname、principal.asset.hostname | 如果 cef_data 包含 CEF,请映射到所有三个字段。否则,映射到 principal.hostname 和 principal.asset.hostname。 |
| incident_id | security_result.threat_id、security_result.detection_fields | 直接映射到 threat_id。此外,创建一个键为 Incident ID 且值来自 incident_id 的标签。 |
| 位置 | principal.resource.attribute.labels | 创建键为 Location 且值来自 location 的标签。 |
| match_count | security_result.detection_fields | 创建键为 Match Count 且值来自 match_count 的标签。 |
| monitor_name | additional.fields | 创建键为 Monitor Name 且值来自 monitor_name 的标签。 |
| nas_id | target.hostname、target.asset.hostname | 直接映射。 |
| occurred_on | principal.labels、additional.fields | 为 principal.labels 和 additional.fields 创建键为 Occurred On 且值为 occurred_on 的标签。 |
| policy_name | sec_result.detection_fields | 创建键为 policy_name 且值来自 policy_name 的标签。 |
| policy_rule | security_result.rule_name | 直接映射。 |
| policy_severity | security_result.severity | 转换为大写后映射到 severity。如果 policy_severity 为 INFO,请将其映射为 INFORMATIONAL。如果 policy_severity 不是 HIGH、MEDIUM、LOW 或 INFORMATIONAL 中的某个值,请将 severity 设置为 UNKNOWN_SEVERITY。 |
| policy_violated | security_result.summary | 直接映射。 |
| 协议 | network.application_protocol、target.application、sec_result.description | 如果 Protocol 不是 FTP 或 Endpoint,请使用 parse_app_protocol.include 文件解析它,然后将其映射到 network.application_protocol。如果 Protocol 为 FTP,请将其映射到 target.application。如果 Protocol 为 Endpoint,请将 sec_result.description 设置为 Protocol=%{Protocol}。 |
| 收件人 | target.user.email_addresses、about.user.email_addresses | 对于 recipient 中的每个电子邮件地址,请将其映射到 target.user.email_addresses 和 about.user.email_addresses。 |
| 收件人 | network.http.referral_url、target.resource.attribute.labels | 直接映射到 network.http.referral_url。此外,创建一个键为 recipients 且值来自 recipients 的标签。 |
| reported_on | additional.fields | 创建键为 Reported On 且值来自 reported_on 的标签。 |
| rules | security_result.detection_fields | 创建键为 Rules 且值来自 rules 的标签。 |
| sender | network.email.from、target.resource.attribute.labels | 如果 sender 是有效的电子邮件地址,请将其映射到 network.email.from。此外,创建一个键为 sender 且值来自 sender 的标签。 |
| 服务器 | target.application | 直接映射。 |
| 严重程度 | security_result.severity | 如需了解映射逻辑,请参阅 policy_severity。 |
| src | principal.ip、principal.asset.ip | 如果是有效的 IP 地址,则直接映射。 |
| 状态 | principal.labels、additional.fields | 为 principal.labels 和 additional.fields 创建键为 Status 且值为 status 的标签。 |
| subject | target.resource.attribute.labels、network.email.subject | 创建键为 subject 且值来自 subject 的标签。此外,将 subject 映射到 network.email.subject。 |
| target_type | target.resource.attribute.labels | 创建键为 Target Type 且值来自 target_type 的标签。 |
| 时间戳 | metadata.event_timestamp | 使用 date 过滤器解析后直接映射。 |
| 网址 | target.url | 直接映射。 |
| 用户 | target.user.userid | 直接映射。 |
| user_id | principal.user.userid | 直接映射。 |
| 用户名 | principal.user.userid | 直接映射。 |
| 不适用 | metadata.product_name | 设置为 SYMANTEC_DLP。 |
| 不适用 | metadata.vendor_name | 设置为 SYMANTEC。 |
| 不适用 | metadata.event_type | 如果 event_type 不为空,请直接映射它。否则,如果 host 不为空且 has_principal 为 true,则设置为 SCAN_NETWORK。否则,请将其设置为 GENERIC_EVENT。 |
| 不适用 | metadata.product_event_type | 如果 policy_violated 包含 -NM- 或 data 包含 DLP NM,则设置为 Network Monitor。如果 policy_violated 包含 -EP- 或 data 包含 DLP EP,则设置为 Endpoint。 |
| 不适用 | metadata.log_type | 设置为 SYMANTEC_DLP。 |
变化
2025-02-04
增强功能:
- 添加了对 SYSLOG 日志的支持。
2025-01-08
增强功能:
- 将
ATTACHMENT_FILENAME映射到principal.file.full_path。 - 如果存在
DATAOWNER_NAME,则将DATAOWNER_NAME映射到principal.user.userid。 - 如果
DATAOWNER_NAME不存在,则将ENDPOINT_USERNAME映射到principal.user.userid。
2024-12-27
增强功能:
- 添加了对解析新日志格式的支持。
2024-12-04
增强功能:
- 添加了对解析新日志格式的支持。
2024-11-11
增强功能:
- 添加了对解析新日志格式的支持。
2024-09-05
增强功能:
- 添加了对解析新日志格式的支持。
2024-06-17
增强功能:
- 添加了对解析新格式字段
recipients的支持。
2024-06-14
增强功能:
- 添加了对 CEF 日志的支持。
2024 年 5 月 16 日
增强功能:
- 将
dlp_type映射到security_result.detection_fields。
2024-04-26
bug 修复:
- 将
recipients映射到target.user.email_addresses。
2024-03-10
增强功能:
- 添加了新的 Grok 模式,用于解析采用新 SYSLOG 格式的日志。
- 将
server映射到target.application。 - 将
url映射到target.url。 - 将
dataowner_mail映射到principal.user.email_addresses。 - 将
reported_on和monitor_name映射到additional.fields。 - 将
sender映射到network.email.from。 - 将
subject映射到network.email.subject。
2024-02-20
增强功能:
- 将
blocked映射到security_result.action_details和security_result.action。
2024-01-12
增强功能:
- 将
incident_id和DLP_EP_Incident_ID映射到security_result.detection_fields。 - 添加了 Grok 模式,用于解析采用新 SYSLOG 格式的日志。
- 将
location映射到principal.resource.attribute.labels。 - 将
target_type映射到target.resource.attribute.labels。
2023-12-06
增强功能:
- 添加了 Grok 模式,用于解析新格式的日志。
- 将
application映射到principal.application。 - 将
application_name映射到target.application。 - 将
policy_name映射到security_result.detection_fields。
2023-09-02
增强功能:
- 添加了对解析失败日志的支持,并相应地映射了字段。
2023-08-17
增强功能:
- 将
Occurred on映射到principal.labels。 - 当
act为Modified时,将security_result.action设置为ALLOW_WITH_MODIFICATION。 - 将
status映射到principal.labels。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。