本頁面由 Cloud Translation API 翻譯而成。

收集 Symantec DLP 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 收集 Symantec DLP 記錄。剖析器程式碼會先嘗試將傳入的 Symantec DLP 記錄資料剖析為 XML。如果 XML 剖析失敗，系統會假設為 SYSLOG + KV (CEF) 格式，並使用 grok 和 kv 篩選器組合來擷取鍵值組，然後對應至統一資料模型 (UDM)。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 Symantec DLP 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: symantec_dlp
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Symantec DLP

登入 Symantec Server 管理控制台。
依序選取「管理」>「政策」>「回應規則」。
選取「設定回覆規則」，然後輸入規則名稱。

請提供下列詳細資料：

動作：選取「記錄到系統記錄伺服器」。
主機：輸入 Bindplane IP 位址。
「Port」(通訊埠)：輸入 Bindplane 通訊埠編號。

訊息：輸入下列訊息：

    |symcdlpsys|APPLICATION_NAME|$APPLICATION_NAME$|APPLICATION_USER|$APPLICATION_USER$|ATTACHMENT_FILENAME|$ATTACHMENT_FILENAME$|BLOCKED|$BLOCKED$|DATAOWNER_NAME|$DATAOWNER_NAME$|DATAOWNER_EMAIL|$DATAOWNER_EMAIL$|DESTINATION_IP|$DESTINATION_IP$|ENDPOINT_DEVICE_ID|$ENDPOINT_DEVICE_ID$|ENDPOINT_LOCATION|$ENDPOINT_LOCATION$|ENDPOINT_MACHINE|$ENDPOINT_MACHINE$|ENDPOINT_USERNAME|$ENDPOINT_USERNAME$|PATH|$PATH$|FILE_NAME|$FILE_NAME$|PARENT_PATH|$PARENT_PATH$|INCIDENT_ID|$INCIDENT_ID$|INCIDENT_SNAPSHOT|$INCIDENT_SNAPSHOT$|MACHINE_IP|$MACHINE_IP$|MATCH_COUNT|$MATCH_COUNT$|OCCURRED_ON|$OCCURRED_ON$|POLICY|$POLICY$|RULES|$RULES$|PROTOCOL|$PROTOCOL$|QUARANTINE_PARENT_PATH|$QUARANTINE_PARENT_PATH$|RECIPIENTS|$RECIPIENTS$|REPORTED_ON|$REPORTED_ON$|SCAN|$SCAN$|SENDER|$SENDER$|MONITOR_NAME|$MONITOR_NAME$|SEVERITY|$SEVERITY$|STATUS|$STATUS$|SUBJECT|$SUBJECT$|TARGET|$TARGET$|URL|$URL$|USER_JUSTIFICATION|$USER_JUSTIFICATION$|

偵錯：選取「等級 4」。

按一下 [套用]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	security_result.action	如果 `act` 是 `Passed`，則設為 `ALLOW`。如果 `act` 是 `Modified`，則設為 `ALLOW_WITH_MODIFICATION`。如果 `act` 是 `Blocked`，則設為 `BLOCK`。否則請設為 `UNKNOWN_ACTION`。
application_name	target.application	直接對應。
asset_ip	principal.ip、principal.asset.ip	直接對應。
asset_name	principal.hostname、principal.asset.hostname	直接對應。
attachment_name	security_result.about.file.full_path	直接對應。
已封鎖	security_result.action_details	直接對應。
calling_station_id	principal.mac、principal.asset.mac	如果 `calling_station_id` 是 MAC 位址，請在將 `-` 替換為 `:` 並轉換為小寫後，直接對應。
called_station_id	target.mac、target.asset.mac	如果 `called_station_id` 是 MAC 位址，請擷取 `:` 前的 MAC 位址部分，並在將 `-` 替換為 `:` 並轉換為小寫後，直接對應。
category1	security_result.detection_fields	使用索引鍵 `category1` 和 `category1` 中的值建立標籤。
category2	security_result.detection_fields	使用索引鍵 `category2` 和 `category2` 中的值建立標籤。
category3	security_result.detection_fields	使用索引鍵 `category3` 和 `category3` 中的值建立標籤。
client_friendly_name	target.user.userid	直接對應。
dataowner_mail	principal.user.email_addresses	如果電子郵件地址有效，系統會直接對應。
說明	metadata.description	直接對應。
dest_location	target.location.country_or_region	如果不是 `RED`，則直接對應。
deviceId	target.asset_id	已對應為 `ID:%{deviceId}`。
device_version	metadata.product_version	直接對應。
dhost	network.http.referral_url	直接對應。
dlp_type	security_result.detection_fields	使用索引鍵 `dlp_type` 和 `dlp_type` 中的值建立標籤。
DLP_EP_Incident_ID	security_result.threat_id、security_result.detection_fields	直接對應至 `threat_id`。此外，請使用 `Incident ID` 鍵和 `DLP_EP_Incident_ID` 中的值建立標籤。
網域	principal.administrative_domain	直接對應。
dst	target.ip、target.asset.ip	如果是有效的 IP 位址，則會直接對應。
endpoint_machine	target.ip、target.asset.ip	如果是有效的 IP 位址，則會直接對應。
endpoint_user_department	target.user.department	直接對應。
endpoint_user_email	target.user.email_addresses	直接對應。
endpoint_user_manager	target.user.managers	使用 `endpoint_user_manager` 中的 `user_display_name` 建立管理員物件。
endpoint_user_name	target.user.user_display_name	直接對應。
endpoint_user_title	target.user.title	直接對應。
event_description	metadata.description	直接對應。
event_id	metadata.product_log_id	直接對應。
event_source	target.application	直接對應。
event_timestamp	metadata.event_timestamp	直接對應。
file_name	security_result.about.file.full_path	直接對應。
filename	target.file.full_path、src.file.full_path	直接對應至 `target.file.full_path`。如果 `has_principal` 為 true，請同時對應至 `src.file.full_path`，並將 `event_type` 設為 `FILE_COPY`。
主機	src.hostname、principal.hostname、principal.asset.hostname	如果 `cef_data` 包含 `CEF`，請對應至所有三個欄位。否則，請對應至 `principal.hostname` 和 `principal.asset.hostname`。
incident_id	security_result.threat_id、security_result.detection_fields	直接對應至 `threat_id`。此外，請使用 `Incident ID` 鍵和 `incident_id` 中的值建立標籤。
位置	principal.resource.attribute.labels	使用索引鍵 `Location` 和 `location` 中的值建立標籤。
match_count	security_result.detection_fields	使用索引鍵 `Match Count` 和 `match_count` 中的值建立標籤。
monitor_name	additional.fields	使用索引鍵 `Monitor Name` 和 `monitor_name` 中的值建立標籤。
nas_id	target.hostname、target.asset.hostname	直接對應。
occurred_on	principal.labels、additional.fields	為 `principal.labels` 和 `additional.fields` 建立標籤，鍵為 `Occurred On`，值來自 `occurred_on`。
policy_name	sec_result.detection_fields	使用索引鍵 `policy_name` 和 `policy_name` 中的值建立標籤。
policy_rule	security_result.rule_name	直接對應。
policy_severity	security_result.severity	轉換為大寫後，對應至 `severity`。如果 `policy_severity` 是 `INFO`，請將其對應為 `INFORMATIONAL`。如果 `policy_severity` 不是 `HIGH`、`MEDIUM`、`LOW` 或 `INFORMATIONAL`，請將 `severity` 設為 `UNKNOWN_SEVERITY`。
policy_violated	security_result.summary	直接對應。
通訊協定	network.application_protocol、target.application、sec_result.description	如果 `Protocol` 不是 `FTP` 或 `Endpoint`，請使用 `parse_app_protocol.include` 檔案剖析 `Protocol`，然後將其對應至 `network.application_protocol`。如果 `Protocol` 是 `FTP`，請將其對應至 `target.application`。如果 `Protocol` 是 `Endpoint`，請將 `sec_result.description` 設為 `Protocol=%{Protocol}`。
收件者	target.user.email_addresses、about.user.email_addresses	將 `recipient` 中的每個電子郵件地址對應至 `target.user.email_addresses` 和 `about.user.email_addresses`。
收件者	network.http.referral_url、target.resource.attribute.labels	直接對應至 `network.http.referral_url`。此外，請使用 `recipients` 中的鍵 `recipients` 和值建立標籤。
reported_on	additional.fields	使用索引鍵 `Reported On` 和 `reported_on` 中的值建立標籤。
規則	security_result.detection_fields	使用索引鍵 `Rules` 和 `rules` 中的值建立標籤。
sender	network.email.from、target.resource.attribute.labels	如果 `sender` 是有效的電子郵件地址，請將其對應至 `network.email.from`。此外，請使用 `sender` 中的鍵 `sender` 和值建立標籤。
伺服器	target.application	直接對應。
嚴重性	security_result.severity	如需對應邏輯，請參閱 `policy_severity`。
src	principal.ip、principal.asset.ip	如果是有效的 IP 位址，則會直接對應。
狀態	principal.labels、additional.fields	為 `principal.labels` 和 `additional.fields` 建立標籤，鍵為 `Status`，值來自 `status`。
主旨	target.resource.attribute.labels、network.email.subject	使用索引鍵 `subject` 和 `subject` 中的值建立標籤。同時將 `subject` 對應至 `network.email.subject`。
target_type	target.resource.attribute.labels	使用索引鍵 `Target Type` 和 `target_type` 中的值建立標籤。
時間戳記	metadata.event_timestamp	使用 `date` 篩選器剖析後直接對應。
網址	target.url	直接對應。
使用者	target.user.userid	直接對應。
user_id	principal.user.userid	直接對應。
使用者名稱	principal.user.userid	直接對應。
不適用	metadata.product_name	設為 `SYMANTEC_DLP`。
不適用	metadata.vendor_name	設為 `SYMANTEC`。
不適用	metadata.event_type	如果 `event_type` 不為空，請直接對應。否則，如果 `host` 不為空白且 `has_principal` 為 true，則設為 `SCAN_NETWORK`。否則請設為 `GENERIC_EVENT`。
不適用	metadata.product_event_type	如果 `policy_violated` 包含 `-NM-` 或 `data` 包含 `DLP NM`，請設為 `Network Monitor`。如果 `policy_violated` 包含 `-EP-` 或 `data` 包含 `DLP EP`，請設為 `Endpoint`。
不適用	metadata.log_type	設為 `SYMANTEC_DLP`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。