Diese Seite wurde von der Cloud Translation API übersetzt.

Symantec EDR-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Symantec EDR-Logs (Endpoint Detection and Response) mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet die Protokolle entweder im JSON- oder CEF-Format. Es werden Felder extrahiert, dem UDM zugeordnet und Ereignistypen basierend auf dem Protokollinhalt klassifiziert. Dabei werden Netzwerkverbindungen, Prozessereignisse, Dateisystemaktivitäten, Registrierungsvorgänge und Nutzeran-/abmeldeereignisse verarbeitet.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen Berechtigungen für Symantec EDR.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Symantec EDR konfigurieren

Melden Sie sich in der Web-UI von Symantec EDR an.
Klicken Sie in der EDR-Cloud-Konsole auf Umgebung > Einstellungen.
Wählen Sie ein Gerät aus und klicken Sie dann auf Geräte.
Klicken Sie in der EDR-Appliance-Konsole auf Einstellungen > Appliances.
Klicken Sie auf Standardgerät bearbeiten.
Doppelklicken Sie in der Liste Haushaltsgeräte auf das Gerät.
Entfernen Sie im Abschnitt „Syslog“ das Häkchen bei Standard verwenden, falls es gesetzt ist.
Klicken Sie auf +Syslog-Server hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Host: Geben Sie die IP-Adresse des BindPlane-Agents ein.
- Protokoll: Wählen Sie das konfigurierte Protokoll auf dem Bindplane-Agent-Server aus, z. B. UDP.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`actor.cmd_line`	`principal.process.command_line`	Die Befehlszeile, die vom Akteurprozess ausgeführt wird.
`actor.file.md5`	`principal.process.file.md5`	Der MD5-Hash der ausführbaren Datei des Akteurs.
`actor.file.path`	`principal.process.file.full_path`	Der vollständige Pfad zur ausführbaren Datei des Akteurs.
`actor.file.sha2`	`principal.process.file.sha256`	Der SHA256-Hash der ausführbaren Datei des Akteurs.
`actor.pid`	`principal.process.pid`	Die Prozess-ID des Akteurs.
`actor.uid`	`principal.resource.id`	Eindeutige Kennung für den Akteur.
`actor.user.name`	`principal.user.userid`	Der Nutzername des Akteurs.
`actor.user.sid`	`principal.user.windows_sid`	Die Windows-SID des ausführenden Nutzers.
`attack.technique_name`	`security_result.threat_name`	Der Name der MITRE ATT&CK-Technik.
`attack.technique_uid`	`security_result.description`	Wird mit `attack.technique_name` verwendet, um `security_result.description` im Format `<technique_uid>: <technique_name>` auszufüllen.
`collector_device_ip`	`intermediary.ip`	Die IP-Adresse des Collector-Geräts.
`collector_device_name`	`intermediary.hostname`	Der Hostname des Erfassungsgeräts.
`collector_name`	`intermediary.resource.name`	Der Name des Collectors.
`collector_uid`	`intermediary.resource.id`	Die eindeutige Kennung des Sammlers.
`connection.bytes_download`	`network.received_bytes`	Die Anzahl der über die Verbindung heruntergeladenen Byte.
`connection.bytes_upload`	`network.sent_bytes`	Die Anzahl der über die Verbindung hochgeladenen Byte.
`connection.direction_id`	`network.direction`	Die Richtung der Netzwerkverbindung (1 für EINGANGS-, 2 für AUSGANGSVERBINDUNG).
`connection.dst_ip`	`target.ip`	Die Ziel-IP-Adresse der Verbindung.
`connection.dst_port`	`target.port`	Der Zielport der Verbindung.
`connection.src_ip`	`principal.ip`	Die Quell-IP-Adresse der Verbindung.
`connection.src_name`	`principal.hostname`	Der Quell-Hostname der Verbindung.
`connection.src_port`	`principal.port`	Der Quellport der Verbindung.
`connection.url.host`	`target.hostname`	Der Hostname in der Verbindungs-URL.
`connection.url.scheme`	`network.application_protocol`	Das Schema der Verbindungs-URL (z.B. HTTP, HTTPS).
`connection.url.text`	`target.url`	Die vollständige Verbindungs-URL.
`data_source_url_domain`	`target.url`	Die Domain der URL der Datenquelle.
`device_domain`	`principal.administrative_domain`/`target.administrative_domain`	Die Domain des Geräts. Auf Grundlage der Logik für `connection.direction_id` dem Haupt- oder Zielkonto zugeordnet.
`device_ip`	`principal.ip`/`target.ip`	Die IP-Adresse des Geräts. Auf Grundlage der Logik für `connection.direction_id` dem Haupt- oder Zielkonto zugeordnet.
`device_name`	`principal.hostname`/`target.hostname`	Der Name des Geräts Auf Grundlage der Logik für `connection.direction_id` dem Haupt- oder Zielkonto zugeordnet.
`device_os_name`	`principal.platform_version`/`target.platform_version`	Das Betriebssystem des Geräts. Auf Grundlage der Logik für `connection.direction_id` dem Haupt- oder Zielkonto zugeordnet.
`device_uid`	`target.asset_id`	Die eindeutige Kennung des Geräts, vorangestellt mit `Device ID:`.
`directory.path`	`target.file.full_path`	Der Pfad des Verzeichnisses.
`domain_name`	`target.administrative_domain`	Der Name der Domain.
`event_actor.file.path`	`target.process.file.full_path`	Der Pfad zur ausführbaren Datei des Ereignisakteurs.
`event_actor.pid`	`target.process.pid`	Die Prozess-ID des Ereignisakteurs.
`event_desc`	`metadata.description`	Beschreibung des Ereignisses.
`externalIP`	`target.ip`	Die externe IP-Adresse.
`file.md5`	`target.file.md5`	Der MD5-Hash der Datei
`file.path`	`target.file.full_path`	Der Pfad zur Datei.
`file.rep_prevalence_band`	`additional.fields.value.number_value`	Der Bereich der Reputationsprävalenz der Datei, der dem Schlüssel `prevalence_score` zugeordnet ist.
`file.rep_score_band`	`additional.fields.value.number_value`	Der Bereich des Rufs der Datei, der dem Schlüssel `reputation_score` zugeordnet ist.
`file.sha2`	`target.file.sha256`	Der SHA256-Hash der Datei.
`file.size`	`target.file.size`	Die Größe der Datei.
`internalHost`	`principal.hostname`	Der interne Hostname.
`internalIP`	`principal.ip`	Die interne IP-Adresse.
`internal_port`	`principal.port`	Der interne Anschluss.
`kernel.name`	`target.resource.name`	Der Name des Kernelobjekts. `target.resource.type` ist auf `MUTEX` festgelegt.
`message`	`metadata.description`	Die Lognachricht.
`module.md5`	`target.process.file.md5`	Der MD5-Hash des Moduls.
`module.path`	`target.process.file.full_path`	Der Pfad zum Modul.
`module.sha2`	`target.process.file.sha256`	Der SHA256-Hash des Moduls.
`module.size`	`target.process.file.size`	Die Größe des Moduls.
`process.cmd_line`	`target.process.command_line`	Die Befehlszeile des Prozesses.
`process.file.md5`	`target.process.file.md5`	Der MD5-Hash der ausführbaren Datei des Prozesses.
`process.file.path`	`target.process.file.full_path`	Der Pfad zur ausführbaren Datei des Prozesses.
`process.file.sha2`	`target.process.file.sha256`	Der SHA256-Hash der ausführbaren Datei des Prozesses.
`process.pid`	`target.process.pid`	Die Prozess-ID.
`process.uid`	`target.resource.id`	Die eindeutige Kennung des Prozesses.
`process.user.name`	`target.user.userid`	Der mit dem Prozess verknüpfte Nutzername.
`process.user.sid`	`target.user.windows_sid`	Die Windows-SID des Prozessnutzers.
`product_name`	`metadata.product_name`	Der Name des Produkts, das das Protokoll generiert.
`product_ver`	`metadata.product_version`	Die Version des Produkts, das das Protokoll generiert.
`reg_key.path`	`target.registry.registry_key`	Der Pfad zum Registrierungsschlüssel.
`reg_value.data`	`target.registry.registry_value_data`	Die Daten des Registrierungswerts.
`reg_value.name`	`target.registry.registry_value_name`	Der Name des Registrierungswerts.
`reg_value.path`	`target.registry.registry_key`	Der Pfad zum Registrierungsschlüssel für den Wert.
`security_result.severity`	`security_result.severity`	Der Schweregrad des Sicherheitsergebnisses. Von einem numerischen Wert in eine UDM-Aufzählung umgewandelt (z.B. 1 für NIEDRIG, 5 für MITTEL, 10 für NIEDRIG, 15 für NIEDRIG).
`session.id`	`network.session_id`	Die Sitzungs-ID.
`session.user.name`	`target.user.userid`	Der mit der Sitzung verknüpfte Nutzername.
`sid`	`principal.user.userid`	Die Sicherheits-ID (SID).
`status_detail`	`security_result.summary`	Weitere Informationen zum Status.
`type_id`	`metadata.product_event_type`	Die Ereignistyp-ID.
`user_agent_ip`	`target.ip`	Die IP-Adresse des User-Agents.
`user_name`	`principal.user.userid`/`target.user.user_display_name`	Der Nutzername. Auf Grundlage der Logik für das CEF- oder JSON-Parsen dem Principal oder Target zugeordnet.
`user_uid`	`target.user.userid`	Die eindeutige Kennung des Nutzers.
`uuid`	`metadata.product_log_id`	Die UUID des Ereignisses.
`event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Der Zeitstempel des Ereignisses. Abgeleitet von `log_time` oder CEF `device_time`.
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Der Logtyp. Hartcodiert auf `SYMANTEC_EDR`.
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Der Name des Anbieters. Hartcodiert auf `Symantec`.
`event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Der Authentifizierungstyp. Legen Sie für Anmelde- und Abmeldeereignisse `MACHINE` fest.
`security_result.action`	`security_result.action`	Die Maßnahme, die aufgrund des Sicherheitsereignisses ergriffen wurde. Legen Sie `ALLOW` für erfolgreiche Anmeldungen und Abmeldungen fest.

Änderungen

2022-03-31

Den Asset-Details wurde ein Präfix für die Geräte-ID hinzugefügt.
Unterstützung für das Parsen von CEF hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten