Symantec EDR-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Symantec Endpoint Detection and Response (EDR)-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet die Logs im JSON- oder CEF-Format. Es werden Felder extrahiert, dem UDM zugeordnet und Ereignistypen basierend auf dem Loginhalt klassifiziert. Dabei werden Netzwerkverbindungen, Prozessereignisse, Dateisystemaktivitäten, Registrierungsvorgänge und Nutzeran- und -abmeldeereignisse verarbeitet.

Hinweise

  • Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Symantec EDR haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Greifen Sie auf die Konfigurationsdatei zu:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog in Symantec EDR konfigurieren

  1. Melden Sie sich in der Symantec EDR-Web-UI an.
  2. Rufen Sie in der EDR Cloud Console Umgebung > Einstellungen auf.
  3. Wählen Sie ein Gerät aus und klicken Sie dann auf Geräte.
  4. Klicken Sie in der EDR-Appliance-Konsole auf Einstellungen > Appliances.
  5. Klicken Sie auf Standardgerät bearbeiten.
  6. Doppelklicken Sie in der Liste Appliances (Geräte) auf das Gerät.
  7. Entfernen Sie im Bereich „Syslog“ das Häkchen bei Standard verwenden (falls es gesetzt ist).
  8. Klicken Sie auf + Syslog-Server hinzufügen.
  9. Geben Sie die folgenden Konfigurationsdetails an:
    • Host: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Protokoll: Wählen Sie das im Bindplane-Agent-Server konfigurierte Protokoll aus, z. B. UDP.
    • Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514.
  10. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
actor.cmd_line principal.process.command_line Die vom Akteurprozess ausgeführte Befehlszeile.
actor.file.md5 principal.process.file.md5 Der MD5-Hash der ausführbaren Datei des Akteurs.
actor.file.path principal.process.file.full_path Der vollständige Pfad zur ausführbaren Datei des Akteurs.
actor.file.sha2 principal.process.file.sha256 Der SHA256-Hash der ausführbaren Datei des Akteurs.
actor.pid principal.process.pid Die Prozess-ID des Akteurs.
actor.uid principal.resource.id Eindeutige Kennung für den Akteur.
actor.user.name principal.user.userid Der Nutzername des Akteurs.
actor.user.sid principal.user.windows_sid Die Windows-SID des ausführenden Nutzers.
attack.technique_name security_result.threat_name Der Name der MITRE ATT&CK-Technik.
attack.technique_uid security_result.description Wird mit attack.technique_name verwendet, um security_result.description im Format <technique_uid>: <technique_name> auszufüllen.
collector_device_ip intermediary.ip Die IP-Adresse des Collector-Geräts.
collector_device_name intermediary.hostname Der Hostname des Collector-Geräts.
collector_name intermediary.resource.name Der Name des Collectors.
collector_uid intermediary.resource.id Die eindeutige ID des Collectors.
connection.bytes_download network.received_bytes Die Anzahl der in der Verbindung heruntergeladenen Byte.
connection.bytes_upload network.sent_bytes Die Anzahl der in der Verbindung hochgeladenen Byte.
connection.direction_id network.direction Die Richtung der Netzwerkverbindung (1 für INBOUND, 2 für OUTBOUND).
connection.dst_ip target.ip Die Ziel-IP-Adresse der Verbindung.
connection.dst_port target.port Der Zielport der Verbindung.
connection.src_ip principal.ip Die Quell-IP-Adresse der Verbindung.
connection.src_name principal.hostname Der Quellhostname der Verbindung.
connection.src_port principal.port Der Quellport der Verbindung.
connection.url.host target.hostname Der Hostname in der Verbindungs-URL.
connection.url.scheme network.application_protocol Das Schema der Verbindungs-URL (z.B. HTTP, HTTPS).
connection.url.text target.url Die vollständige Verbindungs-URL.
data_source_url_domain target.url Die Domain der Datenquellen-URL.
device_domain principal.administrative_domain/target.administrative_domain Die Domain des Geräts. Wird dem Haupt- oder Zielwert auf Grundlage der Logik für connection.direction_id zugeordnet.
device_ip principal.ip/target.ip Die IP-Adresse des Geräts. Wird dem Haupt- oder Zielwert auf Grundlage der Logik für connection.direction_id zugeordnet.
device_name principal.hostname/target.hostname Der Name des Geräts Wird dem Haupt- oder Zielwert auf Grundlage der Logik für connection.direction_id zugeordnet.
device_os_name principal.platform_version/target.platform_version Das Betriebssystem des Geräts. Wird dem Haupt- oder Zielwert auf Grundlage der Logik für connection.direction_id zugeordnet.
device_uid target.asset_id Die eindeutige Kennung des Geräts mit dem Präfix Device ID:.
directory.path target.file.full_path Der Pfad des Verzeichnisses.
domain_name target.administrative_domain Der Name der Domain.
event_actor.file.path target.process.file.full_path Der Pfad zur ausführbaren Datei des Ereignisakteurs.
event_actor.pid target.process.pid Die Prozess-ID des Ereignisakteurs.
event_desc metadata.description Beschreibung des Ereignisses.
externalIP target.ip Die externe IP-Adresse.
file.md5 target.file.md5 Der MD5-Hash der Datei
file.path target.file.full_path Der Pfad zur Datei.
file.rep_prevalence_band additional.fields.value.number_value Die Bandbreite der Reputation der Datei, die mit dem Schlüssel prevalence_score zugeordnet wird.
file.rep_score_band additional.fields.value.number_value Die Reputationsbewertung der Datei, die dem Schlüssel reputation_score zugeordnet ist.
file.sha2 target.file.sha256 Der SHA256-Hash der Datei.
file.size target.file.size Die Größe der Datei.
internalHost principal.hostname Der interne Hostname.
internalIP principal.ip Die interne IP-Adresse.
internal_port principal.port Der interne Port.
kernel.name target.resource.name Der Name des Kernel-Objekts. target.resource.type ist auf MUTEX festgelegt.
message metadata.description Die Lognachricht.
module.md5 target.process.file.md5 Der MD5-Hash des Moduls.
module.path target.process.file.full_path Der Pfad zum Modul.
module.sha2 target.process.file.sha256 Der SHA256-Hash des Moduls.
module.size target.process.file.size Die Größe des Moduls.
process.cmd_line target.process.command_line Die Befehlszeile des Prozesses.
process.file.md5 target.process.file.md5 Der MD5-Hash der ausführbaren Datei des Prozesses.
process.file.path target.process.file.full_path Der Pfad zur ausführbaren Datei des Prozesses.
process.file.sha2 target.process.file.sha256 Der SHA256-Hash der ausführbaren Datei des Prozesses.
process.pid target.process.pid Die Prozess-ID.
process.uid target.resource.id Die eindeutige Kennung des Prozesses.
process.user.name target.user.userid Der Nutzername, der dem Prozess zugeordnet ist.
process.user.sid target.user.windows_sid Die Windows-SID des Prozessnutzers.
product_name metadata.product_name Der Name des Produkts, das das Log generiert.
product_ver metadata.product_version Die Version des Produkts, das das Log generiert.
reg_key.path target.registry.registry_key Der Registrierungsschlüsselpfad.
reg_value.data target.registry.registry_value_data Die Registrierungswertdaten.
reg_value.name target.registry.registry_value_name Der Name des Registrierungswerts.
reg_value.path target.registry.registry_key Der Registrierungsschlüsselpfad für den Wert.
security_result.severity security_result.severity Der Schweregrad des Sicherheitsergebnisses. Übersetzt von numerischem Wert in UDM-Enum (z.B. 1 bis NIEDRIG, 5 bis MITTEL, 10 bis NIEDRIG, 15 bis NIEDRIG).
session.id network.session_id Die Sitzungs-ID.
session.user.name target.user.userid Der Nutzername, der mit der Sitzung verknüpft ist.
sid principal.user.userid Die Sicherheits-ID (SID).
status_detail security_result.summary Zusätzliche Details zum Status.
type_id metadata.product_event_type Die Ereignistyp-ID.
user_agent_ip target.ip Die IP-Adresse des User-Agents.
user_name principal.user.userid/target.user.user_display_name Der Nutzername. Wird auf Grundlage der Logik für das CEF- oder JSON-Parsing dem Prinzipal oder dem Ziel zugeordnet.
user_uid target.user.userid Die eindeutige Kennung des Nutzers.
uuid metadata.product_log_id Die UUID des Ereignisses.
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp Der Zeitstempel des Ereignisses. Abgeleitet von log_time oder CEF device_time.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Der Typ des Logs. Hartcodiert auf SYMANTEC_EDR.
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Der Name des Anbieters. Hartcodiert auf Symantec.
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type Der Authentifizierungstyp. Auf MACHINE für An- und Abmeldeereignisse festgelegt.
security_result.action security_result.action Die aufgrund des Sicherheitsereignisses ergriffene Maßnahme. Auf ALLOW für erfolgreiche An- und Abmeldungen festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten