Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Symantec EDR

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Symantec Endpoint Detection and Response (EDR) a Google Security Operations con Bindplane. El analizador controla los registros en formato JSON o CEF. Extrae campos, los asigna al UDM y realiza la clasificación del tipo de evento según el contenido del registro, controlando las conexiones de red, los eventos de proceso, la actividad del sistema de archivos, las operaciones de registro y los eventos de inicio y cierre de sesión del usuario.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Symantec EDR.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en Symantec EDR

Accede a la IU web de Symantec EDR.
En la consola de Cloud de EDR, ve a Environment > Settings.
Selecciona un electrodoméstico y, luego, haz clic en Electrodomésticos.
En la consola del dispositivo EDR, haz clic en Configuración > Dispositivos.
Haz clic en Editar dispositivo predeterminado.
Haz doble clic en el dispositivo de la lista Appliances.
En la sección Syslog, desmarca Usar predeterminado (si está marcada).
Haz clic en + Agregar servidor Syslog.
Proporciona los siguientes detalles de configuración:
- Host: Ingresa la dirección IP del agente de BindPlane.
- Protocolo: Selecciona el protocolo configurado en el servidor del agente de Bindplane; por ejemplo, UDP.
- Puerto: Ingresa el número de puerto del agente de Bindplane, por ejemplo, 514.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`actor.cmd_line`	`principal.process.command_line`	Es la línea de comandos que ejecutó el proceso del actor.
`actor.file.md5`	`principal.process.file.md5`	Es el hash MD5 del archivo ejecutable del actor.
`actor.file.path`	`principal.process.file.full_path`	Es la ruta de acceso completa al archivo ejecutable del actor.
`actor.file.sha2`	`principal.process.file.sha256`	Es el hash SHA256 del archivo ejecutable del actor.
`actor.pid`	`principal.process.pid`	Es el ID del proceso del actor.
`actor.uid`	`principal.resource.id`	Es el identificador único del actor.
`actor.user.name`	`principal.user.userid`	Nombre de usuario del actor.
`actor.user.sid`	`principal.user.windows_sid`	Es el SID de Windows del usuario actor.
`attack.technique_name`	`security_result.threat_name`	Es el nombre de la técnica de MITRE ATT&CK.
`attack.technique_uid`	`security_result.description`	Se usa con `attack.technique_name` para propagar `security_result.description` en el formato `<technique_uid>: <technique_name>`.
`collector_device_ip`	`intermediary.ip`	Es la dirección IP del dispositivo de recopilación.
`collector_device_name`	`intermediary.hostname`	Es el nombre de host del dispositivo recopilador.
`collector_name`	`intermediary.resource.name`	Es el nombre del recopilador.
`collector_uid`	`intermediary.resource.id`	Es el identificador único del recopilador.
`connection.bytes_download`	`network.received_bytes`	Es la cantidad de bytes descargados en la conexión.
`connection.bytes_upload`	`network.sent_bytes`	Es la cantidad de bytes subidos en la conexión.
`connection.direction_id`	`network.direction`	Es la dirección de la conexión de red (1 para ENTRANTE y 2 para SALIENTE).
`connection.dst_ip`	`target.ip`	Es la dirección IP de destino de la conexión.
`connection.dst_port`	`target.port`	Es el puerto de destino de la conexión.
`connection.src_ip`	`principal.ip`	Es la dirección IP de origen de la conexión.
`connection.src_name`	`principal.hostname`	Es el nombre de host de origen de la conexión.
`connection.src_port`	`principal.port`	Es el puerto de origen de la conexión.
`connection.url.host`	`target.hostname`	Es el nombre de host en la URL de conexión.
`connection.url.scheme`	`network.application_protocol`	Es el esquema de la URL de conexión (p.ej., HTTP y HTTPS).
`connection.url.text`	`target.url`	Es la URL de conexión completa.
`data_source_url_domain`	`target.url`	Es el dominio de la URL de la fuente de datos.
`device_domain`	`principal.administrative_domain`/`target.administrative_domain`	Es el dominio del dispositivo. Se asigna al principal o al objetivo según la lógica relacionada con `connection.direction_id`.
`device_ip`	`principal.ip`/`target.ip`	Es la dirección IP del dispositivo. Se asigna al principal o al objetivo según la lógica relacionada con `connection.direction_id`.
`device_name`	`principal.hostname`/`target.hostname`	Es el nombre del dispositivo. Se asigna al principal o al objetivo según la lógica relacionada con `connection.direction_id`.
`device_os_name`	`principal.platform_version`/`target.platform_version`	Es el sistema operativo del dispositivo. Se asigna al principal o al objetivo según la lógica relacionada con `connection.direction_id`.
`device_uid`	`target.asset_id`	Es el identificador único del dispositivo, con el prefijo `Device ID:`.
`directory.path`	`target.file.full_path`	Es la ruta de acceso del directorio.
`domain_name`	`target.administrative_domain`	Es el nombre del dominio.
`event_actor.file.path`	`target.process.file.full_path`	Es la ruta de acceso al archivo ejecutable del actor del evento.
`event_actor.pid`	`target.process.pid`	Es el ID del proceso del actor del evento.
`event_desc`	`metadata.description`	Es la descripción del evento.
`externalIP`	`target.ip`	Es la dirección IP externa.
`file.md5`	`target.file.md5`	Es el hash MD5 del archivo.
`file.path`	`target.file.full_path`	Es la ruta de acceso al archivo.
`file.rep_prevalence_band`	`additional.fields.value.number_value`	Es la banda de prevalencia de la reputación del archivo, asignada con la clave `prevalence_score`.
`file.rep_score_band`	`additional.fields.value.number_value`	Es el intervalo de puntuación de reputación del archivo, asignado con la clave `reputation_score`.
`file.sha2`	`target.file.sha256`	Es el hash SHA256 del archivo.
`file.size`	`target.file.size`	Es el tamaño del archivo.
`internalHost`	`principal.hostname`	Es el nombre de host interno.
`internalIP`	`principal.ip`	Es la dirección IP interna.
`internal_port`	`principal.port`	Es el puerto interno.
`kernel.name`	`target.resource.name`	Es el nombre del objeto del kernel. El valor de `target.resource.type` es `MUTEX`.
`message`	`metadata.description`	El mensaje del registro
`module.md5`	`target.process.file.md5`	Es el hash MD5 del módulo.
`module.path`	`target.process.file.full_path`	Es la ruta de acceso al módulo.
`module.sha2`	`target.process.file.sha256`	Es el hash SHA256 del módulo.
`module.size`	`target.process.file.size`	Es el tamaño del módulo.
`process.cmd_line`	`target.process.command_line`	Es la línea de comandos del proceso.
`process.file.md5`	`target.process.file.md5`	Es el hash MD5 del archivo ejecutable del proceso.
`process.file.path`	`target.process.file.full_path`	Es la ruta de acceso al archivo ejecutable del proceso.
`process.file.sha2`	`target.process.file.sha256`	Es el hash SHA256 del archivo ejecutable del proceso.
`process.pid`	`target.process.pid`	Es el ID del proceso.
`process.uid`	`target.resource.id`	Es el identificador único del proceso.
`process.user.name`	`target.user.userid`	Es el nombre de usuario asociado al proceso.
`process.user.sid`	`target.user.windows_sid`	Es el SID de Windows del usuario del proceso.
`product_name`	`metadata.product_name`	Es el nombre del producto que genera el registro.
`product_ver`	`metadata.product_version`	Es la versión del producto que genera el registro.
`reg_key.path`	`target.registry.registry_key`	Es la ruta de acceso a la clave de registro.
`reg_value.data`	`target.registry.registry_value_data`	Son los datos del valor del registro.
`reg_value.name`	`target.registry.registry_value_name`	Es el nombre del valor del registro.
`reg_value.path`	`target.registry.registry_key`	Es la ruta de acceso a la clave de registro del valor.
`security_result.severity`	`security_result.severity`	Es la gravedad del resultado de seguridad. Se traduce de un valor numérico a una enumeración de UDM (p.ej., 1 a BAJA, 5 a MEDIA, 10 a BAJA y 15 a BAJA).
`session.id`	`network.session_id`	Es el ID de sesión.
`session.user.name`	`target.user.userid`	Es el nombre de usuario asociado a la sesión.
`sid`	`principal.user.userid`	Es el identificador de seguridad (SID).
`status_detail`	`security_result.summary`	Son los detalles adicionales sobre el estado.
`type_id`	`metadata.product_event_type`	Es el ID del tipo de evento.
`user_agent_ip`	`target.ip`	Es la dirección IP del agente de usuario.
`user_name`	`principal.user.userid`/`target.user.user_display_name`	Es el nombre de usuario. Se asigna al principal o al objetivo según la lógica relacionada con el análisis de CEF o JSON.
`user_uid`	`target.user.userid`	Es el identificador único del usuario.
`uuid`	`metadata.product_log_id`	Es el UUID del evento.
`event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Es la marca de tiempo del evento. Se deriva de `log_time` o CEF `device_time`.
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Es el tipo de registro. Se codificó como `SYMANTEC_EDR`.
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Es el nombre del proveedor. Se codificó como `Symantec`.
`event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Es el tipo de autenticación. Se establece en `MACHINE` para los eventos de acceso y salida.
`security_result.action`	`security_result.action`	Es la acción que se tomó como resultado del evento de seguridad. Se establece en `ALLOW` para los accesos y los cierres de sesión correctos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.