Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Symantec EDR

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Symantec Endpoint Detection and Response (EDR) ke Google Security Operations menggunakan Bindplane. Parser menangani log dalam format JSON atau CEF. Agen ini mengekstrak kolom, memetakannya ke UDM, dan melakukan klasifikasi jenis peristiwa berdasarkan konten log, menangani koneksi jaringan, peristiwa proses, aktivitas sistem file, operasi registri, dan peristiwa login/logout pengguna.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Symantec EDR.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Symantec EDR

Login ke UI web Symantec EDR Anda.
Di konsol cloud EDR, buka Environment > Settings.
Pilih perangkat, lalu klik Perangkat.
Di konsol perangkat EDR, klik Settings > Appliances.
Klik Edit Default Appliance.
Klik dua kali perangkat dalam daftar Peralatan.
Di bagian Syslog, hapus Gunakan default (jika ditandai).
Klik +Add Syslog Server.
Berikan detail konfigurasi berikut:
- Host: masukkan alamat IP agen Bindplane.
- Protocol: pilih protokol yang dikonfigurasi di server agen Bindplane; misalnya, UDP.
- Port: masukkan nomor port agen Bindplane; misalnya, 514.
Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`actor.cmd_line`	`principal.process.command_line`	Command line yang dijalankan oleh proses aktor.
`actor.file.md5`	`principal.process.file.md5`	Hash MD5 file yang dapat dieksekusi aktor.
`actor.file.path`	`principal.process.file.full_path`	Jalur lengkap ke file yang dapat dieksekusi aktor.
`actor.file.sha2`	`principal.process.file.sha256`	Hash SHA256 file yang dapat dieksekusi aktor.
`actor.pid`	`principal.process.pid`	ID proses aktor.
`actor.uid`	`principal.resource.id`	ID unik untuk aktor.
`actor.user.name`	`principal.user.userid`	Nama pengguna pelaku.
`actor.user.sid`	`principal.user.windows_sid`	SID Windows pengguna aktor.
`attack.technique_name`	`security_result.threat_name`	Nama teknik MITRE ATT&CK.
`attack.technique_uid`	`security_result.description`	Digunakan dengan `attack.technique_name` untuk mengisi `security_result.description` dalam format `<technique_uid>: <technique_name>`.
`collector_device_ip`	`intermediary.ip`	Alamat IP perangkat pengumpul.
`collector_device_name`	`intermediary.hostname`	Nama host perangkat pengumpul.
`collector_name`	`intermediary.resource.name`	Nama pengumpul.
`collector_uid`	`intermediary.resource.id`	ID unik pengumpul.
`connection.bytes_download`	`network.received_bytes`	Jumlah byte yang didownload dalam koneksi.
`connection.bytes_upload`	`network.sent_bytes`	Jumlah byte yang diupload dalam koneksi.
`connection.direction_id`	`network.direction`	Arah koneksi jaringan (1 untuk INBOUND, 2 untuk OUTBOUND).
`connection.dst_ip`	`target.ip`	Alamat IP tujuan koneksi.
`connection.dst_port`	`target.port`	Port tujuan koneksi.
`connection.src_ip`	`principal.ip`	Alamat IP sumber koneksi.
`connection.src_name`	`principal.hostname`	Nama host sumber koneksi.
`connection.src_port`	`principal.port`	Port sumber koneksi.
`connection.url.host`	`target.hostname`	Nama host di URL koneksi.
`connection.url.scheme`	`network.application_protocol`	Skema URL koneksi (misalnya, HTTP, HTTPS).
`connection.url.text`	`target.url`	URL koneksi lengkap.
`data_source_url_domain`	`target.url`	Domain URL sumber data.
`device_domain`	`principal.administrative_domain`/`target.administrative_domain`	Domain perangkat. Dipetakan ke pokok atau target berdasarkan logika yang terkait dengan `connection.direction_id`.
`device_ip`	`principal.ip`/`target.ip`	Alamat IP perangkat. Dipetakan ke pokok atau target berdasarkan logika yang terkait dengan `connection.direction_id`.
`device_name`	`principal.hostname`/`target.hostname`	Nama dari perangkat. Dipetakan ke pokok atau target berdasarkan logika yang terkait dengan `connection.direction_id`.
`device_os_name`	`principal.platform_version`/`target.platform_version`	Sistem operasi perangkat. Dipetakan ke pokok atau target berdasarkan logika yang terkait dengan `connection.direction_id`.
`device_uid`	`target.asset_id`	ID unik perangkat, yang diawali dengan `Device ID:`.
`directory.path`	`target.file.full_path`	Jalur direktori.
`domain_name`	`target.administrative_domain`	Nama domain.
`event_actor.file.path`	`target.process.file.full_path`	Jalur ke file yang dapat dieksekusi aktor peristiwa.
`event_actor.pid`	`target.process.pid`	ID proses aktor peristiwa.
`event_desc`	`metadata.description`	Deskripsi peristiwa.
`externalIP`	`target.ip`	Alamat IP eksternal.
`file.md5`	`target.file.md5`	Hash MD5 dari file.
`file.path`	`target.file.full_path`	Jalur ke file.
`file.rep_prevalence_band`	`additional.fields.value.number_value`	Rentang prevalensi reputasi file, dipetakan dengan kunci `prevalence_score`.
`file.rep_score_band`	`additional.fields.value.number_value`	Rentang skor reputasi file, dipetakan dengan kunci `reputation_score`.
`file.sha2`	`target.file.sha256`	Hash SHA256 file.
`file.size`	`target.file.size`	Ukuran file.
`internalHost`	`principal.hostname`	Nama host internal.
`internalIP`	`principal.ip`	Alamat IP internal.
`internal_port`	`principal.port`	Port internal.
`kernel.name`	`target.resource.name`	Nama objek kernel. `target.resource.type` disetel ke `MUTEX`.
`message`	`metadata.description`	Pesan log.
`module.md5`	`target.process.file.md5`	Hash MD5 modul.
`module.path`	`target.process.file.full_path`	Jalur ke modul.
`module.sha2`	`target.process.file.sha256`	Hash SHA256 modul.
`module.size`	`target.process.file.size`	Ukuran modul.
`process.cmd_line`	`target.process.command_line`	Command line proses.
`process.file.md5`	`target.process.file.md5`	Hash MD5 dari file yang dapat dieksekusi proses.
`process.file.path`	`target.process.file.full_path`	Jalur ke file yang dapat dieksekusi proses.
`process.file.sha2`	`target.process.file.sha256`	Hash SHA256 dari file yang dapat dieksekusi proses.
`process.pid`	`target.process.pid`	ID proses.
`process.uid`	`target.resource.id`	ID unik proses.
`process.user.name`	`target.user.userid`	Nama pengguna yang terkait dengan proses.
`process.user.sid`	`target.user.windows_sid`	SID Windows pengguna proses.
`product_name`	`metadata.product_name`	Nama produk yang menghasilkan log.
`product_ver`	`metadata.product_version`	Versi produk yang membuat log.
`reg_key.path`	`target.registry.registry_key`	Jalur kunci registry.
`reg_value.data`	`target.registry.registry_value_data`	Data nilai registri.
`reg_value.name`	`target.registry.registry_value_name`	Nama nilai registri.
`reg_value.path`	`target.registry.registry_key`	Jalur kunci registry untuk nilai.
`security_result.severity`	`security_result.severity`	Tingkat keparahan hasil keamanan. Diterjemahkan dari nilai numerik ke enum UDM (misalnya, 1 hingga RENDAH, 5 hingga SEDANG, 10 hingga RENDAH, 15 hingga RENDAH).
`session.id`	`network.session_id`	ID sesi.
`session.user.name`	`target.user.userid`	Nama pengguna yang terkait dengan sesi.
`sid`	`principal.user.userid`	ID keamanan (SID).
`status_detail`	`security_result.summary`	Detail tambahan tentang status.
`type_id`	`metadata.product_event_type`	ID jenis peristiwa.
`user_agent_ip`	`target.ip`	Alamat IP agen pengguna.
`user_name`	`principal.user.userid`/`target.user.user_display_name`	Nama pengguna. Dipetakan ke pokok atau target berdasarkan logika yang terkait dengan parsing CEF atau JSON.
`user_uid`	`target.user.userid`	ID unik pengguna.
`uuid`	`metadata.product_log_id`	UUID acara.
`event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Stempel waktu acara. Diperoleh dari `log_time` atau CEF `device_time`.
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Jenis log. Hardcode ke `SYMANTEC_EDR`.
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Nama vendor. Hardcode ke `Symantec`.
`event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Jenis autentikasi. Disetel ke `MACHINE` untuk peristiwa login dan logout.
`security_result.action`	`security_result.action`	Tindakan yang diambil sebagai akibat dari peristiwa keamanan. Disetel ke `ALLOW` untuk login dan logout yang berhasil.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.