Raccogliere i log di Symantec EDR

Supportato in:

Questo documento spiega come importare i log di Symantec Endpoint Detection and Response (EDR) in Google Security Operations utilizzando Bindplane. Il parser gestisce i log in formato JSON o CEF. Estrae i campi, li mappa all'UDM ed esegue la classificazione del tipo di evento in base ai contenuti del log, gestendo connessioni di rete, eventi di processo, attività del file system, operazioni del registro ed eventi di accesso/disconnessione dell'utente.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato a Symantec EDR.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Syslog in Symantec EDR

  1. Accedi all'UI web di Symantec EDR.
  2. Nella console cloud EDR, vai a Ambiente > Impostazioni.
  3. Seleziona un elettrodomestico e poi fai clic su Elettrodomestici.
  4. Nella console dell'appliance EDR, fai clic su Impostazioni > Appliance.
  5. Fai clic su Modifica elettrodomestico predefinito.
  6. Fai doppio clic sul dispositivo nell'elenco Elettrodomestici.
  7. Nella sezione Syslog, deseleziona Usa impostazione predefinita (se è selezionata).
  8. Fai clic su + Aggiungi server Syslog.
  9. Fornisci i seguenti dettagli di configurazione:
    • Host: inserisci l'indirizzo IP dell'agente Bindplane.
    • Protocollo: seleziona il protocollo configurato nel server dell'agente Bindplane, ad esempio UDP.
    • Porta: inserisci il numero di porta dell'agente Bindplane, ad esempio 514.
  10. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
actor.cmd_line principal.process.command_line La riga di comando eseguita dal processo attore.
actor.file.md5 principal.process.file.md5 L'hash MD5 del file eseguibile dell'attore.
actor.file.path principal.process.file.full_path Il percorso completo del file eseguibile dell'attore.
actor.file.sha2 principal.process.file.sha256 L'hash SHA256 del file eseguibile dell'attore.
actor.pid principal.process.pid L'ID processo dell'attore.
actor.uid principal.resource.id Identificatore univoco dell'attore.
actor.user.name principal.user.userid Il nome utente dell'attore.
actor.user.sid principal.user.windows_sid Il SID di Windows dell'utente attore.
attack.technique_name security_result.threat_name Il nome della tecnica MITRE ATT&CK.
attack.technique_uid security_result.description Utilizzato con attack.technique_name per compilare security_result.description nel formato <technique_uid>: <technique_name>.
collector_device_ip intermediary.ip L'indirizzo IP del dispositivo di raccolta.
collector_device_name intermediary.hostname Il nome host del dispositivo di raccolta.
collector_name intermediary.resource.name Il nome del raccoglitore.
collector_uid intermediary.resource.id L'identificatore univoco del raccoglitore.
connection.bytes_download network.received_bytes Il numero di byte scaricati nella connessione.
connection.bytes_upload network.sent_bytes Il numero di byte caricati nella connessione.
connection.direction_id network.direction La direzione della connessione di rete (1 per IN ENTRATA, 2 per IN USCITA).
connection.dst_ip target.ip L'indirizzo IP di destinazione della connessione.
connection.dst_port target.port La porta di destinazione della connessione.
connection.src_ip principal.ip L'indirizzo IP di origine della connessione.
connection.src_name principal.hostname Il nome host di origine della connessione.
connection.src_port principal.port La porta di origine della connessione.
connection.url.host target.hostname Il nome host nell'URL di connessione.
connection.url.scheme network.application_protocol Lo schema dell'URL di connessione (ad es. HTTP, HTTPS).
connection.url.text target.url L'URL di connessione completo.
data_source_url_domain target.url Il dominio dell'URL dell'origine dati.
device_domain principal.administrative_domain/target.administrative_domain Il dominio del dispositivo. Mappato al principale o al target in base alla logica relativa a connection.direction_id.
device_ip principal.ip/target.ip L'indirizzo IP del dispositivo. Mappato al principale o al target in base alla logica relativa a connection.direction_id.
device_name principal.hostname/target.hostname Il nome del dispositivo. Mappato al principale o al target in base alla logica relativa a connection.direction_id.
device_os_name principal.platform_version/target.platform_version Il sistema operativo del dispositivo. Mappato al principale o al target in base alla logica relativa a connection.direction_id.
device_uid target.asset_id L'identificatore univoco del dispositivo, con il prefisso Device ID:.
directory.path target.file.full_path Il percorso della directory.
domain_name target.administrative_domain Il nome del dominio.
event_actor.file.path target.process.file.full_path Il percorso del file eseguibile dell'attore dell'evento.
event_actor.pid target.process.pid L'ID processo dell'attore dell'evento.
event_desc metadata.description Descrizione dell'evento.
externalIP target.ip L'indirizzo IP esterno.
file.md5 target.file.md5 L'hash MD5 del file.
file.path target.file.full_path Il percorso del file.
file.rep_prevalence_band additional.fields.value.number_value La banda di prevalenza della reputazione del file, mappata con la chiave prevalence_score.
file.rep_score_band additional.fields.value.number_value La banda del punteggio di reputazione del file, mappata con la chiave reputation_score.
file.sha2 target.file.sha256 L'hash SHA256 del file.
file.size target.file.size Le dimensioni del file.
internalHost principal.hostname Il nome host interno.
internalIP principal.ip L'indirizzo IP interno.
internal_port principal.port La porta interna.
kernel.name target.resource.name Il nome dell'oggetto kernel. target.resource.type è impostato su MUTEX.
message metadata.description Il messaggio di log.
module.md5 target.process.file.md5 L'hash MD5 del modulo.
module.path target.process.file.full_path Il percorso del modulo.
module.sha2 target.process.file.sha256 L'hash SHA256 del modulo.
module.size target.process.file.size Le dimensioni del modulo.
process.cmd_line target.process.command_line La riga di comando del processo.
process.file.md5 target.process.file.md5 L'hash MD5 del file eseguibile del processo.
process.file.path target.process.file.full_path Il percorso del file eseguibile del processo.
process.file.sha2 target.process.file.sha256 L'hash SHA256 del file eseguibile del processo.
process.pid target.process.pid L'ID processo.
process.uid target.resource.id L'identificatore univoco del processo.
process.user.name target.user.userid Il nome utente associato al processo.
process.user.sid target.user.windows_sid Il SID di Windows dell'utente del processo.
product_name metadata.product_name Il nome del prodotto che genera il log.
product_ver metadata.product_version La versione del prodotto che genera il log.
reg_key.path target.registry.registry_key Il percorso della chiave del Registro di sistema.
reg_value.data target.registry.registry_value_data I dati del valore del registro.
reg_value.name target.registry.registry_value_name Il nome del valore del registro.
reg_value.path target.registry.registry_key Il percorso della chiave del Registro di sistema per il valore.
security_result.severity security_result.severity La gravità del risultato di sicurezza. Tradotto dal valore numerico all'enumerazione UDM (ad es. da 1 a BASSA, da 5 a MEDIA, da 10 a BASSA, da 15 a BASSA).
session.id network.session_id L'ID sessione.
session.user.name target.user.userid Il nome utente associato alla sessione.
sid principal.user.userid L'identificatore di sicurezza (SID).
status_detail security_result.summary Ulteriori dettagli sullo stato.
type_id metadata.product_event_type L'ID del tipo di evento.
user_agent_ip target.ip L'indirizzo IP dell'user agent.
user_name principal.user.userid/target.user.user_display_name Il nome utente. Mappato al principale o al target in base alla logica relativa all'analisi CEF o JSON.
user_uid target.user.userid L'identificatore univoco dell'utente.
uuid metadata.product_log_id L'UUID dell'evento.
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp Il timestamp dell'evento. Derivato da log_time o CEF device_time.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Il tipo di log. Codificato in modo permanente su SYMANTEC_EDR.
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Il nome del fornitore. Codificato in modo permanente su Symantec.
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type Il tipo di autenticazione. Imposta MACHINE per gli eventi di accesso e disconnessione.
security_result.action security_result.action L'azione intrapresa a seguito dell'evento di sicurezza. Imposta su ALLOW per accessi e disconnessioni riusciti.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.