Recolha registos do Symantec EDR

Compatível com:

Este documento explica como carregar registos de deteção e resposta de pontos finais (EDR) da Symantec para o Google Security Operations através do Bindplane. O analisador processa os registos no formato JSON ou CEF. Extrai campos, mapeia-os para o UDM e realiza a classificação do tipo de evento com base no conteúdo do registo, processando ligações de rede, eventos de processos, atividade do sistema de ficheiros, operações de registo e eventos de início/fim de sessão do utilizador.

Antes de começar

  • Certifique-se de que tem uma instância do Google SecOps.
  • Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
  • Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
  • Certifique-se de que tem acesso privilegiado ao Symantec EDR.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:

    1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID de cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Syslog no Symantec EDR

  1. Inicie sessão na IU Web do Symantec EDR.
  2. Na consola na nuvem do EDR, aceda a Ambiente > Definições.
  3. Selecione um eletrodoméstico e, de seguida, clique em Eletrodomésticos.
  4. Na consola do dispositivo EDR, clique em Definições > Dispositivos.
  5. Clique em Editar eletrodoméstico predefinido.
  6. Clique duas vezes no dispositivo na lista Eletrodomésticos.
  7. Na secção Syslog, desmarque a opção Usar predefinição (se estiver marcada).
  8. Clique em + Adicionar servidor Syslog.
  9. Indique os seguintes detalhes de configuração:
    • Anfitrião: introduza o endereço IP do agente do Bindplane.
    • Protocolo: selecione o protocolo configurado no servidor do agente Bindplane; por exemplo, UDP.
    • Porta: introduza o número da porta do agente do Bindplane; por exemplo, 514.
  10. Clique em Guardar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
actor.cmd_line principal.process.command_line A linha de comandos executada pelo processo ator.
actor.file.md5 principal.process.file.md5 O hash MD5 do ficheiro executável do ator.
actor.file.path principal.process.file.full_path O caminho completo para o ficheiro executável do ator.
actor.file.sha2 principal.process.file.sha256 O hash SHA256 do ficheiro executável do ator.
actor.pid principal.process.pid O ID do processo do ator.
actor.uid principal.resource.id Identificador exclusivo do ator.
actor.user.name principal.user.userid O nome de utilizador do ator.
actor.user.sid principal.user.windows_sid O SID do Windows do utilizador ator.
attack.technique_name security_result.threat_name O nome da técnica MITRE ATT&CK.
attack.technique_uid security_result.description Usado com attack.technique_name para preencher security_result.description no formato <technique_uid>: <technique_name>.
collector_device_ip intermediary.ip O endereço IP do dispositivo de recolha.
collector_device_name intermediary.hostname O nome do anfitrião do dispositivo de recolha.
collector_name intermediary.resource.name O nome do coletor.
collector_uid intermediary.resource.id O identificador exclusivo do coletor.
connection.bytes_download network.received_bytes O número de bytes transferidos na ligação.
connection.bytes_upload network.sent_bytes O número de bytes carregados na ligação.
connection.direction_id network.direction A direção da ligação de rede (1 para INBOUND, 2 para OUTBOUND).
connection.dst_ip target.ip O endereço IP de destino da ligação.
connection.dst_port target.port A porta de destino da ligação.
connection.src_ip principal.ip O endereço IP de origem da ligação.
connection.src_name principal.hostname O nome do anfitrião de origem da ligação.
connection.src_port principal.port A porta de origem da ligação.
connection.url.host target.hostname O nome do anfitrião no URL de ligação.
connection.url.scheme network.application_protocol O esquema do URL de ligação (por exemplo, HTTP, HTTPS).
connection.url.text target.url O URL de associação completo.
data_source_url_domain target.url O domínio do URL da origem de dados.
device_domain principal.administrative_domain/target.administrative_domain O domínio do dispositivo. Mapeada para principal ou destino com base na lógica relacionada com connection.direction_id.
device_ip principal.ip/target.ip O endereço IP do dispositivo. Mapeada para principal ou destino com base na lógica relacionada com connection.direction_id.
device_name principal.hostname/target.hostname O nome do dispositivo. Mapeada para principal ou destino com base na lógica relacionada com connection.direction_id.
device_os_name principal.platform_version/target.platform_version O sistema operativo do dispositivo. Mapeada para principal ou destino com base na lógica relacionada com connection.direction_id.
device_uid target.asset_id O identificador exclusivo do dispositivo, com o prefixo Device ID:.
directory.path target.file.full_path O caminho do diretório.
domain_name target.administrative_domain O nome do domínio.
event_actor.file.path target.process.file.full_path O caminho para o ficheiro executável do ator do evento.
event_actor.pid target.process.pid O ID do processo do ator do evento.
event_desc metadata.description Descrição do evento.
externalIP target.ip O endereço IP externo.
file.md5 target.file.md5 O hash MD5 do ficheiro.
file.path target.file.full_path O caminho para o ficheiro.
file.rep_prevalence_band additional.fields.value.number_value A banda de prevalência da reputação do ficheiro, mapeada com a chave prevalence_score.
file.rep_score_band additional.fields.value.number_value A banda da pontuação de reputação do ficheiro, mapeada com a chave reputation_score.
file.sha2 target.file.sha256 O hash SHA256 do ficheiro.
file.size target.file.size O tamanho do ficheiro.
internalHost principal.hostname O nome do anfitrião interno.
internalIP principal.ip O endereço IP interno.
internal_port principal.port A porta interna.
kernel.name target.resource.name O nome do objeto do kernel. O target.resource.type está definido como MUTEX.
message metadata.description A mensagem de registo.
module.md5 target.process.file.md5 O hash MD5 do módulo.
module.path target.process.file.full_path O caminho para o módulo.
module.sha2 target.process.file.sha256 O hash SHA256 do módulo.
module.size target.process.file.size O tamanho do módulo.
process.cmd_line target.process.command_line A linha de comandos do processo.
process.file.md5 target.process.file.md5 O hash MD5 do ficheiro executável do processo.
process.file.path target.process.file.full_path O caminho para o ficheiro executável do processo.
process.file.sha2 target.process.file.sha256 O hash SHA256 do ficheiro executável do processo.
process.pid target.process.pid O ID do processo.
process.uid target.resource.id O identificador exclusivo do processo.
process.user.name target.user.userid O nome de utilizador associado ao processo.
process.user.sid target.user.windows_sid O SID do Windows do utilizador do processo.
product_name metadata.product_name O nome do produto que gera o registo.
product_ver metadata.product_version A versão do produto que gera o registo.
reg_key.path target.registry.registry_key O caminho da chave da base de dados de registo.
reg_value.data target.registry.registry_value_data Os dados do valor de registo.
reg_value.name target.registry.registry_value_name O nome do valor da base de dados de registo.
reg_value.path target.registry.registry_key O caminho da chave da base de dados de registo para o valor.
security_result.severity security_result.severity A gravidade do resultado de segurança. Traduzido do valor numérico para a enumeração UDM (por exemplo, 1 a BAIXO, 5 a MÉDIO, 10 a BAIXO, 15 a BAIXO).
session.id network.session_id O ID da sessão.
session.user.name target.user.userid O nome de utilizador associado à sessão.
sid principal.user.userid O identificador de segurança (SID).
status_detail security_result.summary Detalhes adicionais sobre o estado.
type_id metadata.product_event_type O ID do tipo de evento.
user_agent_ip target.ip O endereço IP do agente do utilizador.
user_name principal.user.userid/target.user.user_display_name O nome de utilizador. Mapeado para principal ou destino com base na lógica relacionada com a análise CEF ou JSON.
user_uid target.user.userid O identificador exclusivo do utilizador.
uuid metadata.product_log_id O UUID do evento.
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp A data/hora do evento. Derivado de log_time ou CEF device_time.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type O tipo de registo. Codificado para SYMANTEC_EDR.
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name O nome do fornecedor. Codificado para Symantec.
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type O tipo de autenticação. Definido como MACHINE para eventos de início e fim de sessão.
security_result.action security_result.action A ação realizada como resultado do evento de segurança. Definido como ALLOW para inícios de sessão e saídas bem-sucedidos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.