Coletar registros do EDR da Symantec

Compatível com:

Este documento explica como transferir os registros de detecção e resposta de endpoint (EDR, na sigla em inglês) do Symantec para o Google Security Operations usando o Bindplane. O analisador processa os registros no formato JSON ou CEF. Ele extrai campos, os mapeia para a UDM e realiza a classificação do tipo de evento com base no conteúdo do registro, processando conexões de rede, eventos de processo, atividade do sistema de arquivos, operações de registro e eventos de login/logout do usuário.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Confira se você tem acesso privilegiado ao EDR da Symantec.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o Syslog no EDR da Symantec

  1. Faça login na UI da Web do Symantec EDR.
  2. No console do EDR, acesse Ambiente > Configurações.
  3. Selecione um dispositivo e clique em Dispositivos.
  4. No console do dispositivo EDR, clique em Configurações > Dispositivos.
  5. Clique em Editar dispositivo padrão.
  6. Clique duas vezes no dispositivo na lista Appliances.
  7. Na seção "Syslog", desmarque a opção Usar padrão (se ela estiver marcada).
  8. Clique em +Adicionar servidor Syslog.
  9. Informe os seguintes detalhes de configuração:
    • Host: insira o endereço IP do agente do Bindplane.
    • Protocolo: selecione o protocolo configurado no servidor do agente do Bindplane. Por exemplo, UDP.
    • Porta: insira o número da porta do agente do Bindplane. Por exemplo, 514.
  10. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
actor.cmd_line principal.process.command_line A linha de comando executada pelo processo do ator.
actor.file.md5 principal.process.file.md5 O hash MD5 do arquivo executável do ator.
actor.file.path principal.process.file.full_path O caminho completo para o arquivo executável do ator.
actor.file.sha2 principal.process.file.sha256 O hash SHA256 do arquivo executável do ator.
actor.pid principal.process.pid O ID do processo do ator.
actor.uid principal.resource.id Identificador exclusivo do ator.
actor.user.name principal.user.userid O nome de usuário do ator.
actor.user.sid principal.user.windows_sid O SID do Windows do usuário ator.
attack.technique_name security_result.threat_name O nome da técnica MITRE ATT&CK.
attack.technique_uid security_result.description Usado com attack.technique_name para preencher security_result.description no formato <technique_uid>: <technique_name>.
collector_device_ip intermediary.ip O endereço IP do dispositivo coletor.
collector_device_name intermediary.hostname O nome do host do dispositivo coletor.
collector_name intermediary.resource.name O nome do coletor.
collector_uid intermediary.resource.id O identificador exclusivo do coletor.
connection.bytes_download network.received_bytes O número de bytes transferidos na conexão.
connection.bytes_upload network.sent_bytes O número de bytes enviados por upload na conexão.
connection.direction_id network.direction A direção da conexão de rede (1 para ENTRADA, 2 para SAÍDA).
connection.dst_ip target.ip O endereço IP de destino da conexão.
connection.dst_port target.port A porta de destino da conexão.
connection.src_ip principal.ip O endereço IP de origem da conexão.
connection.src_name principal.hostname O nome do host de origem da conexão.
connection.src_port principal.port A porta de origem da conexão.
connection.url.host target.hostname O nome do host no URL da conexão.
connection.url.scheme network.application_protocol O esquema do URL de conexão (por exemplo, HTTP, HTTPS).
connection.url.text target.url O URL completo da conexão.
data_source_url_domain target.url O domínio do URL da fonte de dados.
device_domain principal.administrative_domain / target.administrative_domain O domínio do dispositivo. Mapeado para o principal ou o alvo com base na lógica relacionada a connection.direction_id.
device_ip principal.ip / target.ip O endereço IP do dispositivo. Mapeado para o principal ou o alvo com base na lógica relacionada a connection.direction_id.
device_name principal.hostname / target.hostname O nome do dispositivo. Mapeado para o principal ou o alvo com base na lógica relacionada a connection.direction_id.
device_os_name principal.platform_version / target.platform_version O sistema operacional do dispositivo. Mapeado para o principal ou o alvo com base na lógica relacionada a connection.direction_id.
device_uid target.asset_id O identificador exclusivo do dispositivo, com o prefixo Device ID:.
directory.path target.file.full_path O caminho do diretório.
domain_name target.administrative_domain O nome do domínio.
event_actor.file.path target.process.file.full_path O caminho para o arquivo executável do ator do evento.
event_actor.pid target.process.pid O ID do processo do ator do evento.
event_desc metadata.description Descrição do evento.
externalIP target.ip O endereço IP externo.
file.md5 target.file.md5 O hash MD5 do arquivo.
file.path target.file.full_path O caminho para o arquivo.
file.rep_prevalence_band additional.fields.value.number_value A faixa de prevalência de reputação do arquivo, mapeada com a chave prevalence_score.
file.rep_score_band additional.fields.value.number_value A faixa de pontuação de reputação do arquivo, mapeada com a chave reputation_score.
file.sha2 target.file.sha256 O hash SHA256 do arquivo.
file.size target.file.size O tamanho do arquivo.
internalHost principal.hostname O nome do host interno.
internalIP principal.ip O endereço IP interno.
internal_port principal.port A porta interna.
kernel.name target.resource.name O nome do objeto do kernel. O target.resource.type está definido como MUTEX.
message metadata.description A mensagem de registro.
module.md5 target.process.file.md5 O hash MD5 do módulo.
module.path target.process.file.full_path O caminho para o módulo.
module.sha2 target.process.file.sha256 O hash SHA256 do módulo.
module.size target.process.file.size O tamanho do módulo.
process.cmd_line target.process.command_line A linha de comando do processo.
process.file.md5 target.process.file.md5 O hash MD5 do arquivo executável do processo.
process.file.path target.process.file.full_path O caminho para o arquivo executável do processo.
process.file.sha2 target.process.file.sha256 O hash SHA256 do arquivo executável do processo.
process.pid target.process.pid O ID do processo.
process.uid target.resource.id O identificador exclusivo do processo.
process.user.name target.user.userid O nome de usuário associado ao processo.
process.user.sid target.user.windows_sid O SID do Windows do usuário do processo.
product_name metadata.product_name O nome do produto que gera o registro.
product_ver metadata.product_version A versão do produto que gera o registro.
reg_key.path target.registry.registry_key O caminho da chave de registro.
reg_value.data target.registry.registry_value_data Os dados do valor do registro.
reg_value.name target.registry.registry_value_name O nome do valor do registro.
reg_value.path target.registry.registry_key O caminho da chave de registro para o valor.
security_result.severity security_result.severity A gravidade do resultado de segurança. Traduzido de valor numérico para tipo enumerado de UDM (por exemplo, 1 para BAIXO, 5 para MÉDIO, 10 para BAIXO, 15 para BAIXO).
session.id network.session_id O ID da sessão.
session.user.name target.user.userid O nome de usuário associado à sessão.
sid principal.user.userid O identificador de segurança (SID).
status_detail security_result.summary Detalhes adicionais sobre o status.
type_id metadata.product_event_type O ID do tipo de evento.
user_agent_ip target.ip O endereço IP do agente do usuário.
user_name principal.user.userid / target.user.user_display_name O nome de usuário. Mapeado para o principal ou o destino com base na lógica relacionada à análise CEF ou JSON.
user_uid target.user.userid O identificador exclusivo do usuário.
uuid metadata.product_log_id O UUID do evento.
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp O carimbo de data/hora do evento. Derivado de log_time ou CEF device_time.
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type O tipo de registro. Fixado em SYMANTEC_EDR.
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name O nome do fornecedor. Fixado em Symantec.
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type O tipo de autenticação. Defina como MACHINE para eventos de login e logout.
security_result.action security_result.action A ação tomada como resultado do evento de segurança. Defina como ALLOW para logins e logouts bem-sucedidos.

Alterações

2022-03-31

  • O prefixo do ID do dispositivo foi adicionado aos detalhes do recurso.
  • Foi adicionado suporte à análise CEF.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.