收集 Symantec EDR 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Symantec Endpoint Detection and Response (EDR) 日志注入到 Google Security Operations。解析器可处理 JSON 或 CEF 格式的日志。它会提取字段,将其映射到 UDM,并根据日志内容执行事件类型分类,处理网络连接、进程事件、文件系统活动、注册表操作和用户登录/退出事件。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Symantec EDR 的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Symantec EDR 中配置 Syslog

  1. 登录 Symantec EDR Web 界面。
  2. 在 EDR 云控制台中,依次前往环境 > 设置
  3. 选择设备,然后点击设备
  4. 在 EDR 设备控制台中,依次点击设置 > 设备
  5. 点击修改默认设备
  6. 设备列表中,双击相应设备
  7. 在“Syslog”部分中,清除使用默认(如果已标记)。
  8. 点击 + 添加 Syslog 服务器
  9. 提供以下配置详细信息:
    • Host:输入 Bindplane 代理 IP 地址。
    • 协议:选择 Bindplane 代理服务器中配置的协议,例如 UDP
    • 端口:输入 Bindplane 代理端口号,例如 514
  10. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
actor.cmd_line principal.process.command_line 执行者进程执行的命令行。
actor.file.md5 principal.process.file.md5 执行器可执行文件的 MD5 哈希。
actor.file.path principal.process.file.full_path 执行器可执行文件的完整路径。
actor.file.sha2 principal.process.file.sha256 执行器可执行文件的 SHA256 哈希值。
actor.pid principal.process.pid 执行者的进程 ID。
actor.uid principal.resource.id 演员的唯一标识符。
actor.user.name principal.user.userid 执行者的用户名。
actor.user.sid principal.user.windows_sid 执行者用户的 Windows SID。
attack.technique_name security_result.threat_name MITRE ATT&CK 技术的名称。
attack.technique_uid security_result.description attack.technique_name 搭配使用,以 <technique_uid>: <technique_name> 格式填充 security_result.description
collector_device_ip intermediary.ip 收集器设备的 IP 地址。
collector_device_name intermediary.hostname 收集器设备的主机名。
collector_name intermediary.resource.name 收集器的名称。
collector_uid intermediary.resource.id 收集器的唯一标识符。
connection.bytes_download network.received_bytes 连接中下载的字节数。
connection.bytes_upload network.sent_bytes 连接中上传的字节数。
connection.direction_id network.direction 网络连接的方向(1 表示入站,2 表示出站)。
connection.dst_ip target.ip 连接的目标 IP 地址。
connection.dst_port target.port 连接的目标端口。
connection.src_ip principal.ip 连接的来源 IP 地址。
connection.src_name principal.hostname 连接的来源主机名。
connection.src_port principal.port 连接的来源端口。
connection.url.host target.hostname 连接网址中的主机名。
connection.url.scheme network.application_protocol 连接网址的方案(例如,HTTP、HTTPS)。
connection.url.text target.url 完整的连接网址。
data_source_url_domain target.url 数据源网址的网域。
device_domain principal.administrative_domain/target.administrative_domain 设备的网域。根据与 connection.direction_id 相关的逻辑映射到委托人或目标。
device_ip principal.ip/target.ip 设备的 IP 地址。根据与 connection.direction_id 相关的逻辑映射到委托人或目标。
device_name principal.hostname/target.hostname 设备的名称。根据与 connection.direction_id 相关的逻辑映射到委托人或目标。
device_os_name principal.platform_version/target.platform_version 设备的操作系统。根据与 connection.direction_id 相关的逻辑映射到委托人或目标。
device_uid target.asset_id 设备的唯一标识符,以 Device ID: 为前缀。
directory.path target.file.full_path 目录的路径。
domain_name target.administrative_domain 网域的名称。
event_actor.file.path target.process.file.full_path 事件执行器可执行文件的路径。
event_actor.pid target.process.pid 事件执行者的进程 ID。
event_desc metadata.description 活动说明。
externalIP target.ip 外部 IP 地址。
file.md5 target.file.md5 文件的 MD5 哈希。
file.path target.file.full_path 文件的路径。
file.rep_prevalence_band additional.fields.value.number_value 文件的信誉普及率频段,通过键 prevalence_score 进行映射。
file.rep_score_band additional.fields.value.number_value 文件的信誉得分段,通过键 reputation_score 进行映射。
file.sha2 target.file.sha256 相应文件的 SHA256 哈希值。
file.size target.file.size 文件的大小。
internalHost principal.hostname 内部主机名。
internalIP principal.ip 内部 IP 地址。
internal_port principal.port 内部端口。
kernel.name target.resource.name 内核对象的名称。将 target.resource.type 设置为 MUTEX
message metadata.description 日志消息。
module.md5 target.process.file.md5 模块的 MD5 哈希值。
module.path target.process.file.full_path 模块的路径。
module.sha2 target.process.file.sha256 模块的 SHA256 哈希值。
module.size target.process.file.size 模块的大小。
process.cmd_line target.process.command_line 相应进程的命令行。
process.file.md5 target.process.file.md5 相应进程的可执行文件的 MD5 哈希。
process.file.path target.process.file.full_path 进程的可执行文件的路径。
process.file.sha2 target.process.file.sha256 相应进程的可执行文件的 SHA256 哈希值。
process.pid target.process.pid 进程 ID。
process.uid target.resource.id 进程的唯一标识符。
process.user.name target.user.userid 与进程关联的用户名。
process.user.sid target.user.windows_sid 进程用户的 Windows SID。
product_name metadata.product_name 生成日志的产品的名称。
product_ver metadata.product_version 生成日志的产品的版本。
reg_key.path target.registry.registry_key 注册表键路径。
reg_value.data target.registry.registry_value_data 注册表值数据。
reg_value.name target.registry.registry_value_name 注册表值名称。
reg_value.path target.registry.registry_key 相应值的注册表项路径。
security_result.severity security_result.severity 安全结果的严重程度。从数值转换为 UDM 枚举(例如,1 为低,5 为中,10 为低,15 为低)。
session.id network.session_id 会话 ID。
session.user.name target.user.userid 与会话关联的用户名。
sid principal.user.userid 安全标识符 (SID)。
status_detail security_result.summary 有关状态的其他详细信息。
type_id metadata.product_event_type 事件类型 ID。
user_agent_ip target.ip 用户代理的 IP 地址。
user_name principal.user.userid/target.user.user_display_name 用户名。根据与 CEF 或 JSON 解析相关的逻辑映射到正文或目标。
user_uid target.user.userid 用户的唯一标识符。
uuid metadata.product_log_id 相应事件的 UUID。
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp 相应事件的时间戳。派生自 log_time 或 CEF device_time
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type 日志的类型。硬编码为 SYMANTEC_EDR
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 供应商的名称。硬编码为 Symantec
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type 身份验证类型。对于登录和退出登录事件,请设置为 MACHINE
security_result.action security_result.action 因安全事件而采取的行动。对于成功登录和退出,设置为 ALLOW

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。