收集 Symantec EDR 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Symantec 端点检测和响应 (EDR) 日志注入到 Google 安全运营中心。解析器会以 JSON 或 CEF 格式处理日志。它会提取字段,将其映射到 UDM,并根据日志内容、处理网络连接、进程事件、文件系统活动、注册表操作和用户登录/退出事件执行事件类型分类。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了带有
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Symantec EDR 的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'SYMANTEC_EDR' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec EDR 中配置 Syslog
- 登录 Symantec EDR 网站界面。
- 在 EDR Cloud 控制台中,依次选择环境 > 设置。
- 选择一个家电,然后点击家电。
- 在 EDR 设备控制台中,依次点击设置 > 设备。
- 点击修改默认设备。
- 双击家电列表中的设备。
- 在“Syslog”部分,取消选中使用默认设置(如果已选中)。
- 点击 +Add Syslog Server(添加 Syslog 服务器)。
- 提供以下配置详细信息:
- 主机:输入 Bindplane 代理 IP 地址。
- 协议:选择 Bindplane 代理服务器中配置的协议;例如 UDP。
- 端口:输入 Bindplane 代理端口号;例如
514。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
actor.cmd_line |
principal.process.command_line |
由 actor 进程执行的命令行。 |
actor.file.md5 |
principal.process.file.md5 |
操作者的可执行文件的 MD5 哈希。 |
actor.file.path |
principal.process.file.full_path |
相应 actor 的可执行文件的完整路径。 |
actor.file.sha2 |
principal.process.file.sha256 |
操作者的可执行文件的 SHA256 哈希值。 |
actor.pid |
principal.process.pid |
操作者的进程 ID。 |
actor.uid |
principal.resource.id |
演员的唯一标识符。 |
actor.user.name |
principal.user.userid |
演员的用户名。 |
actor.user.sid |
principal.user.windows_sid |
执行者用户的 Windows SID。 |
attack.technique_name |
security_result.threat_name |
MITRE ATT&CK 方法的名称。 |
attack.technique_uid |
security_result.description |
与 attack.technique_name 搭配使用,以 <technique_uid>: <technique_name> 格式填充 security_result.description。 |
collector_device_ip |
intermediary.ip |
收集器设备的 IP 地址。 |
collector_device_name |
intermediary.hostname |
收集器设备的主机名。 |
collector_name |
intermediary.resource.name |
收集器的名称。 |
collector_uid |
intermediary.resource.id |
收集器的唯一标识符。 |
connection.bytes_download |
network.received_bytes |
连接中下载的字节数。 |
connection.bytes_upload |
network.sent_bytes |
连接中上传的字节数。 |
connection.direction_id |
network.direction |
网络连接的方向(1 表示入站,2 表示出站)。 |
connection.dst_ip |
target.ip |
连接的目标 IP 地址。 |
connection.dst_port |
target.port |
连接的目标端口。 |
connection.src_ip |
principal.ip |
连接的来源 IP 地址。 |
connection.src_name |
principal.hostname |
连接的来源主机名。 |
connection.src_port |
principal.port |
连接的来源端口。 |
connection.url.host |
target.hostname |
连接网址中的主机名。 |
connection.url.scheme |
network.application_protocol |
连接网址的架构(例如,HTTP、HTTPS)。 |
connection.url.text |
target.url |
完整的连接网址。 |
data_source_url_domain |
target.url |
数据源网址的域名。 |
device_domain |
principal.administrative_domain/target.administrative_domain |
设备所在的网域。根据与 connection.direction_id 相关的逻辑映射到主要对象或目标对象。 |
device_ip |
principal.ip/target.ip |
设备的 IP 地址。根据与 connection.direction_id 相关的逻辑映射到主要对象或目标对象。 |
device_name |
principal.hostname/target.hostname |
设备的名称。根据与 connection.direction_id 相关的逻辑映射到主要对象或目标对象。 |
device_os_name |
principal.platform_version/target.platform_version |
设备的操作系统。根据与 connection.direction_id 相关的逻辑映射到主要对象或目标对象。 |
device_uid |
target.asset_id |
设备的唯一标识符,前缀为 Device ID:。 |
directory.path |
target.file.full_path |
目录的路径。 |
domain_name |
target.administrative_domain |
域名。 |
event_actor.file.path |
target.process.file.full_path |
事件操作者的可执行文件的路径。 |
event_actor.pid |
target.process.pid |
事件操作者的进程 ID。 |
event_desc |
metadata.description |
事件说明。 |
externalIP |
target.ip |
外部 IP 地址。 |
file.md5 |
target.file.md5 |
文件的 MD5 哈希。 |
file.path |
target.file.full_path |
文件的路径。 |
file.rep_prevalence_band |
additional.fields.value.number_value |
文件的声誉普及度频段,使用键 prevalence_score 进行映射。 |
file.rep_score_band |
additional.fields.value.number_value |
文件的声誉得分段,与键 reputation_score 对应。 |
file.sha2 |
target.file.sha256 |
文件的 SHA256 哈希值。 |
file.size |
target.file.size |
文件的大小。 |
internalHost |
principal.hostname |
内部主机名。 |
internalIP |
principal.ip |
内部 IP 地址。 |
internal_port |
principal.port |
内部端口。 |
kernel.name |
target.resource.name |
内核对象的名称。将 target.resource.type 设置为 MUTEX。 |
message |
metadata.description |
日志消息。 |
module.md5 |
target.process.file.md5 |
模块的 MD5 哈希。 |
module.path |
target.process.file.full_path |
模块的路径。 |
module.sha2 |
target.process.file.sha256 |
模块的 SHA256 哈希值。 |
module.size |
target.process.file.size |
模块的大小。 |
process.cmd_line |
target.process.command_line |
进程的命令行。 |
process.file.md5 |
target.process.file.md5 |
进程的可执行文件的 MD5 哈希。 |
process.file.path |
target.process.file.full_path |
进程的可执行文件的路径。 |
process.file.sha2 |
target.process.file.sha256 |
进程的可执行文件的 SHA256 哈希值。 |
process.pid |
target.process.pid |
进程 ID。 |
process.uid |
target.resource.id |
进程的唯一标识符。 |
process.user.name |
target.user.userid |
与进程关联的用户名。 |
process.user.sid |
target.user.windows_sid |
进程用户的 Windows SID。 |
product_name |
metadata.product_name |
生成日志的商品的名称。 |
product_ver |
metadata.product_version |
生成日志的产品的版本。 |
reg_key.path |
target.registry.registry_key |
注册表项路径。 |
reg_value.data |
target.registry.registry_value_data |
注册表值数据。 |
reg_value.name |
target.registry.registry_value_name |
注册表值名称。 |
reg_value.path |
target.registry.registry_key |
相应值的注册表项路径。 |
security_result.severity |
security_result.severity |
安全结果的严重程度。从数字值转换为 UDM 枚举(例如1 表示“低”,5 表示“中”,10 表示“低”,15 表示“低”。 |
session.id |
network.session_id |
会话 ID。 |
session.user.name |
target.user.userid |
与会话关联的用户名。 |
sid |
principal.user.userid |
安全标识符 (SID)。 |
status_detail |
security_result.summary |
有关状态的其他详细信息。 |
type_id |
metadata.product_event_type |
事件类型 ID。 |
user_agent_ip |
target.ip |
用户代理的 IP 地址。 |
user_name |
principal.user.userid/target.user.user_display_name |
用户名。根据与 CEF 或 JSON 解析相关的逻辑映射到主要对象或目标对象。 |
user_uid |
target.user.userid |
用户的唯一标识符。 |
uuid |
metadata.product_log_id |
事件的 UUID。 |
event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
事件的时间戳。派生自 log_time 或 CEF device_time。 |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
日志的类型。已硬编码为 SYMANTEC_EDR。 |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
供应商的名称。已硬编码为 Symantec。 |
event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
身份验证类型。对于登录和退出登录事件,请将其设置为 MACHINE。 |
security_result.action |
security_result.action |
因安全事件而采取的操作。设置为 ALLOW 表示成功登录和退出。 |
变化
2022-03-31
- 向资产详情添加了设备 ID 前缀。
- 添加了 CEF 解析支持。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。