收集 Symantec EDR 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Symantec Endpoint Detection and Response (EDR) 記錄擷取至 Google Security Operations。剖析器會處理 JSON 或 CEF 格式的記錄。這項服務會擷取欄位、將欄位對應至 UDM,並根據記錄內容執行事件類型分類,處理網路連線、程序事件、檔案系統活動、登錄作業,以及使用者登入/登出事件。

事前準備

  • 確認您擁有 Google SecOps 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您具備 Symantec EDR 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Symantec EDR 中設定系統記錄檔

  1. 登入 Symantec EDR 網頁版使用者介面。
  2. 在 EDR 雲端控制台中,依序前往「Environment」>「Settings」
  3. 選取裝置,然後按一下「裝置」
  4. 在 EDR 設備控制台中,依序點選「Settings」>「Appliances」
  5. 按一下「編輯預設裝置」
  6. 在「裝置」清單中,按兩下裝置
  7. 在「系統記錄」部分,清除「使用預設值」 (如果已標記)。
  8. 按一下「+Add Syslog Server」(+新增 Syslog 伺服器)
  9. 提供下列設定詳細資料:
    • 主機:輸入 Bindplane 代理程式 IP 位址。
    • 通訊協定:在 Bindplane 代理程式伺服器中選取已設定的通訊協定,例如 UDP
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠號碼,例如 514
  10. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
actor.cmd_line principal.process.command_line 執行者程序執行的指令列。
actor.file.md5 principal.process.file.md5 行為者執行檔的 MD5 雜湊。
actor.file.path principal.process.file.full_path 執行檔的完整路徑。
actor.file.sha2 principal.process.file.sha256 執行檔的 SHA256 雜湊值。
actor.pid principal.process.pid 參與者的程序 ID。
actor.uid principal.resource.id 演員的專屬 ID。
actor.user.name principal.user.userid 執行者的使用者名稱。
actor.user.sid principal.user.windows_sid 執行者使用者的 Windows SID。
attack.technique_name security_result.threat_name MITRE ATT&CK 技術的名稱。
attack.technique_uid security_result.description attack.technique_name 搭配使用,以 <technique_uid>: <technique_name> 格式填入 security_result.description
collector_device_ip intermediary.ip 收集器裝置的 IP 位址。
collector_device_name intermediary.hostname 收集器裝置的主機名稱。
collector_name intermediary.resource.name 收集器名稱。
collector_uid intermediary.resource.id 收集器的專屬 ID。
connection.bytes_download network.received_bytes 連線中下載的位元組數。
connection.bytes_upload network.sent_bytes 連線中上傳的位元組數。
connection.direction_id network.direction 網路連線的方向 (1 代表 INBOUND,2 代表 OUTBOUND)。
connection.dst_ip target.ip 連線的目的地 IP 位址。
connection.dst_port target.port 連線的目的地通訊埠。
connection.src_ip principal.ip 連線的來源 IP 位址。
connection.src_name principal.hostname 連線的來源主機名稱。
connection.src_port principal.port 連線的來源通訊埠。
connection.url.host target.hostname 連線網址中的主機名稱。
connection.url.scheme network.application_protocol 連線網址的配置 (例如 HTTP、HTTPS)。
connection.url.text target.url 完整連線網址。
data_source_url_domain target.url 資料來源網址的網域。
device_domain principal.administrative_domain/target.administrative_domain 裝置的網域。根據與 connection.direction_id 相關的邏輯,對應至主體或目標。
device_ip principal.ip/target.ip 裝置的 IP 位址。根據與 connection.direction_id 相關的邏輯,對應至主體或目標。
device_name principal.hostname/target.hostname 裝置名稱。根據與 connection.direction_id 相關的邏輯,對應至主體或目標。
device_os_name principal.platform_version/target.platform_version 裝置搭載的作業系統,根據與 connection.direction_id 相關的邏輯,對應至主體或目標。
device_uid target.asset_id 裝置的專屬 ID,開頭為 Device ID:
directory.path target.file.full_path 目錄路徑。
domain_name target.administrative_domain 網域名稱。
event_actor.file.path target.process.file.full_path 事件參與者的可執行檔路徑。
event_actor.pid target.process.pid 事件參與者的程序 ID。
event_desc metadata.description 活動說明。
externalIP target.ip 外部 IP 位址。
file.md5 target.file.md5 檔案的 MD5 雜湊。
file.path target.file.full_path 檔案路徑。
file.rep_prevalence_band additional.fields.value.number_value 檔案的信譽普及程度範圍,對應至金鑰 prevalence_score
file.rep_score_band additional.fields.value.number_value 檔案的信譽分數範圍,對應至 reputation_score 鍵。
file.sha2 target.file.sha256 檔案的 SHA256 雜湊值。
file.size target.file.size 檔案大小。
internalHost principal.hostname 內部主機名稱。
internalIP principal.ip 內部 IP 位址。
internal_port principal.port 內部通訊埠。
kernel.name target.resource.name 核心物件的名稱。target.resource.type 設為 MUTEX
message metadata.description 記錄訊息。
module.md5 target.process.file.md5 模組的 MD5 雜湊。
module.path target.process.file.full_path 模組路徑。
module.sha2 target.process.file.sha256 模組的 SHA256 雜湊。
module.size target.process.file.size 模組大小。
process.cmd_line target.process.command_line 程序的指令列。
process.file.md5 target.process.file.md5 程序的執行檔 MD5 雜湊。
process.file.path target.process.file.full_path 程序執行檔的路徑。
process.file.sha2 target.process.file.sha256 程序的執行檔 SHA256 雜湊值。
process.pid target.process.pid 程序 ID。
process.uid target.resource.id 程序的專屬 ID。
process.user.name target.user.userid 與程序相關聯的使用者名稱。
process.user.sid target.user.windows_sid 程序使用者的 Windows SID。
product_name metadata.product_name 產生記錄的產品名稱。
product_ver metadata.product_version 產生記錄的產品版本。
reg_key.path target.registry.registry_key 登錄機碼路徑。
reg_value.data target.registry.registry_value_data 登錄值資料。
reg_value.name target.registry.registry_value_name 登錄值名稱。
reg_value.path target.registry.registry_key 值的登錄機碼路徑。
security_result.severity security_result.severity 安全結果的嚴重程度。從數值轉換為 UDM 列舉 (例如 1 到 LOW、5 到 MEDIUM、10 到 LOW、15 到 LOW)。
session.id network.session_id 工作階段 ID。
session.user.name target.user.userid 與工作階段相關聯的使用者名稱。
sid principal.user.userid 安全性識別碼 (SID)。
status_detail security_result.summary 狀態的其他詳細資料。
type_id metadata.product_event_type 事件類型 ID。
user_agent_ip target.ip 使用者代理程式的 IP 位址。
user_name principal.user.userid/target.user.user_display_name 使用者名稱。根據與 CEF 或 JSON 剖析相關的邏輯,對應至主體或目標。
user_uid target.user.userid 使用者的專屬 ID。
uuid metadata.product_log_id 活動的 UUID。
event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp 事件的時間戳記。衍生自 log_time 或 CEF device_time
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type 記錄類型。硬式編碼為 SYMANTEC_EDR
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 供應商名稱。硬式編碼為 Symantec
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type 驗證類型。針對登入和登出事件設為 MACHINE
security_result.action security_result.action 因應安全性事件而採取的行動。成功登入和登出時,請設為 ALLOW

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。