Recoger registros de Symantec Endpoint Protection
Disponible en:
SecOps de Google
SIEM
En este documento se explica cómo ingerir registros de Symantec Endpoint Protection en Google Security Operations mediante Bindplane. El analizador procesa los registros en formato SYSLOG o KV. Primero, extrae las marcas de tiempo de varios formatos de los datos de registro.
Después, utiliza un archivo de configuración independiente (sep_pt2.include) para analizar y estructurar aún más los eventos de registro, lo que asegura que el procesamiento solo se realice correctamente si la extracción inicial de la marca de tiempo se ha completado correctamente.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o una versión posterior, o un host Linux con systemd
- Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
- Acceso con privilegios a la plataforma Symantec Endpoint Protection
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instalar el agente de Bindplane
En las siguientes secciones se describe cómo instalar el agente de Bindplane.
Instalación de ventanas
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre un terminal con privilegios de superusuario o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para ver más opciones de instalación, consulta la guía de instalación.
Configurar el agente de BindPlane para ingerir syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Busca el archivo
config.yaml. Normalmente, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Busca el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar Syslog en Symantec Endpoint Protection
- Inicia sesión en la interfaz web de Symantec Endpoint Protection Manager.
- Haz clic en el icono de Administración.
- Busca la sección Ver servidores y haz clic en Servidores.
- Haz clic en Sitio local > Configurar registro externo.
- Seleccione la casilla Enable Transmission of Logs to a Syslog Server (Habilitar la transmisión de registros a un servidor Syslog).
- Proporcione los siguientes detalles de configuración:
- Servidor Syslog: introduce la dirección IP de Bindplane.
- Puerto de destino UDP: introduce el número de puerto de Bindplane (por ejemplo,
514para UDP). - Log Facility (Instalación de registro): escribe Local6.
- Seleccione la casilla Registros de auditoría.
- Seleccione la casilla Registros de seguridad.
- Marca la casilla Riesgos.
- Haz clic en Aceptar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Observación |
|---|---|---|
_DB_HOST |
target.hostname |
|
a_record |
network.dns.questions.type |
|
AccessCheckResults |
security_result.detection_fields |
|
Accesses |
security_result.detection_fields |
|
AccessList |
security_result.detection_fields |
|
AccessMask |
security_result.detection_fields |
|
AccessReason |
security_result.description |
|
AccountName |
target.user.user_display_name |
|
AccountType |
principal.user.attribute.roles |
|
ACTION |
security_result.detection_fields |
|
ACTION_TYPE |
security_result.action_details |
|
ActiveProfile |
target.resource.name |
|
ActivityID |
additional.fields |
|
AdditionalInfo2 |
security_result.detection_fields |
|
ADMIN_NAME |
principal.user.userid |
|
AGENT_SECURITY_LOG_IDX |
metadata.product_log_id |
|
AgentVer |
additional.fields |
|
Alert |
security_result.detection_fields |
|
ALERT_IDX |
security_result.rule_id |
|
ALERTDATETIME |
security_result.first_discovered_time |
|
ALERTENDDATETIME |
security_result.last_discovered_time |
|
ALERTINSERTTIME |
security_result.detection_fields |
|
AlgorithmName |
security_result.detection_fields |
|
Allowedapplicationreason |
security_result.detection_fields |
|
APP_NAME |
target.application |
|
app_name |
principal.application |
|
AppPoolID |
target.application |
|
AuthenticationPackageName |
additional.fields |
|
AuthenticationSetId |
security_result.detection_fields |
|
AuthenticationSetName |
target.resource.name |
|
BitlockerUserInputTime |
additional.fields |
|
BootMenuPolicy |
additional.fields |
|
BootType |
additional.fields |
|
BU |
additional.fields |
|
BugcheckString |
additional.fields |
|
CALLER_PROCESS_ID |
principal.process.pid |
|
CALLER_PROCESS_NAME |
principal.process.file.full_path |
|
callerReturnAddress |
additional.fields |
|
callerReturnModuleName |
additional.fields |
|
Caption |
target.application |
|
Category |
security_result.category_details |
|
Channel |
security_result.about.resource.attribute.labels |
|
CIDS_SIGN_SUB_ID |
additional.fields |
|
CLIENT_USER2 |
principal.user.userid |
|
Comment |
metadata.description |
|
Component |
security_result.detection_fields |
|
connection.ether_type |
security_result.about.labels |
|
ConnectionSecurityRuleName |
target.resource.name |
|
ConnectionSecurityRuleId |
security_result.detection_fields |
|
CryptographicSetId |
security_result.detection_fields |
|
CryptographicSetName |
target.resource.name |
|
CSPEID |
additional.fields |
|
DCName |
intermediary.hostname |
|
Desc |
metadata.description |
|
DesiredAccess |
security_result.detection_fields |
|
device.last_app_connection |
target.asset.last_discover_time |
|
device.wss_feature |
target.asset.attribute.labels |
|
DeviceName |
target.resource.name |
|
DeviceNameLength |
additional.fields |
|
DeviceTime |
additional.fields |
|
DeviceVersionMajor |
additional.fields |
|
DeviceVersionMinor |
additional.fields |
|
disposition |
security_result.detection_fields |
|
dns_direction |
security_result.detection_fields |
|
domain |
target.administrative_domain |
|
Domain |
principal.administrative_domain |
|
DOMAIN_ID |
target.resource.product_object_id |
|
EDate |
additional.fields |
|
EDateUTC |
metadata.event_timestamp |
|
elevated_token |
additional.fields |
|
EntryCount |
additional.fields |
|
Error |
security_result.description |
|
error |
security_result.detection_fields |
|
ErrorCode |
security_result.description |
|
ErrorDescription |
security_result.description |
|
Event |
metadata.description |
|
EVENT_DATA |
additional.fields |
|
event_type |
metadata.product_event_type |
|
EventData.Binary |
additional.fields |
|
eventDesc |
metadata.description |
|
eventInsertTime |
metadata.collected_timestamp |
|
EventReceivedTime |
metadata.collected_timestamp |
|
EventTime |
metadata.event_timestamp |
|
EventType |
metadata.product_event_type |
|
ExceptionCode |
security_result.detection_fields |
|
executionPolicy |
security_result.rule_name |
|
ExecutionProcessID |
principal.process.pid |
|
ExecutionThreadID |
principal.process.product_specific_process_id |
|
ExtensionId |
security_result.detection_fields |
|
ExtensionName |
target.resource.name |
|
ExtraInfoLength |
additional.fields |
|
ExtraInfoString |
additional.fields |
|
FailureId |
security_result.detection_fields |
|
faulting_application_name |
principal.process.file.names |
|
faulting_application_path |
principal.process.file.full_path |
|
FaultingModuleName |
additional.fields |
|
FaultingModulePath |
additional.fields |
|
FaultOffset |
additional.fields |
|
FILE_SIZE |
about.file.size |
|
FilterID |
security_result.detection_fields |
|
FinalStatus |
security_result.description |
|
GPODisplayName |
target.resource.name |
|
GPOFileSystemPath |
target.file.full_path |
|
Group |
principal.resource.attribute.labels |
|
HACK_TYPE |
security_result.category_details |
|
HandleId |
target.resource.attribute.labels |
|
HID_LEVEL |
additional.fields |
|
HN |
additional.fields |
|
host |
principal.hostname |
|
Hostname |
principal.hostname |
|
id |
metadata.product_log_id |
|
IdleImplementation |
additional.fields |
|
IdleStateCount |
additional.fields |
|
ImpersonationLevel |
additional.fields |
|
IntensiveProtectionLevel |
security_result.detection_fields |
|
Interface |
security_result.detection_fields |
|
intermediary_host |
intermediary.ipintermediary.hostname |
Se asigna a intermediary.ip si el valor es una dirección IP. Se asigna a intermediary.hostname si el valor es un nombre de host. |
INTRUSION_PAYLOAD_URL |
target.url |
|
INTRUSION_URL |
target.url |
|
IP |
principal.ip |
|
IP_ADDR |
src.ip |
|
IpAddress |
principal.ip |
|
IpPort |
principal.port |
|
KERNEL |
principal.platform_patch_level |
|
KeyFilePath |
target.file.full_path |
|
KeyLength |
additional.fields |
|
KeyName |
security_result.detection_fields |
|
KeyType |
security_result.detection_fields |
|
lastUpdateTime |
target.resource.attribute.last_update_time |
|
LmPackageName |
security_result.detection_fields |
|
LoadOptions |
additional.fields |
|
LogonGuid |
network.session_id |
|
LogonProcessName |
target.application |
|
LogonType |
extensions.auth.auth_details |
|
MandatoryLabel |
target.resource.attribute.labels |
|
MasterKeyId |
security_result.detection_fields |
|
MaximumPerformancePercent |
additional.fields |
|
Message |
metadata.description |
|
MinimumPerformancePercent |
additional.fields |
|
MinimumThrottlePercent |
additional.fields |
|
Minutes |
target.resource.attribute.labels |
|
NewFile |
target.file.full_path |
|
NewGrp |
target.group.group_display_name |
|
NewModDt |
target.file.last_modification_time |
|
NewOwn |
additional.fields |
|
NewPerms |
additional.fields |
|
NewProcessId |
target.process.pid |
|
NewProcessName |
target.process.file.full_path |
|
NewSecurityDescriptor |
security_result.description |
|
NewSize |
additional.fields |
|
NominalFrequency |
principal.resource.attribute.labels |
|
Number |
principal.resource.attribute.labels |
|
NumberOfGroupPolicyObjects |
additional.fields |
|
ObjectName |
target.resource.name |
|
ObjectServer |
target.resource.attribute.labels |
|
ObjectType |
target.resource.resource_type |
|
ObjId |
target.resource.attribute.labels |
|
OldFile |
src.file.full_path |
|
OldGrp |
src.group.group_display_name |
|
OldModDt |
src.file.last_modification_time |
|
OldOwn |
additional.fields |
|
OldPerms |
additional.fields |
|
OldSize |
additional.fields |
|
omittedFiles |
security_result.detection_fields |
|
Opcode |
additional.fields |
|
OpcodeValue |
metadata.product_event_type |
|
Operation |
security_result.description |
|
Operation |
additional.fields |
|
OperationType |
security_result.category_details |
|
OriginalSecurityDescriptor |
additional.fields |
|
OS |
principal.platform |
|
OSVER |
principal.platform_version |
|
param2 |
security_result.detection_fields |
|
param3 |
security_result.detection_fields |
|
param4 |
security_result.detection_fields |
|
PARAM_DEVICE_ID |
principal.hostname |
|
PARAMETER |
target.file.full_path |
|
parameters |
additional.fields |
|
PARENT_SERVER_TYPE |
additional.fields |
|
PerformanceImplementation |
additional.fields |
|
POLNm |
additional.fields |
|
prevalence |
security_result.detection_fields |
|
Priority |
security_result.detection_fields |
|
PrivilegeList |
target.resource.attribute.permissions.name |
|
PrivilegesUsedForAccessCheck |
security_result.detection_fields |
|
ProblemID |
additional.fields |
|
ProcessId |
principal.process.pid |
|
ProcessID |
target.process.pid |
|
ProcessingMode |
additional.fields |
|
ProcessingTimeInMilliseconds |
additional.fields |
|
ProcessName |
principal.process.file.full_path |
|
ProcName |
principal.process.file.names |
|
ProcPath |
principal.process.file.full_path |
|
product_event_type |
metadata.product_event_type |
|
PROFILE_SERIAL_NO |
additional.fields |
|
protected |
security_result.detection_fields |
|
ProviderGuid |
metadata.product_deployment_id |
|
ProviderName |
security_result.detection_fields |
|
PuaCount |
additional.fields |
|
PuaPolicyId |
additional.fields |
|
PUB_KEY |
additional.fields |
|
Reason |
additional.fields |
|
ReasonCode |
additional.fields |
|
RecordNumber |
metadata.product_log_id |
|
RecoveryReason |
security_result.description |
|
RecType |
metadata.product_event_type |
|
RelativeTargetName |
target.user.user_display_name |
|
report_id |
metadata.product_log_id |
|
request |
additional.fields |
|
restricted_admin_mode |
additional.fields |
|
restricted_sid_count |
additional.fields |
|
risks |
security_result.detection_fields |
|
Rule |
security_result.rule_name |
|
RuleName |
security_result.rule_name |
|
RuleType |
additional.fields |
|
scan_duration |
security_result.detection_fields |
|
scan_state |
security_result.detection_fields |
|
scan_type |
security_result.detection_fields |
|
scanned_number |
security_result.detection_fields |
|
ScriptType |
additional.fields |
|
SecurityPackageName |
about.file.full_path |
|
SEQ_ID |
additional.fields |
|
Service |
target.application |
|
SeverityValue |
security_result.severity_details |
|
sha256 |
principal.process.file.sha256 |
|
ShareLocalPath |
target.file.full_path |
|
ShareName |
target.resource.name |
|
SITE_IDX |
additional.fields |
|
skipped_files |
security_result.detection_fields |
|
SourceModuleName |
additional.fields |
|
SourceModuleType |
additional.fields |
|
SourceName |
principal.application |
|
spn1 |
target.resource.attribute.labels |
|
spn2 |
target.resource.attribute.labels |
|
standard_schemes |
security_result.detection_fields |
|
State |
additional.fields |
|
Status |
target.resource.attribute.labels |
|
StopTime |
additional.fields |
|
SubjectDomainName |
principal.administrative_domain |
|
SubjectLogonId |
principal.user.userid |
|
SubjectUserName |
principal.user.userid |
|
SubjectUserSid |
principal.user.windows_sid |
|
SupportInfo1 |
additional.fields |
|
SupportInfo2 |
additional.fields |
|
syslogServer |
intermediary.ipintermediary.hostname |
El valor (la dirección IP o el nombre de host) procede del encabezado del registro y está asociado a un intermediario. |
TargetDomainName |
target.administrative_domain |
|
TargetLogonId |
target.user.userid |
|
TargetUserName |
target.user.userid |
|
TargetUserSid |
target.user.windows_sid |
|
TaskContentNew |
additional.fields |
|
TaskName |
target.resource.name |
|
TaskValue |
metadata.description |
|
THREATS |
security_result.detection_fields |
|
threats |
security_result.detection_fields |
|
TimeDifferenceMilliseconds |
additional.fields |
|
TimeSampleSeconds |
additional.fields |
|
timestamp |
metadata.event_timestamp |
|
TokenElevationType |
target.resource.attribute.labels |
|
transaction_id |
metadata.product_log_id |
|
TransitedServices |
security_result.detection_fields |
|
TSId |
network.session_id |
|
type |
security_result.threat_name |
|
UMDFDeviceInstallBegin.version |
target.resource.attribute.labels |
|
UMDFReflectorDependencyMissing.Dependency |
additional.fields |
|
updateGuid |
target.process.product_specific_process_id |
|
updateRevisionNumber |
target.resource.attribute.labels |
|
updateTitle |
target.resource.name |
|
UpdateType |
additional.fields |
|
Url |
target.url |
|
urlTrackingStatus |
security_result.detection_fields |
|
User |
principal.user.userid |
|
UserID |
target.user.userid |
|
UserSid |
target.user.windows_sid |
|
VAPI_NAME |
security_result.summary |
|
VAST |
additional.fields |
|
Version |
metadata.product_version |
|
virtual_account |
additional.fields |
|
VSAD |
additional.fields |
|
WorkstationName |
additional.fields |
|
| N/A | metadata.log_type |
El tipo de registro está codificado como SEP. |
| N/A | metadata.product_name |
El nombre del producto está fijado en el código como SEP. |
| N/A | metadata.vendor_name |
El nombre del proveedor se ha codificado como Symantec. |
Referencia de delta de asignación de UDM
El 26 de agosto del 2025, Google SecOps lanzó una nueva versión del analizador de Symantec Endpoint Protection, que incluye cambios significativos en la asignación de campos de registro de Symantec Endpoint Protection a campos de UDM y en la asignación de tipos de eventos.
Delta de asignación de campos de registro
En la siguiente tabla se muestra el delta de asignación de los campos de registro de Symantec Endpoint Protection a UDM expuestos antes del 26 de agosto del 2025 y posteriormente (se indican en las columnas Asignación antigua y Asignación actual, respectivamente).
| Campo de registro | Asignación antigua | Asignación actual |
|---|---|---|
_DB_DRIVER |
about.resource.id |
about.resource.product_object_id |
_ip |
principal.ip |
intermediary.ip |
Actualaction: Quarantined |
security_result.action : BLOCK |
security_result.action : QUARANTINE |
BEGIN_TIME |
additional.fields |
target.resource.attribute.labels |
callerProcessId |
target.process.pid |
principal.process.pid |
callerProcessName |
target.file.full_path |
principal.process.file.full_path |
CATEGORY_DESC |
additional.fields |
security_result.category_details |
CLIENT_TYPE |
additional.fields |
principal.user.attribute.roles |
DESCRIPTION |
security_result.detection_fields |
security_result.summary |
device.id |
target.resource.id |
target.resource.product_object_id |
device_uid |
principal.resource.id |
principal.resource.product_object_id |
DURATION |
additional.fields |
network.session_duration.seconds |
END_TIME |
additional.fields |
target.resource.attribute.last_update_time |
feature_name |
about.labels |
security_result.about.labels |
REMOTE_HOST_MAC |
additional.fields |
principal.mac |
resourceId |
principal.resource.id |
principal.resource.product_object_id |
server_name_1 |
principal.hostnameintermediary.hostname |
target.hostname |
UUID |
additional.fields |
principal.asset.asset_id |
Delta de asignación de tipos de eventos
Varios eventos que antes se clasificaban como eventos genéricos ahora se clasifican correctamente con tipos de evento significativos.
En la siguiente tabla se muestra la diferencia en la gestión de los tipos de eventos de Symantec Endpoint Protection antes del 26 de agosto del 2025 y después (se indican en las columnas event_type antiguo y event_type actual, respectivamente).
| eventType del registro | Old event_type | Current event_type |
|---|---|---|
| Cerrar sesión de administrador | GENERIC_EVENT |
USER_LOGOUT |
| Bloquear todo el tráfico de otras IPs y registrarlo | STATUS_UPDATE |
NETWORK_CONNECTION |
| Archivo creado | GENERIC_EVENT |
FILE_CREATION |
| Archivo modificado | GENERIC_EVENT |
FILE_MODIFICATION |
| Nombre del archivo cambiado | GENERIC_EVENT |
FILE_MODIFICATION |
| Se ha iniciado el análisis en las unidades seleccionadas | GENERIC_EVENT |
SCAN_HOST |
| Se ha iniciado el análisis en las unidades seleccionadas y se ha encontrado un archivo | GENERIC_EVENT |
SCAN_FILE |
| Usuario que accede a un recurso en función de un evento | USER_UNCATEGORIZED |
USER_RESOURCE_ACCESS |
| El usuario está intentando finalizar | GENERIC_EVENT |
STATUS_SHUTDOWN |
VAPI_NAME = File Delete |
USER_UNCATEGORIZED |
FILE_DELETION |
VAPI_NAME = File Write |
USER_UNCATEGORIZED |
FILE_CREATION |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.