Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Symantec Endpoint Protection

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Symantec Endpoint Protection ke Google Security Operations menggunakan Bindplane. Parser memproses log dalam format SYSLOG atau KV, dengan terlebih dahulu mengekstrak stempel waktu dari berbagai format dalam data log. Kemudian, file ini menggunakan file konfigurasi terpisah (sep_pt2.include) untuk melakukan penguraian dan penataan lebih lanjut peristiwa log, sehingga memastikan pemrosesan berhasil hanya jika ekstraksi stempel waktu awal berhasil.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke platform Symantec Endpoint Protection

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Symantec Endpoint Protection

Login ke UI web Symantec Endpoint Protection Manager Anda.
Klik ikon Admin.
Cari bagian View Servers, lalu klik Servers.
Klik Local Site > Configure External Logging.
Centang kotak Aktifkan Transmisi Log ke Server Syslog.
Berikan detail konfigurasi berikut:
- Server Syslog: Masukkan alamat IP Bindplane.
- Port Tujuan UDP: Masukkan nomor port Bindplane (misalnya, 514 untuk UDP).
- Fasilitas Log: Masukkan Local6.
- Centang kotak Audit Logs.
- Centang kotak Security Logs.
- Centang kotak Risiko.
Klik Oke.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Tindakan	security_result.action	Nilai diambil dari kolom `Action` dalam log mentah dan dipetakan ke tindakan UDM.
Jenis Tindakan	security_result.action_details	Nilai diambil dari kolom `Action Type` dalam log mentah.
Admin
Alasan aplikasi diizinkan	security_result.action_details	Nilai diambil dari kolom `Allowed application reason` dalam log mentah.
Aplikasi	principal.process.command_line	Nilai diambil dari kolom `Application` dalam log mentah.
Hash aplikasi	target.file.sha256	Nilai diambil dari kolom `Application hash` dalam log mentah.
Nama aplikasi	target.application	Nilai diambil dari kolom `Application name` dalam log mentah.
Jenis aplikasi	target.resource.attribute.labels.value	Nilai diambil dari kolom `Application type` dalam log mentah. Kunci di-hardcode menjadi `Application Type`.
Versi aplikasi	target.application.version	Nilai diambil dari kolom `Application version` dalam log mentah.
Mulai
Waktu Mulai	extensions.vulns.vulnerabilities.scan_start_time	Nilai diambil dari kolom `Begin Time` dalam log mentah.
Mulai:	extensions.vulns.vulnerabilities.scan_start_time	Nilai diambil dari kolom `Begin:` dalam log mentah.
Kategori	principal.resource.attribute.labels.value	Nilai diambil dari kolom `Category` dalam log mentah. Kunci di-hardcode menjadi `Category`.
Kumpulan kategori	security_result.category	Nilai diambil dari kolom `Category set` di log mentah dan dipetakan ke kategori UDM.
Jenis kategori	security_result.category_details	Nilai diambil dari kolom `Category type` dalam log mentah.
ID Tanda Tangan CIDS
String Tanda Tangan CIDS	security_result.summary	Nilai diambil dari kolom `CIDS Signature string` dalam log mentah.
SubID Tanda Tangan CIDS
Kebijakan Klien
Perintah
Komputer	target.hostname	Nilai diambil dari kolom `Computer` dalam log mentah.
Nama komputer	principal.hostname	Nilai diambil dari kolom `Computer name` dalam log mentah.
Keyakinan	security_result.confidence_details	Nilai diambil dari kolom `Confidence` dalam log mentah.
data
Deskripsi	security_result.action_details	Nilai diambil dari kolom `Description` dalam log mentah.
Deskripsi:	security_result.action_details	Nilai diambil dari kolom `Description:` dalam log mentah.
Skor deteksi
No. Kiriman Deteksi
Jenis deteksi	security_result.summary	Nilai diambil dari kolom `Detection type` dalam log mentah.
ID Perangkat	target.asset.hostname	Nilai diambil dari kolom `Device ID` dalam log mentah.
Disposisi	security_result.action	Nilai diambil dari kolom `Disposition` dalam log mentah dan dipetakan ke tindakan UDM.
Domain	principal.administrative_domain	Nilai diambil dari kolom `Domain` dalam log mentah.
Nama Domain	principal.administrative_domain	Nilai diambil dari kolom `Domain Name` dalam log mentah.
Nama Domain:	principal.administrative_domain	Nilai diambil dari kolom `Domain Name:` dalam log mentah.
Didownload oleh	principal.process.file.full_path	Nilai diambil dari kolom `Downloaded by` dalam log mentah.
Situs download
Durasi (detik)	extensions.vulns.vulnerabilities.scan_end_time	Nilai diambil dari kolom `Duration (seconds)` di log mentah dan ditambahkan ke waktu mulai pemindaian.
Akhir
Waktu Berakhir	extensions.vulns.vulnerabilities.scan_end_time	Nilai diambil dari kolom `End Time` dalam log mentah.
Waktu Berakhir:	extensions.vulns.vulnerabilities.scan_end_time	Nilai diambil dari kolom `End Time:` dalam log mentah.
Akhir:	extensions.vulns.vulnerabilities.scan_end_time	Nilai diambil dari kolom `End:` dalam log mentah.
Deskripsi Peristiwa	metadata.description	Nilai diambil dari kolom `Event Description` dalam log mentah.
Deskripsi Acara:	metadata.description	Nilai diambil dari kolom `Event Description:` dalam log mentah.
Waktu Penyisipan Acara
Waktu peristiwa	metadata.event_timestamp	Nilai diambil dari kolom `Event time` dalam log mentah.
Waktu acara:	metadata.event_timestamp	Nilai diambil dari kolom `Event time:` dalam log mentah.
Jenis Peristiwa	metadata.product_event_type	Nilai diambil dari kolom `Event Type` dalam log mentah.
Jenis Acara:	metadata.product_event_type	Nilai diambil dari kolom `Event Type:` dalam log mentah.
Jalur file	target.file.full_path	Nilai diambil dari kolom `File path` dalam log mentah.
Jalur file:	target.file.full_path	Nilai diambil dari kolom `File path:` dalam log mentah.
Ukuran file (byte)	target.file.size	Nilai diambil dari kolom `File size (bytes)` dalam log mentah.
Pertama Terlihat	security_result.action_details	Nilai diambil dari kolom `First Seen` dalam log mentah.
Pertama Terlihat:	security_result.action_details	Nilai diambil dari kolom `First Seen:` dalam log mentah.
Grup	principal.group.group_display_name	Nilai diambil dari kolom `Group` dalam log mentah.
Nama Grup	principal.group.group_display_name	Nilai diambil dari kolom `Group Name` dalam log mentah.
Nama Grup:	principal.group.group_display_name	Nilai diambil dari kolom `Group Name:` dalam log mentah.
Jenis hash	target.resource.attribute.labels.value	Nilai diambil dari kolom `Hash type` dalam log mentah. Kunci di-hardcode menjadi `Hash Type`.
Tingkat Perlindungan Intensif
ID Intrusi
URL Payload Intrusi
URL Intrusi
Alamat IP	principal.ip	Nilai diambil dari kolom `IP Address` dalam log mentah.
Alamat IP:	principal.ip	Nilai diambil dari kolom `IP Address:` dalam log mentah.
Waktu update terakhir
Host Lokal	principal.ip	Nilai diambil dari kolom `Local Host` dalam log mentah.
IP Host Lokal	principal.ip	Nilai diambil dari kolom `Local Host IP` dalam log mentah.
MAC Host Lokal	principal.mac	Nilai diambil dari kolom `Local Host MAC` dalam log mentah.
Port Lokal	principal.port	Nilai diambil dari kolom `Local Port` dalam log mentah.
Lokasi
MD-5
Kejadian	security_result.about.resource.attribute.labels.value	Nilai diambil dari kolom `Occurrences` dalam log mentah. Kunci di-hardcode menjadi `Occurrences`.
Alasan aplikasi diizinkan	security_result.action_details	Nilai diambil dari kolom `Permitted application reason` dalam log mentah.
Prevalensi	security_result.description	Nilai diambil dari kolom `Prevalence` dalam log mentah.
Jalur jarak jauh	target.file.full_path	Nilai diambil dari kolom `Remote file path` dalam log mentah.
IP Host Jarak Jauh	target.ip	Nilai diambil dari kolom `Remote Host IP` dalam log mentah.
MAC Host Jarak Jauh	target.mac	Nilai diambil dari kolom `Remote Host MAC` dalam log mentah.
Nama Host Jarak Jauh	target.hostname	Nilai diambil dari kolom `Remote Host Name` dalam log mentah.
Port Jarak Jauh	target.port	Nilai diambil dari kolom `Remote Port` dalam log mentah.
Tindakan yang diminta	security_result.action	Nilai diambil dari kolom `Requested action` dalam log mentah dan dipetakan ke tindakan UDM.
Tingkat Risiko	security_result.severity	Nilai diambil dari kolom `Risk Level` dalam log mentah dan dipetakan ke tingkat keparahan UDM.
Nama risiko	security_result.threat_name	Nilai diambil dari kolom `Risk name` dalam log mentah.
Jenis risiko	security_result.detection_fields.value	Nilai diambil dari kolom `Risk type` dalam log mentah. Kunci di-hardcode menjadi `Risk Type`.
Aturan	principal.resource.name	Nilai diambil dari kolom `Rule` dalam log mentah.
Aturan:	principal.resource.name	Nilai diambil dari kolom `Rule:` dalam log mentah.
ID Pemindaian	extensions.vulns.vulnerabilities.name	Nilai diambil dari kolom `Scan ID` dalam log mentah.
Pindai tanda pengenal:	extensions.vulns.vulnerabilities.name	Nilai diambil dari kolom `Scan ID:` dalam log mentah.
Jenis Pemindaian
Tindakan sekunder	target.resource.attribute.labels.value	Nilai diambil dari kolom `Secondary action` dalam log mentah. Kunci di-hardcode menjadi `Secondary action`.
Risiko keamanan ditemukan	metadata.description	Nilai diambil dari kolom `Security risk found` dalam log mentah.
Server	intermediary.hostname	Nilai diambil dari kolom `Server` dalam log mentah.
Nama Server	intermediary.hostname	Nilai diambil dari kolom `Server Name` dalam log mentah.
Nama Server:	intermediary.hostname	Nilai diambil dari kolom `Server Name:` dalam log mentah.
SHA-256	principal.process.file.sha256	Nilai diambil dari kolom `SHA-256` dalam log mentah.
Situs	additional.fields.value.string_value	Nilai diambil dari kolom `Site` dalam log mentah. Kunci di-hardcode menjadi `Site Name`.
Nama Situs	additional.fields.value.string_value	Nilai diambil dari kolom `Site Name` dalam log mentah. Kunci di-hardcode menjadi `Site Name`.
Situs:	additional.fields.value.string_value	Nilai diambil dari kolom `Site:` dalam log mentah. Kunci di-hardcode menjadi `Site Name`.
Sumber	metadata.product_event_type	Nilai diambil dari kolom `Source` di log mentah dan ditambahkan ke string `Security risk found -` yang di-hard code.
Komputer sumber
Komputer sumber:
IP Sumber
IP Sumber:
Sumber:	metadata.product_event_type	Nilai diambil dari kolom `Source:` di log mentah dan ditambahkan ke string `Security risk found -` yang di-hard code.
ts	metadata.event_timestamp	Nilai diambil dari kolom `ts` dalam log mentah.
Status Pelacakan URL
Pengguna	principal.user.userid	Nilai diambil dari kolom `User` dalam log mentah.
Nama Pengguna	principal.user.userid	Nilai diambil dari kolom `User Name` dalam log mentah.
Nama Pengguna:	principal.user.userid	Nilai diambil dari kolom `User Name:` dalam log mentah.
Domain web
metadata.description		Jika log mentah berisi string `The client has downloaded`, deskripsi akan ditetapkan ke `The client has downloaded {target file name}`. Jika log mentah berisi string `The management server received`, deskripsi akan ditetapkan ke `The management server received the client log successfully`. Jika tidak, deskripsi akan ditetapkan ke nilai kolom `Event Description` dalam log mentah.
metadata.event_type		Jenis peristiwa ditentukan oleh logika parser berdasarkan konten log mentah.
metadata.log_type		Jenis log di-hardcode menjadi `SEP`.
metadata.product_name		Nama produk di-hardcode menjadi `SEP`.
metadata.vendor_name		Nama vendor di-hardcode menjadi `Symantec`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.