このページは Cloud Translation API によって翻訳されました。

Symantec Endpoint Protection のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Symantec Endpoint Protection ログを Google Security Operations に取り込む方法について説明します。パーサーは SYSLOG 形式または KV 形式のログを処理し、まずログデータ内のさまざまな形式からタイムスタンプを抽出します。次に、別の構成ファイル（sep_pt2.include）を使用してログイベントの解析と構造化をさらに行い、最初のタイムスタンプ抽出が成功した場合にのみ処理が成功するようにします。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
Symantec Endpoint Protection プラットフォームへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

以降のセクションでは、Bindplane エージェントをインストールする方法について説明します。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec Endpoint Protection で Syslog を構成する

Symantec Endpoint Protection Manager のウェブ UI にログインします。
[管理] アイコンをクリックします。
[View Servers] セクションを見つけて、[Servers] をクリックします。
[ローカルサイト> 外部ロギングを構成する] をクリックします。
[Enable Transmission of Logs to a Syslog Server] チェックボックスをオンにします。
次の構成の詳細を入力します。
- Syslog サーバー: Bindplane の IP アドレスを入力します。
- UDP 宛先ポート: Bindplane ポート番号を入力します（例: UDP の場合は 514）。
- ログファシリティ: 「Local6」と入力します。
- [監査ログ] チェックボックスをオンにします。
- [セキュリティログ] チェックボックスをオンにします。
- [リスク] チェックボックスをオンにします。
[OK] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	備考
`_DB_HOST`	`target.hostname`
`a_record`	`network.dns.questions.type`
`AccessCheckResults`	`security_result.detection_fields`
`Accesses`	`security_result.detection_fields`
`AccessList`	`security_result.detection_fields`
`AccessMask`	`security_result.detection_fields`
`AccessReason`	`security_result.description`
`AccountName`	`target.user.user_display_name`
`AccountType`	`principal.user.attribute.roles`
`ACTION`	`security_result.detection_fields`
`ACTION_TYPE`	`security_result.action_details`
`ActiveProfile`	`target.resource.name`
`ActivityID`	`additional.fields`
`AdditionalInfo2`	`security_result.detection_fields`
`ADMIN_NAME`	`principal.user.userid`
`AGENT_SECURITY_LOG_IDX`	`metadata.product_log_id`
`AgentVer`	`additional.fields`
`Alert`	`security_result.detection_fields`
`ALERT_IDX`	`security_result.rule_id`
`ALERTDATETIME`	`security_result.first_discovered_time`
`ALERTENDDATETIME`	`security_result.last_discovered_time`
`ALERTINSERTTIME`	`security_result.detection_fields`
`AlgorithmName`	`security_result.detection_fields`
`Allowedapplicationreason`	`security_result.detection_fields`
`APP_NAME`	`target.application`
`app_name`	`principal.application`
`AppPoolID`	`target.application`
`AuthenticationPackageName`	`additional.fields`
`AuthenticationSetId`	`security_result.detection_fields`
`AuthenticationSetName`	`target.resource.name`
`BitlockerUserInputTime`	`additional.fields`
`BootMenuPolicy`	`additional.fields`
`BootType`	`additional.fields`
`BU`	`additional.fields`
`BugcheckString`	`additional.fields`
`CALLER_PROCESS_ID`	`principal.process.pid`
`CALLER_PROCESS_NAME`	`principal.process.file.full_path`
`callerReturnAddress`	`additional.fields`
`callerReturnModuleName`	`additional.fields`
`Caption`	`target.application`
`Category`	`security_result.category_details`
`Channel`	`security_result.about.resource.attribute.labels`
`CIDS_SIGN_SUB_ID`	`additional.fields`
`CLIENT_USER2`	`principal.user.userid`
`Comment`	`metadata.description`
`Component`	`security_result.detection_fields`
`connection.ether_type`	`security_result.about.labels`
`ConnectionSecurityRuleName`	`target.resource.name`
`ConnectionSecurityRuleId`	`security_result.detection_fields`
`CryptographicSetId`	`security_result.detection_fields`
`CryptographicSetName`	`target.resource.name`
`CSPEID`	`additional.fields`
`DCName`	`intermediary.hostname`
`Desc`	`metadata.description`
`DesiredAccess`	`security_result.detection_fields`
`device.last_app_connection`	`target.asset.last_discover_time`
`device.wss_feature`	`target.asset.attribute.labels`
`DeviceName`	`target.resource.name`
`DeviceNameLength`	`additional.fields`
`DeviceTime`	`additional.fields`
`DeviceVersionMajor`	`additional.fields`
`DeviceVersionMinor`	`additional.fields`
`disposition`	`security_result.detection_fields`
`dns_direction`	`security_result.detection_fields`
`domain`	`target.administrative_domain`
`Domain`	`principal.administrative_domain`
`DOMAIN_ID`	`target.resource.product_object_id`
`EDate`	`additional.fields`
`EDateUTC`	`metadata.event_timestamp`
`elevated_token`	`additional.fields`
`EntryCount`	`additional.fields`
`Error`	`security_result.description`
`error`	`security_result.detection_fields`
`ErrorCode`	`security_result.description`
`ErrorDescription`	`security_result.description`
`Event`	`metadata.description`
`EVENT_DATA`	`additional.fields`
`event_type`	`metadata.product_event_type`
`EventData.Binary`	`additional.fields`
`eventDesc`	`metadata.description`
`eventInsertTime`	`metadata.collected_timestamp`
`EventReceivedTime`	`metadata.collected_timestamp`
`EventTime`	`metadata.event_timestamp`
`EventType`	`metadata.product_event_type`
`ExceptionCode`	`security_result.detection_fields`
`executionPolicy`	`security_result.rule_name`
`ExecutionProcessID`	`principal.process.pid`
`ExecutionThreadID`	`principal.process.product_specific_process_id`
`ExtensionId`	`security_result.detection_fields`
`ExtensionName`	`target.resource.name`
`ExtraInfoLength`	`additional.fields`
`ExtraInfoString`	`additional.fields`
`FailureId`	`security_result.detection_fields`
`faulting_application_name`	`principal.process.file.names`
`faulting_application_path`	`principal.process.file.full_path`
`FaultingModuleName`	`additional.fields`
`FaultingModulePath`	`additional.fields`
`FaultOffset`	`additional.fields`
`FILE_SIZE`	`about.file.size`
`FilterID`	`security_result.detection_fields`
`FinalStatus`	`security_result.description`
`GPODisplayName`	`target.resource.name`
`GPOFileSystemPath`	`target.file.full_path`
`Group`	`principal.resource.attribute.labels`
`HACK_TYPE`	`security_result.category_details`
`HandleId`	`target.resource.attribute.labels`
`HID_LEVEL`	`additional.fields`
`HN`	`additional.fields`
`host`	`principal.hostname`
`Hostname`	`principal.hostname`
`id`	`metadata.product_log_id`
`IdleImplementation`	`additional.fields`
`IdleStateCount`	`additional.fields`
`ImpersonationLevel`	`additional.fields`
`IntensiveProtectionLevel`	`security_result.detection_fields`
`Interface`	`security_result.detection_fields`
`intermediary_host`	`intermediary.ip` `intermediary.hostname`	値が IP アドレスの場合、`intermediary.ip` にマッピングされます。値がホスト名の場合、`intermediary.hostname` にマッピングされます。
`INTRUSION_PAYLOAD_URL`	`target.url`
`INTRUSION_URL`	`target.url`
`IP`	`principal.ip`
`IP_ADDR`	`src.ip`
`IpAddress`	`principal.ip`
`IpPort`	`principal.port`
`KERNEL`	`principal.platform_patch_level`
`KeyFilePath`	`target.file.full_path`
`KeyLength`	`additional.fields`
`KeyName`	`security_result.detection_fields`
`KeyType`	`security_result.detection_fields`
`lastUpdateTime`	`target.resource.attribute.last_update_time`
`LmPackageName`	`security_result.detection_fields`
`LoadOptions`	`additional.fields`
`LogonGuid`	`network.session_id`
`LogonProcessName`	`target.application`
`LogonType`	`extensions.auth.auth_details`
`MandatoryLabel`	`target.resource.attribute.labels`
`MasterKeyId`	`security_result.detection_fields`
`MaximumPerformancePercent`	`additional.fields`
`Message`	`metadata.description`
`MinimumPerformancePercent`	`additional.fields`
`MinimumThrottlePercent`	`additional.fields`
`Minutes`	`target.resource.attribute.labels`
`NewFile`	`target.file.full_path`
`NewGrp`	`target.group.group_display_name`
`NewModDt`	`target.file.last_modification_time`
`NewOwn`	`additional.fields`
`NewPerms`	`additional.fields`
`NewProcessId`	`target.process.pid`
`NewProcessName`	`target.process.file.full_path`
`NewSecurityDescriptor`	`security_result.description`
`NewSize`	`additional.fields`
`NominalFrequency`	`principal.resource.attribute.labels`
`Number`	`principal.resource.attribute.labels`
`NumberOfGroupPolicyObjects`	`additional.fields`
`ObjectName`	`target.resource.name`
`ObjectServer`	`target.resource.attribute.labels`
`ObjectType`	`target.resource.resource_type`
`ObjId`	`target.resource.attribute.labels`
`OldFile`	`src.file.full_path`
`OldGrp`	`src.group.group_display_name`
`OldModDt`	`src.file.last_modification_time`
`OldOwn`	`additional.fields`
`OldPerms`	`additional.fields`
`OldSize`	`additional.fields`
`omittedFiles`	`security_result.detection_fields`
`Opcode`	`additional.fields`
`OpcodeValue`	`metadata.product_event_type`
`Operation`	`security_result.description`
`Operation`	`additional.fields`
`OperationType`	`security_result.category_details`
`OriginalSecurityDescriptor`	`additional.fields`
`OS`	`principal.platform`
`OSVER`	`principal.platform_version`
`param2`	`security_result.detection_fields`
`param3`	`security_result.detection_fields`
`param4`	`security_result.detection_fields`
`PARAM_DEVICE_ID`	`principal.hostname`
`PARAMETER`	`target.file.full_path`
`parameters`	`additional.fields`
`PARENT_SERVER_TYPE`	`additional.fields`
`PerformanceImplementation`	`additional.fields`
`POLNm`	`additional.fields`
`prevalence`	`security_result.detection_fields`
`Priority`	`security_result.detection_fields`
`PrivilegeList`	`target.resource.attribute.permissions.name`
`PrivilegesUsedForAccessCheck`	`security_result.detection_fields`
`ProblemID`	`additional.fields`
`ProcessId`	`principal.process.pid`
`ProcessID`	`target.process.pid`
`ProcessingMode`	`additional.fields`
`ProcessingTimeInMilliseconds`	`additional.fields`
`ProcessName`	`principal.process.file.full_path`
`ProcName`	`principal.process.file.names`
`ProcPath`	`principal.process.file.full_path`
`product_event_type`	`metadata.product_event_type`
`PROFILE_SERIAL_NO`	`additional.fields`
`protected`	`security_result.detection_fields`
`ProviderGuid`	`metadata.product_deployment_id`
`ProviderName`	`security_result.detection_fields`
`PuaCount`	`additional.fields`
`PuaPolicyId`	`additional.fields`
`PUB_KEY`	`additional.fields`
`Reason`	`additional.fields`
`ReasonCode`	`additional.fields`
`RecordNumber`	`metadata.product_log_id`
`RecoveryReason`	`security_result.description`
`RecType`	`metadata.product_event_type`
`RelativeTargetName`	`target.user.user_display_name`
`report_id`	`metadata.product_log_id`
`request`	`additional.fields`
`restricted_admin_mode`	`additional.fields`
`restricted_sid_count`	`additional.fields`
`risks`	`security_result.detection_fields`
`Rule`	`security_result.rule_name`
`RuleName`	`security_result.rule_name`
`RuleType`	`additional.fields`
`scan_duration`	`security_result.detection_fields`
`scan_state`	`security_result.detection_fields`
`scan_type`	`security_result.detection_fields`
`scanned_number`	`security_result.detection_fields`
`ScriptType`	`additional.fields`
`SecurityPackageName`	`about.file.full_path`
`SEQ_ID`	`additional.fields`
`Service`	`target.application`
`SeverityValue`	`security_result.severity_details`
`sha256`	`principal.process.file.sha256`
`ShareLocalPath`	`target.file.full_path`
`ShareName`	`target.resource.name`
`SITE_IDX`	`additional.fields`
`skipped_files`	`security_result.detection_fields`
`SourceModuleName`	`additional.fields`
`SourceModuleType`	`additional.fields`
`SourceName`	`principal.application`
`spn1`	`target.resource.attribute.labels`
`spn2`	`target.resource.attribute.labels`
`standard_schemes`	`security_result.detection_fields`
`State`	`additional.fields`
`Status`	`target.resource.attribute.labels`
`StopTime`	`additional.fields`
`SubjectDomainName`	`principal.administrative_domain`
`SubjectLogonId`	`principal.user.userid`
`SubjectUserName`	`principal.user.userid`
`SubjectUserSid`	`principal.user.windows_sid`
`SupportInfo1`	`additional.fields`
`SupportInfo2`	`additional.fields`
`syslogServer`	`intermediary.ip` `intermediary.hostname`	値（IP アドレスまたはホスト名）はログのヘッダーから取得され、仲介者に関連付けられます。
`TargetDomainName`	`target.administrative_domain`
`TargetLogonId`	`target.user.userid`
`TargetUserName`	`target.user.userid`
`TargetUserSid`	`target.user.windows_sid`
`TaskContentNew`	`additional.fields`
`TaskName`	`target.resource.name`
`TaskValue`	`metadata.description`
`THREATS`	`security_result.detection_fields`
`threats`	`security_result.detection_fields`
`TimeDifferenceMilliseconds`	`additional.fields`
`TimeSampleSeconds`	`additional.fields`
`timestamp`	`metadata.event_timestamp`
`TokenElevationType`	`target.resource.attribute.labels`
`transaction_id`	`metadata.product_log_id`
`TransitedServices`	`security_result.detection_fields`
`TSId`	`network.session_id`
`type`	`security_result.threat_name`
`UMDFDeviceInstallBegin.version`	`target.resource.attribute.labels`
`UMDFReflectorDependencyMissing.Dependency`	`additional.fields`
`updateGuid`	`target.process.product_specific_process_id`
`updateRevisionNumber`	`target.resource.attribute.labels`
`updateTitle`	`target.resource.name`
`UpdateType`	`additional.fields`
`Url`	`target.url`
`urlTrackingStatus`	`security_result.detection_fields`
`User`	`principal.user.userid`
`UserID`	`target.user.userid`
`UserSid`	`target.user.windows_sid`
`VAPI_NAME`	`security_result.summary`
`VAST`	`additional.fields`
`Version`	`metadata.product_version`
`virtual_account`	`additional.fields`
`VSAD`	`additional.fields`
`WorkstationName`	`additional.fields`
なし	`metadata.log_type`	ログタイプは `SEP` にハードコードされています。
なし	`metadata.product_name`	プロダクト名は `SEP` にハードコードされています。
なし	`metadata.vendor_name`	ベンダー名は `Symantec` にハードコードされています。

UDM マッピングデルタリファレンス

2025 年 8 月 26 日に、Google SecOps は Symantec Endpoint Protection パーサーの新しいバージョンをリリースしました。このバージョンには、Symantec Endpoint Protection ログフィールドから UDM フィールドへのマッピングの大きな変更と、イベントタイプのマッピングの変更が含まれています。

ログフィールドマッピングの差分

次の表に、2025 年 8 月 26 日より前と後に公開された Symantec Endpoint Protection ログから UDM フィールドへのマッピングの差分を示します（それぞれ [以前のマッピング] 列と [現在のマッピング] 列に記載されています）。

ログフィールド	古いマッピング	現在のマッピング
`_DB_DRIVER`	`about.resource.id`	`about.resource.product_object_id`
`_ip`	`principal.ip`	`intermediary.ip`
`Actualaction: Quarantined`	`security_result.action : BLOCK`	`security_result.action : QUARANTINE`
`BEGIN_TIME`	`additional.fields`	`target.resource.attribute.labels`
`callerProcessId`	`target.process.pid`	`principal.process.pid`
`callerProcessName`	`target.file.full_path`	`principal.process.file.full_path`
`CATEGORY_DESC`	`additional.fields`	`security_result.category_details`
`CLIENT_TYPE`	`additional.fields`	`principal.user.attribute.roles`
`DESCRIPTION`	`security_result.detection_fields`	`security_result.summary`
`device.id`	`target.resource.id`	`target.resource.product_object_id`
`device_uid`	`principal.resource.id`	`principal.resource.product_object_id`
`DURATION`	`additional.fields`	`network.session_duration.seconds`
`END_TIME`	`additional.fields`	`target.resource.attribute.last_update_time`
`feature_name`	`about.labels`	`security_result.about.labels`
`REMOTE_HOST_MAC`	`additional.fields`	`principal.mac`
`resourceId`	`principal.resource.id`	`principal.resource.product_object_id`
`server_name_1`	`principal.hostname` `intermediary.hostname`	`target.hostname`
`UUID`	`additional.fields`	`principal.asset.asset_id`

イベントタイプマッピングの差分

以前は汎用イベントとして分類されていた複数のイベントが、意味のあるイベントタイプで適切に分類されるようになりました。

次の表に、2025 年 8 月 26 日より前とそれ以降の Symantec Endpoint Protection イベントタイプの処理の差分を示します（それぞれ [以前の event_type] 列と [現在の event_type] 列に記載されています）。

ログの eventType	以前の event_type	現在の event_type
管理者のログアウト	`GENERIC_EVENT`	`USER_LOGOUT`
他のすべての IP トラフィックをブロックしてログに記録する	`STATUS_UPDATE`	`NETWORK_CONNECTION`
ファイルを作成済み	`GENERIC_EVENT`	`FILE_CREATION`
File Modified	`GENERIC_EVENT`	`FILE_MODIFICATION`
ファイル名が変更されました	`GENERIC_EVENT`	`FILE_MODIFICATION`
選択したドライブでスキャンが開始されました	`GENERIC_EVENT`	`SCAN_HOST`
選択したドライブでスキャンが開始され、ファイルがある	`GENERIC_EVENT`	`SCAN_FILE`
イベントに基づくリソースにアクセスしているユーザー	`USER_UNCATEGORIZED`	`USER_RESOURCE_ACCESS`
お客様が解約を希望している	`GENERIC_EVENT`	`STATUS_SHUTDOWN`
`VAPI_NAME` = `File Delete`	`USER_UNCATEGORIZED`	`FILE_DELETION`
`VAPI_NAME` = `File Write`	`USER_UNCATEGORIZED`	`FILE_CREATION`

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。