收集 Symantec Endpoint Protection 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Symantec Endpoint Protection 日志注入到 Google Security Operations。解析器会处理 SYSLOG 或 KV 格式的日志,首先从日志数据中提取各种格式的时间戳。然后,它会利用单独的配置文件 (sep_pt2.include) 对日志事件进行进一步的解析和结构化处理,只有在初始时间戳提取成功时,才能确保成功处理。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于开放状态
- 对 Symantec Endpoint Protection 平台的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec Endpoint Protection 中配置 Syslog
- 登录 Symantec Endpoint Protection Manager Web 界面。
- 点击管理图标。
- 找到查看服务器部分,然后点击服务器。
- 依次点击本地网站 > 配置外部日志记录。
- 选中启用向 Syslog 服务器传输日志复选框。
- 提供以下配置详细信息:
- Syslog 服务器:输入 Bindplane IP 地址。
- UDP 目标端口:输入 Bindplane 端口号(例如,对于 UDP,输入
514)。 - 日志设施:输入 Local6。
- 选中审核日志复选框。
- 选中安全日志复选框。
- 选中风险复选框。
- 点击确定。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action | 该值取自原始日志中的 Action 字段,并映射到 UDM 操作。 |
| 操作类型 | security_result.action_details | 该值取自原始日志中的 Action Type 字段。 |
| 管理员 | ||
| 允许应用的原因 | security_result.action_details | 该值取自原始日志中的 Allowed application reason 字段。 |
| 应用 | principal.process.command_line | 该值取自原始日志中的 Application 字段。 |
| 应用哈希 | target.file.sha256 | 该值取自原始日志中的 Application hash 字段。 |
| 应用名称 | target.application | 该值取自原始日志中的 Application name 字段。 |
| 应用类型 | target.resource.attribute.labels.value | 该值取自原始日志中的 Application type 字段。该键已硬编码为 Application Type。 |
| 应用版本 | target.application.version | 该值取自原始日志中的 Application version 字段。 |
| 开始 | ||
| 开始时间 | extensions.vulns.vulnerabilities.scan_start_time | 该值取自原始日志中的 Begin Time 字段。 |
| 开始时间: | extensions.vulns.vulnerabilities.scan_start_time | 该值取自原始日志中的 Begin: 字段。 |
| 类别 | principal.resource.attribute.labels.value | 该值取自原始日志中的 Category 字段。该键已硬编码为 Category。 |
| 类别设置 | security_result.category | 该值取自原始日志中的 Category set 字段,并映射到 UDM 类别。 |
| 类别类型 | security_result.category_details | 该值取自原始日志中的 Category type 字段。 |
| CIDS 签名 ID | ||
| CIDS 签名字符串 | security_result.summary | 该值取自原始日志中的 CIDS Signature string 字段。 |
| CIDS 签名 SubID | ||
| 客户政策 | ||
| 命令 | ||
| 计算机 | target.hostname | 该值取自原始日志中的 Computer 字段。 |
| 计算机名称 | principal.hostname | 该值取自原始日志中的 Computer name 字段。 |
| 置信度 | security_result.confidence_details | 该值取自原始日志中的 Confidence 字段。 |
| 数据 | ||
| 说明 | security_result.action_details | 该值取自原始日志中的 Description 字段。 |
| 说明: | security_result.action_details | 该值取自原始日志中的 Description: 字段。 |
| 检测得分 | ||
| 检测提交次数:否 | ||
| 检测类型 | security_result.summary | 该值取自原始日志中的 Detection type 字段。 |
| 设备 ID | target.asset.hostname | 该值取自原始日志中的 Device ID 字段。 |
| 处理方式 | security_result.action | 该值取自原始日志中的 Disposition 字段,并映射到 UDM 操作。 |
| 网域 | principal.administrative_domain | 该值取自原始日志中的 Domain 字段。 |
| 域名 | principal.administrative_domain | 该值取自原始日志中的 Domain Name 字段。 |
| 域名: | principal.administrative_domain | 该值取自原始日志中的 Domain Name: 字段。 |
| 下载者 | principal.process.file.full_path | 该值取自原始日志中的 Downloaded by 字段。 |
| 下载网站 | ||
| 时长(秒) | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 Duration (seconds) 字段,并添加到扫描开始时间。 |
| 结束 | ||
| 结束时间 | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End Time 字段。 |
| 结束时间: | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End Time: 字段。 |
| 结束值: | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End: 字段。 |
| 事件描述 | metadata.description | 该值取自原始日志中的 Event Description 字段。 |
| 活动说明: | metadata.description | 该值取自原始日志中的 Event Description: 字段。 |
| 活动插入时间 | ||
| 事件时间 | metadata.event_timestamp | 该值取自原始日志中的 Event time 字段。 |
| 活动时间: | metadata.event_timestamp | 该值取自原始日志中的 Event time: 字段。 |
| 事件类型 | metadata.product_event_type | 该值取自原始日志中的 Event Type 字段。 |
| 活动类型: | metadata.product_event_type | 该值取自原始日志中的 Event Type: 字段。 |
| 文件路径 | target.file.full_path | 该值取自原始日志中的 File path 字段。 |
| 文件路径: | target.file.full_path | 该值取自原始日志中的 File path: 字段。 |
| 文件大小(字节) | target.file.size | 该值取自原始日志中的 File size (bytes) 字段。 |
| 首次出现时间 | security_result.action_details | 该值取自原始日志中的 First Seen 字段。 |
| 首次出现时间: | security_result.action_details | 该值取自原始日志中的 First Seen: 字段。 |
| 群组 | principal.group.group_display_name | 该值取自原始日志中的 Group 字段。 |
| 组名称 | principal.group.group_display_name | 该值取自原始日志中的 Group Name 字段。 |
| 群组名称: | principal.group.group_display_name | 该值取自原始日志中的 Group Name: 字段。 |
| 哈希类型 | target.resource.attribute.labels.value | 该值取自原始日志中的 Hash type 字段。该键已硬编码为 Hash Type。 |
| 强化保护级别 | ||
| 入侵 ID | ||
| 入侵载荷网址 | ||
| 入侵网址 | ||
| IP 地址 | principal.ip | 该值取自原始日志中的 IP Address 字段。 |
| IP 地址: | principal.ip | 该值取自原始日志中的 IP Address: 字段。 |
| 上次更新时间 | ||
| 本地主机 | principal.ip | 该值取自原始日志中的 Local Host 字段。 |
| 本地主机 IP | principal.ip | 该值取自原始日志中的 Local Host IP 字段。 |
| 本地主机 MAC | principal.mac | 该值取自原始日志中的 Local Host MAC 字段。 |
| 本地端口 | principal.port | 该值取自原始日志中的 Local Port 字段。 |
| 位置 | ||
| MD-5 | ||
| 出现次数 | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的 Occurrences 字段。该键已硬编码为 Occurrences。 |
| 允许的应用原因 | security_result.action_details | 该值取自原始日志中的 Permitted application reason 字段。 |
| 普及率 | security_result.description | 该值取自原始日志中的 Prevalence 字段。 |
| 远程路径 | target.file.full_path | 该值取自原始日志中的 Remote file path 字段。 |
| 远程主机 IP | target.ip | 该值取自原始日志中的 Remote Host IP 字段。 |
| 远程主机 MAC | target.mac | 该值取自原始日志中的 Remote Host MAC 字段。 |
| 远程主机名 | target.hostname | 该值取自原始日志中的 Remote Host Name 字段。 |
| 远程端口 | target.port | 该值取自原始日志中的 Remote Port 字段。 |
| 请求的操作 | security_result.action | 该值取自原始日志中的 Requested action 字段,并映射到 UDM 操作。 |
| 风险等级 | security_result.severity | 该值取自原始日志中的 Risk Level 字段,并映射到 UDM 严重程度。 |
| 风险名称 | security_result.threat_name | 该值取自原始日志中的 Risk name 字段。 |
| 风险类型 | security_result.detection_fields.value | 该值取自原始日志中的 Risk type 字段。该键已硬编码为 Risk Type。 |
| 规则 | principal.resource.name | 该值取自原始日志中的 Rule 字段。 |
| 规则: | principal.resource.name | 该值取自原始日志中的 Rule: 字段。 |
| 扫描 ID | extensions.vulns.vulnerabilities.name | 该值取自原始日志中的 Scan ID 字段。 |
| 扫描 ID: | extensions.vulns.vulnerabilities.name | 该值取自原始日志中的 Scan ID: 字段。 |
| 扫描类型 | ||
| 次要操作 | target.resource.attribute.labels.value | 该值取自原始日志中的 Secondary action 字段。该键已硬编码为 Secondary action。 |
| 发现安全风险 | metadata.description | 该值取自原始日志中的 Security risk found 字段。 |
| 服务器 | intermediary.hostname | 该值取自原始日志中的 Server 字段。 |
| 服务器名称 | intermediary.hostname | 该值取自原始日志中的 Server Name 字段。 |
| 服务器名称: | intermediary.hostname | 该值取自原始日志中的 Server Name: 字段。 |
| SHA-256 | principal.process.file.sha256 | 该值取自原始日志中的 SHA-256 字段。 |
| 网站 | additional.fields.value.string_value | 该值取自原始日志中的 Site 字段。该键已硬编码为 Site Name。 |
| 网站名称 | additional.fields.value.string_value | 该值取自原始日志中的 Site Name 字段。该键已硬编码为 Site Name。 |
| 站点: | additional.fields.value.string_value | 该值取自原始日志中的 Site: 字段。该键已硬编码为 Site Name。 |
| 来源 | metadata.product_event_type | 该值取自原始日志中的 Source 字段,并附加到硬编码的字符串 Security risk found -。 |
| 源计算机 | ||
| 源计算机: | ||
| 来源 IP | ||
| 来源 IP: | ||
| 来源: | metadata.product_event_type | 该值取自原始日志中的 Source: 字段,并附加到硬编码的字符串 Security risk found -。 |
| ts | metadata.event_timestamp | 该值取自原始日志中的 ts 字段。 |
| 网址跟踪状态 | ||
| 用户 | principal.user.userid | 该值取自原始日志中的 User 字段。 |
| 用户名 | principal.user.userid | 该值取自原始日志中的 User Name 字段。 |
| 用户名: | principal.user.userid | 该值取自原始日志中的 User Name: 字段。 |
| 网域 | ||
| metadata.description | 如果原始日志包含字符串 The client has downloaded,则说明会设置为 The client has downloaded {target file name}。如果原始日志包含字符串 The management server received,则说明会设置为 The management server received the client log successfully。否则,说明会设置为原始日志中 Event Description 字段的值。 |
|
| metadata.event_type | 事件类型由解析器逻辑根据原始日志的内容确定。 | |
| metadata.log_type | 日志类型已硬编码为 SEP。 |
|
| metadata.product_name | 产品名称已硬编码为 SEP。 |
|
| metadata.vendor_name | 供应商名称已硬编码为 Symantec。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。