收集 Symantec Endpoint Protection 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Symantec Endpoint Protection 記錄擷取至 Google Security Operations。剖析器會處理 SYSLOG 或 KV 格式的記錄,首先從記錄資料中的各種格式擷取時間戳記。接著,系統會使用另一個設定檔 (sep_pt2.include) 進一步剖析及建構記錄事件,並確保只有在成功擷取初始時間戳記時,才能順利處理事件。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本或 Linux 主機 (含 systemd)
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • Symantec Endpoint Protection 平台特殊權限存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」
  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。
  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。
  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: `0.0.0.0:514`
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'CES'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent
    
  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 Symantec Endpoint Protection 中設定 Syslog

  1. 登入 Symantec Endpoint Protection Manager 網頁 UI。
  2. 按一下「管理員」圖示。
  3. 找到「View Servers」(查看伺服器) 部分,然後按一下「Servers」(伺服器)
  4. 依序點選「本機網站」>「設定外部記錄」
  5. 勾選「Enable Transmission of Logs to a Syslog Server」(啟用將記錄傳輸至 Syslog 伺服器) 核取方塊。
  6. 提供下列設定詳細資料:
    • 系統記錄伺服器:輸入 Bindplane IP 位址。
    • UDP 目的地通訊埠:輸入 Bindplane 通訊埠編號 (例如 UDP514)。
    • 記錄設施:輸入 Local6
    • 勾選「稽核記錄」核取方塊。
    • 勾選「安全性記錄」核取方塊。
    • 勾選「風險」核取方塊。
  7. 按一下 [確定]

UDM 對應表

記錄欄位 UDM 對應 邏輯
動作 security_result.action 這個值取自原始記錄中的 Action 欄位,並對應至 UDM 動作。
動作類型 security_result.action_details 這個值取自原始記錄中的 Action Type 欄位。
管理員
允許應用程式的原因 security_result.action_details 這個值取自原始記錄中的 Allowed application reason 欄位。
應用程式 principal.process.command_line 這個值取自原始記錄中的 Application 欄位。
應用程式雜湊 target.file.sha256 這個值取自原始記錄中的 Application hash 欄位。
應用程式名稱 target.application 這個值取自原始記錄中的 Application name 欄位。
應用程式類型 target.resource.attribute.labels.value 這個值取自原始記錄中的 Application type 欄位。金鑰是以硬式編碼設為 Application Type
應用程式版本 target.application.version 這個值取自原始記錄中的 Application version 欄位。
開始
開始時間 extensions.vulns.vulnerabilities.scan_start_time 這個值取自原始記錄中的 Begin Time 欄位。
開始: extensions.vulns.vulnerabilities.scan_start_time 這個值取自原始記錄中的 Begin: 欄位。
類別 principal.resource.attribute.labels.value 這個值取自原始記錄中的 Category 欄位。金鑰是以硬式編碼設為 Category
已設定類別 security_result.category 這個值取自原始記錄中的 Category set 欄位,並對應至 UDM 類別。
類別類型 security_result.category_details 這個值取自原始記錄中的 Category type 欄位。
CIDS 簽章 ID
CIDS 簽章字串 security_result.summary 這個值取自原始記錄中的 CIDS Signature string 欄位。
CIDS 簽章子 ID
用戶端政策
指令
電腦 target.hostname 這個值取自原始記錄中的 Computer 欄位。
電腦名稱 principal.hostname 這個值取自原始記錄中的 Computer name 欄位。
可信度 security_result.confidence_details 這個值取自原始記錄中的 Confidence 欄位。
資料
說明 security_result.action_details 這個值取自原始記錄中的 Description 欄位。
說明: security_result.action_details 這個值取自原始記錄中的 Description: 欄位。
偵測分數
偵測提交次數
偵測類型 security_result.summary 這個值取自原始記錄中的 Detection type 欄位。
裝置 ID target.asset.hostname 這個值取自原始記錄中的 Device ID 欄位。
處理方式 security_result.action 這個值取自原始記錄中的 Disposition 欄位,並對應至 UDM 動作。
網域 principal.administrative_domain 這個值取自原始記錄中的 Domain 欄位。
網域名稱 principal.administrative_domain 這個值取自原始記錄中的 Domain Name 欄位。
網域名稱: principal.administrative_domain 這個值取自原始記錄中的 Domain Name: 欄位。
下載者 principal.process.file.full_path 這個值取自原始記錄中的 Downloaded by 欄位。
下載網站
時間長度 (秒) extensions.vulns.vulnerabilities.scan_end_time 這個值取自原始記錄中的 Duration (seconds) 欄位,並會加到掃描開始時間。
結束
結束時間 extensions.vulns.vulnerabilities.scan_end_time 這個值取自原始記錄中的 End Time 欄位。
結束時間: extensions.vulns.vulnerabilities.scan_end_time 這個值取自原始記錄中的 End Time: 欄位。
結尾值: extensions.vulns.vulnerabilities.scan_end_time 這個值取自原始記錄中的 End: 欄位。
事件說明 metadata.description 這個值取自原始記錄中的 Event Description 欄位。
活動說明: metadata.description 這個值取自原始記錄中的 Event Description: 欄位。
事件插入時間
事件時間 metadata.event_timestamp 這個值取自原始記錄中的 Event time 欄位。
活動時間: metadata.event_timestamp 這個值取自原始記錄中的 Event time: 欄位。
事件類型 metadata.product_event_type 這個值取自原始記錄中的 Event Type 欄位。
活動類型: metadata.product_event_type 這個值取自原始記錄中的 Event Type: 欄位。
檔案路徑 target.file.full_path 這個值取自原始記錄中的 File path 欄位。
檔案路徑: target.file.full_path 這個值取自原始記錄中的 File path: 欄位。
檔案大小 (位元組) target.file.size 這個值取自原始記錄中的 File size (bytes) 欄位。
首次出現時間 security_result.action_details 這個值取自原始記錄中的 First Seen 欄位。
首次出現時間: security_result.action_details 這個值取自原始記錄中的 First Seen: 欄位。
群組 principal.group.group_display_name 這個值取自原始記錄中的 Group 欄位。
群組名稱 principal.group.group_display_name 這個值取自原始記錄中的 Group Name 欄位。
群組名稱: principal.group.group_display_name 這個值取自原始記錄中的 Group Name: 欄位。
雜湊類型 target.resource.attribute.labels.value 這個值取自原始記錄中的 Hash type 欄位。金鑰是以硬式編碼設為 Hash Type
嚴密防護等級
入侵 ID
入侵酬載網址
入侵網址
IP 位址 principal.ip 這個值取自原始記錄中的 IP Address 欄位。
IP 位址: principal.ip 這個值取自原始記錄中的 IP Address: 欄位。
上次更新時間
本機主機 principal.ip 這個值取自原始記錄中的 Local Host 欄位。
本機主機 IP principal.ip 這個值取自原始記錄中的 Local Host IP 欄位。
本機主機 MAC principal.mac 這個值取自原始記錄中的 Local Host MAC 欄位。
本機通訊埠 principal.port 這個值取自原始記錄中的 Local Port 欄位。
位置
MD-5
發生次數 security_result.about.resource.attribute.labels.value 這個值取自原始記錄中的 Occurrences 欄位。金鑰是以硬式編碼設為 Occurrences
允許應用程式的原因 security_result.action_details 這個值取自原始記錄中的 Permitted application reason 欄位。
出現次數 security_result.description 這個值取自原始記錄中的 Prevalence 欄位。
遠端路徑 target.file.full_path 這個值取自原始記錄中的 Remote file path 欄位。
遠端主機 IP target.ip 這個值取自原始記錄中的 Remote Host IP 欄位。
遠端主機 MAC target.mac 這個值取自原始記錄中的 Remote Host MAC 欄位。
遠端主機名稱 target.hostname 這個值取自原始記錄中的 Remote Host Name 欄位。
遠端通訊埠 target.port 這個值取自原始記錄中的 Remote Port 欄位。
要求的動作 security_result.action 這個值取自原始記錄中的 Requested action 欄位,並對應至 UDM 動作。
風險等級 security_result.severity 這個值取自原始記錄中的 Risk Level 欄位,並對應至 UDM 嚴重程度。
風險名稱 security_result.threat_name 這個值取自原始記錄中的 Risk name 欄位。
風險類型 security_result.detection_fields.value 這個值取自原始記錄中的 Risk type 欄位。金鑰是以硬式編碼設為 Risk Type
規則 principal.resource.name 這個值取自原始記錄中的 Rule 欄位。
規則: principal.resource.name 這個值取自原始記錄中的 Rule: 欄位。
掃描 ID extensions.vulns.vulnerabilities.name 這個值取自原始記錄中的 Scan ID 欄位。
掃描 ID: extensions.vulns.vulnerabilities.name 這個值取自原始記錄中的 Scan ID: 欄位。
掃描類型
次要動作 target.resource.attribute.labels.value 這個值取自原始記錄中的 Secondary action 欄位。金鑰是以硬式編碼設為 Secondary action
發現安全性風險 metadata.description 這個值取自原始記錄中的 Security risk found 欄位。
伺服器 intermediary.hostname 這個值取自原始記錄中的 Server 欄位。
伺服器名稱 intermediary.hostname 這個值取自原始記錄中的 Server Name 欄位。
伺服器名稱: intermediary.hostname 這個值取自原始記錄中的 Server Name: 欄位。
SHA-256 principal.process.file.sha256 這個值取自原始記錄中的 SHA-256 欄位。
網站 additional.fields.value.string_value 這個值取自原始記錄中的 Site 欄位。金鑰是以硬式編碼設為 Site Name
網站名稱 additional.fields.value.string_value 這個值取自原始記錄中的 Site Name 欄位。金鑰是以硬式編碼設為 Site Name
網站: additional.fields.value.string_value 這個值取自原始記錄中的 Site: 欄位。金鑰是以硬式編碼設為 Site Name
來源 metadata.product_event_type 這個值取自原始記錄中的 Source 欄位,並附加至以硬式編碼方式寫入的字串 Security risk found -
來源電腦
來源電腦:
來源 IP
來源 IP:
資料來源: metadata.product_event_type 這個值取自原始記錄中的 Source: 欄位,並附加至以硬式編碼方式寫入的字串 Security risk found -
ts metadata.event_timestamp 這個值取自原始記錄中的 ts 欄位。
網址追蹤狀態
使用者 principal.user.userid 這個值取自原始記錄中的 User 欄位。
使用者名稱 principal.user.userid 這個值取自原始記錄中的 User Name 欄位。
使用者名稱: principal.user.userid 這個值取自原始記錄中的 User Name: 欄位。
網域
metadata.description 如果原始記錄包含字串 The client has downloaded,則說明會設為 The client has downloaded {target file name}。如果原始記錄包含字串 The management server received,則說明會設為 The management server received the client log successfully。否則,說明會設為原始記錄中 Event Description 欄位的值。
metadata.event_type 剖析器邏輯會根據原始記錄的內容判斷事件類型。
metadata.log_type 記錄類型已硬式編碼為 SEP
metadata.product_name 產品名稱已硬式編碼為 SEP
metadata.vendor_name 供應商名稱已硬式編碼為 Symantec

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。