收集 Symantec Endpoint Protection 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Symantec Endpoint Protection 記錄擷取至 Google Security Operations。剖析器會處理 SYSLOG 或 KV 格式的記錄,首先從記錄資料中的各種格式擷取時間戳記。接著,系統會使用另一個設定檔 (sep_pt2.include
) 進一步剖析及建構記錄事件,並確保只有在成功擷取初始時間戳記時,才能順利處理事件。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本或 Linux 主機 (含 systemd)
- 如果透過 Proxy 執行,防火牆通訊埠已開啟
- Symantec Endpoint Protection 平台特殊權限存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml
檔案。通常位於 Linux 的/etc/bindplane-agent/
目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano
、vi
或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml
檔案:receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>
替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json
更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent
如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec Endpoint Protection 中設定 Syslog
- 登入 Symantec Endpoint Protection Manager 網頁 UI。
- 按一下「管理員」圖示。
- 找到「View Servers」(查看伺服器) 部分,然後按一下「Servers」(伺服器)。
- 依序點選「本機網站」>「設定外部記錄」。
- 勾選「Enable Transmission of Logs to a Syslog Server」(啟用將記錄傳輸至 Syslog 伺服器) 核取方塊。
- 提供下列設定詳細資料:
- 系統記錄伺服器:輸入 Bindplane IP 位址。
- UDP 目的地通訊埠:輸入 Bindplane 通訊埠編號 (例如 UDP 的
514
)。 - 記錄設施:輸入 Local6。
- 勾選「稽核記錄」核取方塊。
- 勾選「安全性記錄」核取方塊。
- 勾選「風險」核取方塊。
- 按一下 [確定]。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
動作 | security_result.action | 這個值取自原始記錄中的 Action 欄位,並對應至 UDM 動作。 |
動作類型 | security_result.action_details | 這個值取自原始記錄中的 Action Type 欄位。 |
管理員 | ||
允許應用程式的原因 | security_result.action_details | 這個值取自原始記錄中的 Allowed application reason 欄位。 |
應用程式 | principal.process.command_line | 這個值取自原始記錄中的 Application 欄位。 |
應用程式雜湊 | target.file.sha256 | 這個值取自原始記錄中的 Application hash 欄位。 |
應用程式名稱 | target.application | 這個值取自原始記錄中的 Application name 欄位。 |
應用程式類型 | target.resource.attribute.labels.value | 這個值取自原始記錄中的 Application type 欄位。金鑰是以硬式編碼設為 Application Type 。 |
應用程式版本 | target.application.version | 這個值取自原始記錄中的 Application version 欄位。 |
開始 | ||
開始時間 | extensions.vulns.vulnerabilities.scan_start_time | 這個值取自原始記錄中的 Begin Time 欄位。 |
開始: | extensions.vulns.vulnerabilities.scan_start_time | 這個值取自原始記錄中的 Begin: 欄位。 |
類別 | principal.resource.attribute.labels.value | 這個值取自原始記錄中的 Category 欄位。金鑰是以硬式編碼設為 Category 。 |
已設定類別 | security_result.category | 這個值取自原始記錄中的 Category set 欄位,並對應至 UDM 類別。 |
類別類型 | security_result.category_details | 這個值取自原始記錄中的 Category type 欄位。 |
CIDS 簽章 ID | ||
CIDS 簽章字串 | security_result.summary | 這個值取自原始記錄中的 CIDS Signature string 欄位。 |
CIDS 簽章子 ID | ||
用戶端政策 | ||
指令 | ||
電腦 | target.hostname | 這個值取自原始記錄中的 Computer 欄位。 |
電腦名稱 | principal.hostname | 這個值取自原始記錄中的 Computer name 欄位。 |
可信度 | security_result.confidence_details | 這個值取自原始記錄中的 Confidence 欄位。 |
資料 | ||
說明 | security_result.action_details | 這個值取自原始記錄中的 Description 欄位。 |
說明: | security_result.action_details | 這個值取自原始記錄中的 Description: 欄位。 |
偵測分數 | ||
偵測提交次數 | ||
偵測類型 | security_result.summary | 這個值取自原始記錄中的 Detection type 欄位。 |
裝置 ID | target.asset.hostname | 這個值取自原始記錄中的 Device ID 欄位。 |
處理方式 | security_result.action | 這個值取自原始記錄中的 Disposition 欄位,並對應至 UDM 動作。 |
網域 | principal.administrative_domain | 這個值取自原始記錄中的 Domain 欄位。 |
網域名稱 | principal.administrative_domain | 這個值取自原始記錄中的 Domain Name 欄位。 |
網域名稱: | principal.administrative_domain | 這個值取自原始記錄中的 Domain Name: 欄位。 |
下載者 | principal.process.file.full_path | 這個值取自原始記錄中的 Downloaded by 欄位。 |
下載網站 | ||
時間長度 (秒) | extensions.vulns.vulnerabilities.scan_end_time | 這個值取自原始記錄中的 Duration (seconds) 欄位,並會加到掃描開始時間。 |
結束 | ||
結束時間 | extensions.vulns.vulnerabilities.scan_end_time | 這個值取自原始記錄中的 End Time 欄位。 |
結束時間: | extensions.vulns.vulnerabilities.scan_end_time | 這個值取自原始記錄中的 End Time: 欄位。 |
結尾值: | extensions.vulns.vulnerabilities.scan_end_time | 這個值取自原始記錄中的 End: 欄位。 |
事件說明 | metadata.description | 這個值取自原始記錄中的 Event Description 欄位。 |
活動說明: | metadata.description | 這個值取自原始記錄中的 Event Description: 欄位。 |
事件插入時間 | ||
事件時間 | metadata.event_timestamp | 這個值取自原始記錄中的 Event time 欄位。 |
活動時間: | metadata.event_timestamp | 這個值取自原始記錄中的 Event time: 欄位。 |
事件類型 | metadata.product_event_type | 這個值取自原始記錄中的 Event Type 欄位。 |
活動類型: | metadata.product_event_type | 這個值取自原始記錄中的 Event Type: 欄位。 |
檔案路徑 | target.file.full_path | 這個值取自原始記錄中的 File path 欄位。 |
檔案路徑: | target.file.full_path | 這個值取自原始記錄中的 File path: 欄位。 |
檔案大小 (位元組) | target.file.size | 這個值取自原始記錄中的 File size (bytes) 欄位。 |
首次出現時間 | security_result.action_details | 這個值取自原始記錄中的 First Seen 欄位。 |
首次出現時間: | security_result.action_details | 這個值取自原始記錄中的 First Seen: 欄位。 |
群組 | principal.group.group_display_name | 這個值取自原始記錄中的 Group 欄位。 |
群組名稱 | principal.group.group_display_name | 這個值取自原始記錄中的 Group Name 欄位。 |
群組名稱: | principal.group.group_display_name | 這個值取自原始記錄中的 Group Name: 欄位。 |
雜湊類型 | target.resource.attribute.labels.value | 這個值取自原始記錄中的 Hash type 欄位。金鑰是以硬式編碼設為 Hash Type 。 |
嚴密防護等級 | ||
入侵 ID | ||
入侵酬載網址 | ||
入侵網址 | ||
IP 位址 | principal.ip | 這個值取自原始記錄中的 IP Address 欄位。 |
IP 位址: | principal.ip | 這個值取自原始記錄中的 IP Address: 欄位。 |
上次更新時間 | ||
本機主機 | principal.ip | 這個值取自原始記錄中的 Local Host 欄位。 |
本機主機 IP | principal.ip | 這個值取自原始記錄中的 Local Host IP 欄位。 |
本機主機 MAC | principal.mac | 這個值取自原始記錄中的 Local Host MAC 欄位。 |
本機通訊埠 | principal.port | 這個值取自原始記錄中的 Local Port 欄位。 |
位置 | ||
MD-5 | ||
發生次數 | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的 Occurrences 欄位。金鑰是以硬式編碼設為 Occurrences 。 |
允許應用程式的原因 | security_result.action_details | 這個值取自原始記錄中的 Permitted application reason 欄位。 |
出現次數 | security_result.description | 這個值取自原始記錄中的 Prevalence 欄位。 |
遠端路徑 | target.file.full_path | 這個值取自原始記錄中的 Remote file path 欄位。 |
遠端主機 IP | target.ip | 這個值取自原始記錄中的 Remote Host IP 欄位。 |
遠端主機 MAC | target.mac | 這個值取自原始記錄中的 Remote Host MAC 欄位。 |
遠端主機名稱 | target.hostname | 這個值取自原始記錄中的 Remote Host Name 欄位。 |
遠端通訊埠 | target.port | 這個值取自原始記錄中的 Remote Port 欄位。 |
要求的動作 | security_result.action | 這個值取自原始記錄中的 Requested action 欄位,並對應至 UDM 動作。 |
風險等級 | security_result.severity | 這個值取自原始記錄中的 Risk Level 欄位,並對應至 UDM 嚴重程度。 |
風險名稱 | security_result.threat_name | 這個值取自原始記錄中的 Risk name 欄位。 |
風險類型 | security_result.detection_fields.value | 這個值取自原始記錄中的 Risk type 欄位。金鑰是以硬式編碼設為 Risk Type 。 |
規則 | principal.resource.name | 這個值取自原始記錄中的 Rule 欄位。 |
規則: | principal.resource.name | 這個值取自原始記錄中的 Rule: 欄位。 |
掃描 ID | extensions.vulns.vulnerabilities.name | 這個值取自原始記錄中的 Scan ID 欄位。 |
掃描 ID: | extensions.vulns.vulnerabilities.name | 這個值取自原始記錄中的 Scan ID: 欄位。 |
掃描類型 | ||
次要動作 | target.resource.attribute.labels.value | 這個值取自原始記錄中的 Secondary action 欄位。金鑰是以硬式編碼設為 Secondary action 。 |
發現安全性風險 | metadata.description | 這個值取自原始記錄中的 Security risk found 欄位。 |
伺服器 | intermediary.hostname | 這個值取自原始記錄中的 Server 欄位。 |
伺服器名稱 | intermediary.hostname | 這個值取自原始記錄中的 Server Name 欄位。 |
伺服器名稱: | intermediary.hostname | 這個值取自原始記錄中的 Server Name: 欄位。 |
SHA-256 | principal.process.file.sha256 | 這個值取自原始記錄中的 SHA-256 欄位。 |
網站 | additional.fields.value.string_value | 這個值取自原始記錄中的 Site 欄位。金鑰是以硬式編碼設為 Site Name 。 |
網站名稱 | additional.fields.value.string_value | 這個值取自原始記錄中的 Site Name 欄位。金鑰是以硬式編碼設為 Site Name 。 |
網站: | additional.fields.value.string_value | 這個值取自原始記錄中的 Site: 欄位。金鑰是以硬式編碼設為 Site Name 。 |
來源 | metadata.product_event_type | 這個值取自原始記錄中的 Source 欄位,並附加至以硬式編碼方式寫入的字串 Security risk found - 。 |
來源電腦 | ||
來源電腦: | ||
來源 IP | ||
來源 IP: | ||
資料來源: | metadata.product_event_type | 這個值取自原始記錄中的 Source: 欄位,並附加至以硬式編碼方式寫入的字串 Security risk found - 。 |
ts | metadata.event_timestamp | 這個值取自原始記錄中的 ts 欄位。 |
網址追蹤狀態 | ||
使用者 | principal.user.userid | 這個值取自原始記錄中的 User 欄位。 |
使用者名稱 | principal.user.userid | 這個值取自原始記錄中的 User Name 欄位。 |
使用者名稱: | principal.user.userid | 這個值取自原始記錄中的 User Name: 欄位。 |
網域 | ||
metadata.description | 如果原始記錄包含字串 The client has downloaded ,則說明會設為 The client has downloaded {target file name} 。如果原始記錄包含字串 The management server received ,則說明會設為 The management server received the client log successfully 。否則,說明會設為原始記錄中 Event Description 欄位的值。 |
|
metadata.event_type | 剖析器邏輯會根據原始記錄的內容判斷事件類型。 | |
metadata.log_type | 記錄類型已硬式編碼為 SEP 。 |
|
metadata.product_name | 產品名稱已硬式編碼為 SEP 。 |
|
metadata.vendor_name | 供應商名稱已硬式編碼為 Symantec 。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。