Symantec Event Export-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Symantec Event Export-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit den folgenden Aufnahmelabels: SYMANTEC_EVENT_EXPORT und SEP.

Symantec-Ereignisexport konfigurieren

  1. Melden Sie sich in der SEP 15/14.2-Konsole an.
  2. Wählen Sie Integration aus.
  3. Klicken Sie auf Client Application (Clientanwendung) und kopieren Sie die Customer ID (Kunden-ID) und Domain ID (Domain-ID), die beim Erstellen eines Google Security Operations-Feeds verwendet werden.
  4. Klicken Sie auf + Hinzufügen und geben Sie einen Anwendungsnamen ein.
  5. Klicken Sie auf Hinzufügen.
  6. Rufen Sie die Seite Details auf und führen Sie die folgenden Schritte aus:
    • Wählen Sie im Abschnitt Gerätegruppenverwaltung die Option Ansehen aus.
    • Wählen Sie im Bereich Alerts & Events Rule Management (Regelverwaltung für Benachrichtigungen und Ereignisse) die Option View (Ansehen) aus.
    • Wählen Sie im Abschnitt Investigation Incident (Vorfall zur Untersuchung) die Option View (Ansehen) aus.
  7. Klicken Sie auf Speichern.
  8. Klicken Sie auf das Menü (vertikale Ellipsen) am Ende des Anwendungsnamens und dann auf Client-Secret.
  9. Kopieren Sie die Client-ID und den Clientschlüssel, die für die Konfiguration des Google Security Operations-Feeds erforderlich sind.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Symantec Event Export Logs (Symantec-Ereignisexportprotokolle).
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie Symantec Event export als Log Type (Logtyp) aus.
  7. Klicken Sie auf Dienstkonto abrufen. Google Security Operations stellt ein eindeutiges Dienstkonto bereit, das von Google Security Operations zum Erfassen von Daten verwendet wird.
  8. Konfigurieren Sie den Zugriff für das Dienstkonto, damit es auf die Cloud Storage-Objekte zugreifen kann. Weitere Informationen finden Sie unter Zugriff auf das Google Security Operations-Dienstkonto gewähren.
  9. Klicken Sie auf Weiter.
  10. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Storage-Bucket-URI: Geben Sie den Storage-Bucket-URI an.
    • URI is a: Geben Sie den URI an.
    • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
  11. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds.

Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn Sie Probleme beim Erstellen von Feeds haben, wenden Sie sich an den Google Security Operations-Support.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Geben Sie den Storage-Bucket-URI an.
  • URI is a: Geben Sie den URI an.
  • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Felder aus Symantec Event Export-Protokollen im JSON- oder SYSLOG-Format, normalisiert sie und ordnet sie dem UDM zu. Es werden verschiedene Logstrukturen verarbeitet. Dabei werden Grok-Muster für SYSLOG und JSON-Parsing für Logs im JSON-Format verwendet. Außerdem werden Felder UDM-Entitäten wie principal, target, network und security_result zugeordnet.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
actor.cmd_line principal.process.command_line Der actor.cmd_line des Rohlogs wird direkt dem UDM zugeordnet.
actor.file.full_path principal.process.file.full_path actor.file.path oder file.path des Rohlogs wird direkt der UDM zugeordnet.
actor.file.md5 principal.process.file.md5 Der actor.file.md5 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.sha1 principal.process.file.sha1 Der actor.file.sha1 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.sha2 principal.process.file.sha256 Das actor.file.sha2 oder file.sha2 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.size principal.process.file.size Der actor.file.size-Wert des Rohlogs wird in einen String und dann in eine vorzeichenlose Ganzzahl konvertiert und direkt dem UDM zugeordnet.
actor.pid principal.process.pid Der actor.pid des Rohlogs wird in einen String konvertiert und direkt dem UDM zugeordnet.
actor.user.domain principal.administrative_domain Der actor.user.domain des Rohlogs wird direkt dem UDM zugeordnet. Wenn connection.direction_id = 1, wird es target.administrative_domain zugeordnet.
actor.user.name principal.user.user_display_name Der actor.user.name des Rohlogs wird direkt dem UDM zugeordnet. Wenn user_name vorhanden ist, hat es Vorrang.
actor.user.sid principal.user.windows_sid Der actor.user.sid des Rohlogs wird direkt dem UDM zugeordnet.
connection.direction_id network.direction Wenn connection.direction_id = 1 und connection.dst_ip vorhanden ist, wird network.direction auf INBOUND gesetzt. Wenn connection.direction_id = 2 und connection.dst_ip vorhanden ist, wird network.direction auf OUTBOUND gesetzt.
connection.dst_ip target.ip Der connection.dst_ip des Rohlogs wird direkt dem UDM zugeordnet.
connection.dst_port target.port Der connection.dst_port-Wert des Rohlogs wird in eine Ganzzahl konvertiert und direkt dem UDM zugeordnet.
connection.src_ip principal.ip Der connection.src_ip des Rohlogs wird direkt dem UDM zugeordnet.
connection.src_port principal.port Der connection.src_port-Wert des Rohlogs wird in eine Ganzzahl konvertiert und direkt dem UDM zugeordnet. Verarbeitet Fälle, in denen connection.src_port ein Array ist.
device_domain principal.administrative_domain oder target.administrative_domain Der device_domain-Wert des Rohlogs wird principal.administrative_domain zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1, wird es target.administrative_domain zugeordnet.
device_group principal.group.group_display_name oder target.group.group_display_name Der device_group-Wert des Rohlogs wird principal.group.group_display_name zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1, wird es target.group.group_display_name zugeordnet.
device_ip src.ip Der device_ip des Rohlogs wird direkt dem UDM zugeordnet.
device_name principal.hostname oder target.hostname Der device_name-Wert des Rohlogs wird principal.hostname zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1, wird es target.hostname zugeordnet.
device_networks intermediary.ip, intermediary.mac Das device_networks-Array des Rohprotokolls wird verarbeitet. IPv4- und IPv6-Adressen werden in intermediary.ip zusammengeführt. MAC-Adressen werden in Kleinbuchstaben umgewandelt, Bindestriche werden durch Doppelpunkte ersetzt und dann in intermediary.mac zusammengeführt.
device_os_name principal.platform_version oder target.platform_version Der device_os_name-Wert des Rohlogs wird principal.platform_version zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1, wird es target.platform_version zugeordnet.
device_public_ip principal.ip Der device_public_ip des Rohlogs wird direkt dem UDM zugeordnet.
device_uid principal.resource.id oder target.resource.id Der device_uid-Wert des Rohlogs wird principal.resource.id zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1, wird es target.resource.id zugeordnet.
feature_name security_result.category_details Der feature_name des Rohlogs wird direkt dem UDM zugeordnet.
file.path principal.process.file.full_path Der file.path des Rohlogs wird direkt dem UDM zugeordnet. Wenn actor.file.path vorhanden ist, hat es Vorrang.
file.sha2 principal.process.file.sha256 Der file.sha2 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet. Wenn actor.file.sha2 vorhanden ist, hat es Vorrang.
log_time metadata.event_timestamp Der log_time des Rohlogs wird mit verschiedenen Datumsformaten geparst und als Zeitstempel des Ereignisses verwendet.
message security_result.summary oder network.ip_protocol oder metadata.description Das Feld message des Rohprotokolls wird verarbeitet. Wenn es „UDP“ enthält, wird network.ip_protocol auf „UDP“ gesetzt. Wenn sie „IP“ enthält, wird network.ip_protocol auf „IP6IN4“ festgelegt. Wenn sie „ICMP“ enthält, wird network.ip_protocol auf „ICMP“ gesetzt. Andernfalls wird sie security_result.summary zugeordnet. Wenn das Feld description vorhanden ist, wird das Feld message dem Feld metadata.description zugeordnet.
parent.cmd_line principal.process.parent_process.command_line Der parent.cmd_line des Rohlogs wird direkt dem UDM zugeordnet.
parent.pid principal.process.parent_process.pid Der parent.pid des Rohlogs wird in einen String konvertiert und direkt dem UDM zugeordnet.
policy.name security_result.rule_name Der policy.name des Rohlogs wird direkt dem UDM zugeordnet.
policy.rule_name security_result.description Der policy.rule_name des Rohlogs wird direkt dem UDM zugeordnet.
policy.rule_uid security_result.rule_id Der policy.rule_uid des Rohlogs wird direkt dem UDM zugeordnet. Wenn policy.uid vorhanden ist, hat es Vorrang.
policy.uid security_result.rule_id Der policy.uid des Rohlogs wird direkt dem UDM zugeordnet.
product_name metadata.product_name Der product_name des Rohlogs wird direkt dem UDM zugeordnet.
product_uid metadata.product_log_id Der product_uid des Rohlogs wird direkt dem UDM zugeordnet.
product_ver metadata.product_version Der product_ver des Rohlogs wird direkt dem UDM zugeordnet.
severity_id security_result.severity Wenn severity_id 1, 2 oder 3 ist, wird security_result.severity auf INFORMATIONAL gesetzt. Wenn der Wert 4 ist, wird er auf ERROR gesetzt. Wenn der Wert 5 ist, wird er auf CRITICAL gesetzt.
threat.id security_result.threat_id Der threat.id des Rohlogs wird in einen String konvertiert und direkt dem UDM zugeordnet.
threat.name security_result.threat_name Der threat.name des Rohlogs wird direkt dem UDM zugeordnet.
type_id metadata.event_type, metadata.product_event_type Wird in Verbindung mit anderen Feldern verwendet, um die entsprechenden metadata.event_type und metadata.product_event_type zu ermitteln.
user_email principal.user.email_addresses Die user_email des Rohlogs wird in das UDM eingefügt.
user_name principal.user.user_display_name Der user_name des Rohlogs wird direkt dem UDM zugeordnet.
uuid target.process.pid Die uuid des Rohlogs wird geparst, um die Prozess-ID zu extrahieren, die target.process.pid zugeordnet wird.
metadata.vendor_name Legen Sie diesen Wert auf „SYMANTEC“ fest.
metadata.log_type Legen Sie diesen Wert auf „SYMANTEC_EVENT_EXPORT“ fest.
principal.resource.resource_type Wird auf „DEVICE“ festgelegt, wenn connection.direction_id nicht 1 oder leer ist.
target.resource.resource_type Auf „DEVICE“ festlegen, wenn connection.direction_id = 1.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten