Recopila registros de exportación de eventos de Symantec

Compatible con:

En este documento, se describe cómo puedes recopilar registros de Symantec Event Export configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con las siguientes etiquetas de transferencia: SYMANTEC_EVENT_EXPORT y SEP.

Configura la exportación de eventos de Symantec

  1. Accede a la consola de SEP 15/14.2.
  2. Selecciona Integration.
  3. Haz clic en Client Application y copia el ID de cliente y el ID de dominio, que se usan cuando creas un feed de Google Security Operations.
  4. Haz clic en + Agregar y proporciona un nombre de aplicación.
  5. Haz clic en Agregar.
  6. Ve a la página Detalles y realiza las siguientes acciones:
    • En la sección Administración de grupos de dispositivos, selecciona Ver.
    • En la sección Alerts & Events Rule Management, selecciona View.
    • En la sección Incidente de investigación, selecciona Ver.
  7. Haz clic en Guardar.
  8. Haz clic en el menú (puntos suspensivos verticales) que se ubica al final del nombre de la aplicación y, luego, en Client Secret.
  9. Copia el ID de cliente y el secreto del cliente, que son obligatorios cuando configuras el feed de Google Security Operations.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de exportación de eventos de Symantec.
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona Symantec Event export como el Tipo de registro.
  7. Haz clic en Obtener una cuenta de servicio. Google Security Operations proporciona una cuenta de servicio única que usa Google Security Operations para transferir datos.
  8. Configura el acceso de la cuenta de servicio a los objetos de Cloud Storage. Para obtener más información, consulta Otorga acceso a la cuenta de servicio de Google Security Operations.
  9. Haz clic en Siguiente.
  10. Configura los siguientes parámetros de entrada obligatorios:
    • URI del bucket de almacenamiento: Especifica el URI del bucket de almacenamiento.
    • El URI es un: Especifica el URI.
    • Opción de borrado de la fuente: Especifica la opción de borrado de la fuente.
  11. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: Especifica el URI del bucket de almacenamiento.
  • El URI es un: Especifica el URI.
  • Opción de borrado de la fuente: Especifica la opción de borrado de la fuente.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Referencia de la asignación de campos

Este analizador extrae campos de los registros de exportación de eventos de Symantec en formato JSON o SYSLOG, los normaliza y los asigna al UDM. Maneja varias estructuras de registro, usa patrones de grok para SYSLOG y análisis de JSON para registros con formato JSON, y asigna campos a entidades de UDM como principal, target, network y security_result.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actor.cmd_line principal.process.command_line El actor.cmd_line del registro sin procesar se asigna directamente al UDM.
actor.file.full_path principal.process.file.full_path El actor.file.path o el file.path del registro sin procesar se asignan directamente al UDM.
actor.file.md5 principal.process.file.md5 El actor.file.md5 del registro sin procesar se convierte en minúsculas y se asigna directamente al UDM.
actor.file.sha1 principal.process.file.sha1 El actor.file.sha1 del registro sin procesar se convierte en minúsculas y se asigna directamente al UDM.
actor.file.sha2 principal.process.file.sha256 El actor.file.sha2 o file.sha2 del registro sin procesar se convierte a minúsculas y se asigna directamente al UDM.
actor.file.size principal.process.file.size El actor.file.size del registro sin procesar se convierte en una cadena y, luego, en un número entero sin signo, y se asigna directamente al UDM.
actor.pid principal.process.pid El actor.pid del registro sin procesar se convierte en una cadena y se asigna directamente al UDM.
actor.user.domain principal.administrative_domain El actor.user.domain del registro sin procesar se asigna directamente al UDM. Si connection.direction_id es 1, se asigna a target.administrative_domain.
actor.user.name principal.user.user_display_name El actor.user.name del registro sin procesar se asigna directamente al UDM. Si existe user_name, tiene prioridad.
actor.user.sid principal.user.windows_sid El actor.user.sid del registro sin procesar se asigna directamente al UDM.
connection.direction_id network.direction Si connection.direction_id es 1 y connection.dst_ip existe, network.direction se establece en INBOUND. Si connection.direction_id es 2 y connection.dst_ip existe, network.direction se establece en OUTBOUND.
connection.dst_ip target.ip El connection.dst_ip del registro sin procesar se asigna directamente al UDM.
connection.dst_port target.port El connection.dst_port del registro sin procesar se convierte en un número entero y se asigna directamente al UDM.
connection.src_ip principal.ip El connection.src_ip del registro sin procesar se asigna directamente al UDM.
connection.src_port principal.port El connection.src_port del registro sin procesar se convierte en un número entero y se asigna directamente al UDM. Controla los casos en los que connection.src_port es un array.
device_domain principal.administrative_domain o target.administrative_domain El device_domain del registro sin procesar se asigna a principal.administrative_domain si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.administrative_domain.
device_group principal.group.group_display_name o target.group.group_display_name El device_group del registro sin procesar se asigna a principal.group.group_display_name si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.group.group_display_name.
device_ip src.ip El device_ip del registro sin procesar se asigna directamente al UDM.
device_name principal.hostname o target.hostname El device_name del registro sin procesar se asigna a principal.hostname si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.hostname.
device_networks intermediary.ip, intermediary.mac Se procesa el array device_networks del registro sin procesar. Las direcciones IPv4 e IPv6 se combinan en intermediary.ip. Las direcciones MAC se convierten a minúsculas, los guiones se reemplazan por dos puntos y, luego, se combinan en intermediary.mac.
device_os_name principal.platform_version o target.platform_version El device_os_name del registro sin procesar se asigna a principal.platform_version si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.platform_version.
device_public_ip principal.ip El device_public_ip del registro sin procesar se asigna directamente al UDM.
device_uid principal.resource.id o target.resource.id El device_uid del registro sin procesar se asigna a principal.resource.id si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.resource.id.
feature_name security_result.category_details El feature_name del registro sin procesar se asigna directamente al UDM.
file.path principal.process.file.full_path El file.path del registro sin procesar se asigna directamente al UDM. Si existe actor.file.path, tiene prioridad.
file.sha2 principal.process.file.sha256 El file.sha2 del registro sin procesar se convierte en minúsculas y se asigna directamente al UDM. Si existe actor.file.sha2, tiene prioridad.
log_time metadata.event_timestamp El log_time del registro sin procesar se analiza con varios formatos de fecha y se usa como la marca de tiempo del evento.
message security_result.summary o network.ip_protocol o metadata.description Se procesa el campo message del registro sin procesar. Si contiene "UDP", network.ip_protocol se establece en "UDP". Si contiene "IP", network.ip_protocol se establece en "IP6IN4". Si contiene "ICMP", network.ip_protocol se establece en "ICMP". De lo contrario, se asigna a security_result.summary. Si existe el campo description, el campo message se asigna a metadata.description.
parent.cmd_line principal.process.parent_process.command_line El parent.cmd_line del registro sin procesar se asigna directamente al UDM.
parent.pid principal.process.parent_process.pid El parent.pid del registro sin procesar se convierte en una cadena y se asigna directamente al UDM.
policy.name security_result.rule_name El policy.name del registro sin procesar se asigna directamente al UDM.
policy.rule_name security_result.description El policy.rule_name del registro sin procesar se asigna directamente al UDM.
policy.rule_uid security_result.rule_id El policy.rule_uid del registro sin procesar se asigna directamente al UDM. Si existe policy.uid, tiene prioridad.
policy.uid security_result.rule_id El policy.uid del registro sin procesar se asigna directamente al UDM.
product_name metadata.product_name El product_name del registro sin procesar se asigna directamente al UDM.
product_uid metadata.product_log_id El product_uid del registro sin procesar se asigna directamente al UDM.
product_ver metadata.product_version El product_ver del registro sin procesar se asigna directamente al UDM.
severity_id security_result.severity Si severity_id es 1, 2 o 3, security_result.severity se establece en INFORMATIONAL. Si es 4, se establece en ERROR. Si es 5, se establece en CRITICAL.
threat.id security_result.threat_id El threat.id del registro sin procesar se convierte en una cadena y se asigna directamente al UDM.
threat.name security_result.threat_name El threat.name del registro sin procesar se asigna directamente al UDM.
type_id metadata.event_type, metadata.product_event_type Se usa junto con otros campos para determinar los valores de metadata.event_type y metadata.product_event_type adecuados.
user_email principal.user.email_addresses El user_email del registro sin procesar se combina con el UDM.
user_name principal.user.user_display_name El user_name del registro sin procesar se asigna directamente al UDM.
uuid target.process.pid El uuid del registro sin procesar se analiza para extraer el ID del proceso, que se asigna a target.process.pid.
N/A metadata.vendor_name Se establece en "SYMANTEC".
N/A metadata.log_type Se debe establecer en "SYMANTEC_EVENT_EXPORT".
N/A principal.resource.resource_type Se establece en "DEVICE" cuando connection.direction_id no es 1 o está vacío.
N/A target.resource.resource_type Se establece en "DEVICE" cuando connection.direction_id es 1.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.