Esta página se ha traducido con Cloud Translation API.

Recoger registros de exportación de eventos de Symantec

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo puede recoger registros de exportación de eventos de Symantec configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con las siguientes etiquetas de ingesta: SYMANTEC_EVENT_EXPORT y SEP.

Configurar la exportación de eventos de Symantec

Inicia sesión en la consola de SEP 15 o 14.2.
Selecciona Integration (Integración).
Haga clic en Aplicación cliente y copie el ID de cliente y el ID de dominio, que se usan al crear un feed de Google Security Operations.
Haz clic en + Añadir y proporciona un nombre de aplicación.
Haz clic en Añadir.
Ve a la página Detalles y haz lo siguiente:
- En la sección Gestión de grupos de dispositivos, selecciona Ver.
- En la sección Gestión de reglas de alertas y eventos, selecciona Ver.
- En la sección Investigation Incident (Incidencia de investigación), selecciona View (Ver).
Haz clic en Guardar.
Haz clic en el menú (elipses verticales) situado al final del nombre de la aplicación y, a continuación, en Secreto de cliente.
Copia el ID de cliente y el secreto de cliente, que son obligatorios para configurar el feed de Google Security Operations.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de exportación de eventos de Symantec).
Seleccione Google Cloud Storage V2 como Tipo de origen.
Seleccione Exportación de eventos de Symantec como Tipo de registro.
Haz clic en Obtener una cuenta de servicio. Google Security Operations proporciona una cuenta de servicio única que utiliza para ingerir datos.
Configura el acceso de la cuenta de servicio a los objetos de Cloud Storage. Para obtener más información, consulta Conceder acceso a la cuenta de servicio de Google Security Operations.
Haz clic en Siguiente.
Configure los siguientes parámetros de entrada obligatorios:
- URI del segmento de almacenamiento: especifica el URI del segmento de almacenamiento.
- Opción de eliminación de la fuente: especifica la opción de eliminación de la fuente.
- Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
Haz clic en Siguiente y, a continuación, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations.

Para obtener información sobre los requisitos de cada tipo de feed, consulta el artículo Configuración de feeds por tipo.

Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Referencia de asignación de campos

Este analizador extrae campos de los registros de exportación de eventos de Symantec en formato JSON o SYSLOG, los normaliza y los asigna al UDM. Gestiona varias estructuras de registro, utiliza patrones grok para SYSLOG y el análisis JSON para los registros con formato JSON, y asigna campos a entidades de UDM como principal, target, network y security_result.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`actor.cmd_line`	`principal.process.command_line`	El `actor.cmd_line` del registro sin procesar se asigna directamente a UDM.
`actor.file.full_path`	`principal.process.file.full_path`	El `actor.file.path` o el `file.path` del registro sin procesar se asigna directamente a UDM.
`actor.file.md5`	`principal.process.file.md5`	El `actor.file.md5` del registro sin procesar se convierte a minúsculas y se asigna directamente al modelo de datos unificado.
`actor.file.sha1`	`principal.process.file.sha1`	El `actor.file.sha1` del registro sin procesar se convierte a minúsculas y se asigna directamente al modelo de datos unificado.
`actor.file.sha2`	`principal.process.file.sha256`	El valor `actor.file.sha2` o `file.sha2` del registro sin procesar se convierte a minúsculas y se asigna directamente al UDM.
`actor.file.size`	`principal.process.file.size`	El `actor.file.size` del registro sin procesar se convierte en una cadena y, después, en un número entero sin signo, y se asigna directamente al modelo de datos unificado.
`actor.pid`	`principal.process.pid`	El `actor.pid` del registro sin procesar se convierte en una cadena y se asigna directamente a UDM.
`actor.user.domain`	`principal.administrative_domain`	El `actor.user.domain` del registro sin procesar se asigna directamente a UDM. Si `connection.direction_id` es 1, se asigna a `target.administrative_domain`.
`actor.user.name`	`principal.user.user_display_name`	El `actor.user.name` del registro sin procesar se asigna directamente a UDM. Si `user_name` existe, tiene prioridad.
`actor.user.sid`	`principal.user.windows_sid`	El `actor.user.sid` del registro sin procesar se asigna directamente a UDM.
`connection.direction_id`	`network.direction`	Si `connection.direction_id` es 1 y `connection.dst_ip` existe, `network.direction` se establece en `INBOUND`. Si `connection.direction_id` es 2 y `connection.dst_ip` existe, `network.direction` se define como `OUTBOUND`.
`connection.dst_ip`	`target.ip`	El `connection.dst_ip` del registro sin procesar se asigna directamente a UDM.
`connection.dst_port`	`target.port`	El `connection.dst_port` del registro sin procesar se convierte en un número entero y se asigna directamente al modelo de datos unificado.
`connection.src_ip`	`principal.ip`	El `connection.src_ip` del registro sin procesar se asigna directamente a UDM.
`connection.src_port`	`principal.port`	El `connection.src_port` del registro sin procesar se convierte en un número entero y se asigna directamente al modelo de datos unificado. Gestiona los casos en los que `connection.src_port` es un array.
`device_domain`	`principal.administrative_domain` o `target.administrative_domain`	El `device_domain` del registro sin procesar se asigna a `principal.administrative_domain` si `connection.direction_id` no es 1. Si `connection.direction_id` es 1, se asigna a `target.administrative_domain`.
`device_group`	`principal.group.group_display_name` o `target.group.group_display_name`	El `device_group` del registro sin procesar se asigna a `principal.group.group_display_name` si `connection.direction_id` no es 1. Si `connection.direction_id` es 1, se asigna a `target.group.group_display_name`.
`device_ip`	`src.ip`	El `device_ip` del registro sin procesar se asigna directamente a UDM.
`device_name`	`principal.hostname` o `target.hostname`	El `device_name` del registro sin procesar se asigna a `principal.hostname` si `connection.direction_id` no es 1. Si `connection.direction_id` es 1, se asigna a `target.hostname`.
`device_networks`	`intermediary.ip`, `intermediary.mac`	Se procesa la matriz `device_networks` del registro sin procesar. Las direcciones IPv4 e IPv6 se combinan en `intermediary.ip`. Las direcciones MAC se convierten a minúsculas, los guiones se sustituyen por dos puntos y, a continuación, se combinan en `intermediary.mac`.
`device_os_name`	`principal.platform_version` o `target.platform_version`	El `device_os_name` del registro sin procesar se asigna a `principal.platform_version` si `connection.direction_id` no es 1. Si `connection.direction_id` es 1, se asigna a `target.platform_version`.
`device_public_ip`	`principal.ip`	El `device_public_ip` del registro sin procesar se asigna directamente a UDM.
`device_uid`	`principal.resource.id` o `target.resource.id`	El `device_uid` del registro sin procesar se asigna a `principal.resource.id` si `connection.direction_id` no es 1. Si `connection.direction_id` es 1, se asigna a `target.resource.id`.
`feature_name`	`security_result.category_details`	El `feature_name` del registro sin procesar se asigna directamente a UDM.
`file.path`	`principal.process.file.full_path`	El `file.path` del registro sin procesar se asigna directamente a UDM. Si `actor.file.path` existe, tiene prioridad.
`file.sha2`	`principal.process.file.sha256`	El `file.sha2` del registro sin procesar se convierte a minúsculas y se asigna directamente al modelo de datos unificado. Si `actor.file.sha2` existe, tiene prioridad.
`log_time`	`metadata.event_timestamp`	La `log_time` del registro sin procesar se analiza con varios formatos de fecha y se usa como marca de tiempo del evento.
`message`	`security_result.summary`, `network.ip_protocol` o `metadata.description`	Se procesa el campo `message` del registro sin procesar. Si contiene "UDP", `network.ip_protocol` se asigna a "UDP". Si contiene "IP", `network.ip_protocol` se define como "IP6IN4". Si contiene "ICMP", `network.ip_protocol` se asigna a "ICMP". De lo contrario, se asigna a `security_result.summary`. Si el campo `description` existe, el campo `message` se asigna a `metadata.description`.
`parent.cmd_line`	`principal.process.parent_process.command_line`	El `parent.cmd_line` del registro sin procesar se asigna directamente a UDM.
`parent.pid`	`principal.process.parent_process.pid`	El `parent.pid` del registro sin procesar se convierte en una cadena y se asigna directamente a UDM.
`policy.name`	`security_result.rule_name`	El `policy.name` del registro sin procesar se asigna directamente a UDM.
`policy.rule_name`	`security_result.description`	El `policy.rule_name` del registro sin procesar se asigna directamente a UDM.
`policy.rule_uid`	`security_result.rule_id`	El `policy.rule_uid` del registro sin procesar se asigna directamente a UDM. Si `policy.uid` existe, tiene prioridad.
`policy.uid`	`security_result.rule_id`	El `policy.uid` del registro sin procesar se asigna directamente a UDM.
`product_name`	`metadata.product_name`	El `product_name` del registro sin procesar se asigna directamente a UDM.
`product_uid`	`metadata.product_log_id`	El `product_uid` del registro sin procesar se asigna directamente a UDM.
`product_ver`	`metadata.product_version`	El `product_ver` del registro sin procesar se asigna directamente a UDM.
`severity_id`	`security_result.severity`	Si `severity_id` es 1, 2 o 3, `security_result.severity` se establece en `INFORMATIONAL`. Si es 4, se le asigna el valor `ERROR`. Si es 5, se le asigna el valor `CRITICAL`.
`threat.id`	`security_result.threat_id`	El `threat.id` del registro sin procesar se convierte en una cadena y se asigna directamente a UDM.
`threat.name`	`security_result.threat_name`	El `threat.name` del registro sin procesar se asigna directamente a UDM.
`type_id`	`metadata.event_type`, `metadata.product_event_type`	Se usa junto con otros campos para determinar los valores de `metadata.event_type` y `metadata.product_event_type` adecuados.
`user_email`	`principal.user.email_addresses`	El `user_email` del registro sin procesar se combina con el UDM.
`user_name`	`principal.user.user_display_name`	El `user_name` del registro sin procesar se asigna directamente a UDM.
`uuid`	`target.process.pid`	El `uuid` del registro sin procesar se analiza para extraer el ID de proceso, que se asigna a `target.process.pid`.
N/A	`metadata.vendor_name`	Asigna el valor "SYMANTEC".
N/A	`metadata.log_type`	Asigna el valor "SYMANTEC_EVENT_EXPORT".
N/A	`principal.resource.resource_type`	Se asigna el valor "DEVICE" cuando `connection.direction_id` no es 1 o está vacío.
N/A	`target.resource.resource_type`	Se asigna el valor "DEVICE" cuando `connection.direction_id` es 1.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.