Recopila registros de exportación de eventos de Symantec

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros de exportación de eventos de Symantec configurando un feed de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con las siguientes etiquetas de transferencia: SYMANTEC_EVENT_EXPORT y SEP.

Configura la exportación de eventos de Symantec

  1. Accede a la consola de SEP 15/14.2.
  2. Selecciona Integration.
  3. Haz clic en Client Application y copia el ID de cliente y el ID de dominio, que se usan cuando creas un feed de Operaciones de seguridad de Google.
  4. Haz clic en + Agregar y proporciona un nombre para la aplicación.
  5. Haz clic en Agregar.
  6. Ve a la página Detalles y realiza las siguientes acciones:
    • En la sección Administración de grupos de dispositivos, selecciona Ver.
    • En la sección Alerts & Events Rule Management, selecciona View.
    • En la sección Investigation Incident, selecciona View.
  7. Haz clic en Guardar.
  8. Haz clic en el menú (puntos suspensivos verticales) que se ubica al final del nombre de la aplicación y, luego, en Secreto de cliente.
  9. Copia el ID de cliente y el secreto del cliente, que son necesarios cuando configuras el feed de Google Security Operations.

Configura un feed en Google Security Operations para transferir registros de exportación de eventos de Symantec

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del campo.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona Exportación de eventos de Symantec como el Tipo de registro.
  6. Haz clic en Obtener una cuenta de servicio. Google Security Operations proporciona una cuenta de servicio única que usa para transferir datos.
  7. Configura el acceso de la cuenta de servicio para que pueda acceder a los objetos de Cloud Storage. Para obtener más información, consulta Otorga acceso a la cuenta de servicio de Operaciones de seguridad de Google.
  8. Haz clic en Siguiente.
  9. Configura los siguientes parámetros de entrada obligatorios:
    • URI del bucket de almacenamiento: Especifica el URI del bucket de almacenamiento.
    • El URI es un: Especifica el URI.
    • Opción de eliminación de la fuente: Especifica la opción de eliminación de la fuente.
  10. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae campos de los registros de exportación de eventos de Symantec en formato JSON o SYSLOG, y los normaliza y asigna a la UDM. Controla varias estructuras de registro, usa patrones de grok para el análisis de SYSLOG y JSON para registros con formato JSON, y asigna campos a entidades de la UDM, como principal, target, network y security_result.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actor.cmd_line principal.process.command_line El actor.cmd_line del registro sin procesar se asigna directamente a la UDM.
actor.file.full_path principal.process.file.full_path El actor.file.path o file.path del registro sin procesar se asigna directamente a la UDM.
actor.file.md5 principal.process.file.md5 El actor.file.md5 del registro sin procesar se convierte a minúsculas y se asigna directamente a la UDM.
actor.file.sha1 principal.process.file.sha1 El actor.file.sha1 del registro sin procesar se convierte a minúsculas y se asigna directamente a la UDM.
actor.file.sha2 principal.process.file.sha256 El actor.file.sha2 o file.sha2 del registro sin procesar se convierte a minúsculas y se asigna directamente a la UDM.
actor.file.size principal.process.file.size El actor.file.size del registro sin procesar se convierte en una cadena y, luego, en un número entero sin firmar y se asigna directamente a la UDM.
actor.pid principal.process.pid El actor.pid del registro sin procesar se convierte en una cadena y se asigna directamente a la UDM.
actor.user.domain principal.administrative_domain El actor.user.domain del registro sin procesar se asigna directamente a la UDM. Si connection.direction_id es 1, se asigna a target.administrative_domain.
actor.user.name principal.user.user_display_name El actor.user.name del registro sin procesar se asigna directamente a la UDM. Si existe user_name, tiene prioridad.
actor.user.sid principal.user.windows_sid El actor.user.sid del registro sin procesar se asigna directamente a la UDM.
connection.direction_id network.direction Si connection.direction_id es 1 y connection.dst_ip existe, network.direction se establece en INBOUND. Si connection.direction_id es 2 y connection.dst_ip existe, network.direction se establece en OUTBOUND.
connection.dst_ip target.ip El connection.dst_ip del registro sin procesar se asigna directamente a la UDM.
connection.dst_port target.port El connection.dst_port del registro sin procesar se convierte en un número entero y se asigna directamente a la UDM.
connection.src_ip principal.ip El connection.src_ip del registro sin procesar se asigna directamente a la UDM.
connection.src_port principal.port El connection.src_port del registro sin procesar se convierte en un número entero y se asigna directamente a la UDM. Controla los casos en los que connection.src_port es un array.
device_domain principal.administrative_domain o target.administrative_domain El device_domain del registro sin procesar se asigna a principal.administrative_domain si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.administrative_domain.
device_group principal.group.group_display_name o target.group.group_display_name El device_group del registro sin procesar se asigna a principal.group.group_display_name si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.group.group_display_name.
device_ip src.ip El device_ip del registro sin procesar se asigna directamente a la UDM.
device_name principal.hostname o target.hostname El device_name del registro sin procesar se asigna a principal.hostname si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.hostname.
device_networks intermediary.ip, intermediary.mac Se procesa el array device_networks del registro sin procesar. Las direcciones IPv4 e IPv6 se combinan en intermediary.ip. Las direcciones MAC se convierten a minúsculas, los guiones se reemplazan por dos puntos y, luego, se combinan en intermediary.mac.
device_os_name principal.platform_version o target.platform_version El device_os_name del registro sin procesar se asigna a principal.platform_version si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.platform_version.
device_public_ip principal.ip El device_public_ip del registro sin procesar se asigna directamente a la UDM.
device_uid principal.resource.id o target.resource.id El device_uid del registro sin procesar se asigna a principal.resource.id si connection.direction_id no es 1. Si connection.direction_id es 1, se asigna a target.resource.id.
feature_name security_result.category_details El feature_name del registro sin procesar se asigna directamente a la UDM.
file.path principal.process.file.full_path El file.path del registro sin procesar se asigna directamente a la UDM. Si existe actor.file.path, tiene prioridad.
file.sha2 principal.process.file.sha256 El file.sha2 del registro sin procesar se convierte a minúsculas y se asigna directamente a la UDM. Si existe actor.file.sha2, tiene prioridad.
log_time metadata.event_timestamp El log_time del registro sin procesar se analiza con varios formatos de fecha y se usa como la marca de tiempo del evento.
message security_result.summary o network.ip_protocol o metadata.description Se procesa el campo message del registro sin procesar. Si contiene "UDP", network.ip_protocol se establece en "UDP". Si contiene "IP", network.ip_protocol se establece en "IP6IN4". Si contiene "ICMP", network.ip_protocol se establece en "ICMP". De lo contrario, se asigna a security_result.summary. Si existe el campo description, el campo message se asigna a metadata.description.
parent.cmd_line principal.process.parent_process.command_line El parent.cmd_line del registro sin procesar se asigna directamente a la UDM.
parent.pid principal.process.parent_process.pid El parent.pid del registro sin procesar se convierte en una cadena y se asigna directamente a la UDM.
policy.name security_result.rule_name El policy.name del registro sin procesar se asigna directamente a la UDM.
policy.rule_name security_result.description El policy.rule_name del registro sin procesar se asigna directamente a la UDM.
policy.rule_uid security_result.rule_id El policy.rule_uid del registro sin procesar se asigna directamente a la UDM. Si existe policy.uid, tiene prioridad.
policy.uid security_result.rule_id El policy.uid del registro sin procesar se asigna directamente a la UDM.
product_name metadata.product_name El product_name del registro sin procesar se asigna directamente a la UDM.
product_uid metadata.product_log_id El product_uid del registro sin procesar se asigna directamente a la UDM.
product_ver metadata.product_version El product_ver del registro sin procesar se asigna directamente a la UDM.
severity_id security_result.severity Si severity_id es 1, 2 o 3, security_result.severity se establece como INFORMATIONAL. Si es 4, se establece en ERROR. Si es 5, se establece en CRITICAL.
threat.id security_result.threat_id El threat.id del registro sin procesar se convierte en una cadena y se asigna directamente a la UDM.
threat.name security_result.threat_name El threat.name del registro sin procesar se asigna directamente a la UDM.
type_id metadata.event_type, metadata.product_event_type Se usa junto con otros campos para determinar los metadata.event_type y metadata.product_event_type adecuados.
user_email principal.user.email_addresses El user_email del registro sin procesar se combina en la UDM.
user_name principal.user.user_display_name El user_name del registro sin procesar se asigna directamente a la UDM.
uuid target.process.pid Se analiza el uuid del registro sin procesar para extraer el ID de proceso, que se asigna a target.process.pid.
N/A metadata.vendor_name Se establece en "SYMANTEC".
N/A metadata.log_type Se establece en "SYMANTEC_EVENT_EXPORT".
N/A principal.resource.resource_type Se establece en "DEVICE" cuando connection.direction_id no es 1 o está vacío.
N/A target.resource.resource_type Establece en "DEVICE" cuando connection.direction_id sea 1.

Cambios

2023-11-07

  • Se agregó compatibilidad con los registros en formato SYSLOG.
  • Se agregaron verificaciones de "no nulo" a "parent.cmd_line", "parent.pid", "actor.pid", "actor.cmd_line", "device_name", "device_group", "device_os_name", "device_group", "device_domain" y "device_uid" antes de la asignación a la UDM.
  • Se asignó "device_name" a "principal.hostname".
  • Se asignó "user_name" a "principal.user.user_display_name".
  • Se asignó "actor.user.name" a "principal.user.user_display_name".
  • Se asignó “actor.user.domain” a “principal.administrative_domain”.
  • Se asignó "actor.user.sid" a "principal.user.windows_sid".
  • Se asignó "actor.file.size" a "principal.process.file.size".
  • Se asignó "device_public_ip" a "principal.ip".
  • Se asignó "device_networks.ipv6" a "intermediary.ip".
  • Se asignó "user_email" a "principal.user.email_addresses".

2022-08-19

  • Mejora: Se redujo el porcentaje de eventos genéricos.
  • Se asignó "type_id" a event.idm.read_only_udm.metadata.event_type
  • Registros analizados para type_id = 21