Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Ekspor Peristiwa Symantec

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Ekspor Peristiwa Symantec dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer berikut: SYMANTEC_EVENT_EXPORT dan SEP.

Mengonfigurasi Ekspor Peristiwa Symantec

Login ke konsol SEP 15/14.2.
Pilih Integrasi.
Klik Aplikasi Klien, lalu salin ID Pelanggan dan ID Domain, yang digunakan saat Anda membuat feed Google Security Operations.
Klik + Tambahkan dan berikan nama aplikasi.
Klik Tambahkan.
Buka halaman Details dan lakukan tindakan berikut:
- Di bagian Devices Group Management, pilih View.
- Di bagian Pengelolaan Aturan Pemberitahuan & Peristiwa, pilih Lihat.
- Di bagian Investigation Incident, pilih View.
Klik Simpan.
Klik menu (elips vertikal) yang terletak di akhir nama aplikasi, lalu klik Client Secret.
Salin client ID dan rahasia klien, yang diperlukan saat Anda mengonfigurasi feed Google Security Operations.

Mengonfigurasi feed di Google Security Operations untuk menyerap log Ekspor Peristiwa Symantec

Buka SIEM Settings > Feeds.
Klik Add New.
Masukkan nama unik untuk Nama Kolom.
Pilih Google Cloud Storage sebagai Source Type.
Pilih Ekspor Peristiwa Symantec sebagai Jenis Log
Klik Dapatkan Akun Layanan. Google Security Operations menyediakan akun layanan unik yang digunakan Google Security Operations untuk menyerap data.
Konfigurasikan akses untuk akun layanan guna mengakses objek Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses ke akun layanan Google Security Operations.
Klik Berikutnya.
Konfigurasikan parameter input wajib berikut:
- Storage bucket URI: tentukan URI bucket penyimpanan.
- URI adalah: tentukan URI.
- Opsi penghapusan sumber: menentukan opsi penghapusan sumber.
Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations.

Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari log Ekspor Peristiwa Symantec dalam format JSON atau SYSLOG, serta menormalisasi dan memetakan kolom tersebut ke UDM. Fungsi ini menangani berbagai struktur log, menggunakan pola grok untuk penguraian SYSLOG dan JSON untuk log berformat JSON, serta memetakan kolom ke entitas UDM seperti principal, target, network, dan security_result.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`actor.cmd_line`	`principal.process.command_line`	`actor.cmd_line` log mentah dipetakan langsung ke UDM.
`actor.file.full_path`	`principal.process.file.full_path`	`actor.file.path` atau `file.path` log mentah dipetakan langsung ke UDM.
`actor.file.md5`	`principal.process.file.md5`	`actor.file.md5` log mentah dikonversi menjadi huruf kecil dan dipetakan langsung ke UDM.
`actor.file.sha1`	`principal.process.file.sha1`	`actor.file.sha1` log mentah dikonversi menjadi huruf kecil dan dipetakan langsung ke UDM.
`actor.file.sha2`	`principal.process.file.sha256`	`actor.file.sha2` atau `file.sha2` log mentah dikonversi menjadi huruf kecil dan dipetakan langsung ke UDM.
`actor.file.size`	`principal.process.file.size`	`actor.file.size` log mentah dikonversi menjadi string, lalu menjadi bilangan bulat tanpa tanda tangan, dan dipetakan langsung ke UDM.
`actor.pid`	`principal.process.pid`	`actor.pid` log mentah dikonversi menjadi string dan dipetakan langsung ke UDM.
`actor.user.domain`	`principal.administrative_domain`	`actor.user.domain` log mentah dipetakan langsung ke UDM. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.administrative_domain`.
`actor.user.name`	`principal.user.user_display_name`	`actor.user.name` log mentah dipetakan langsung ke UDM. Jika ada, `user_name` akan diprioritaskan.
`actor.user.sid`	`principal.user.windows_sid`	`actor.user.sid` log mentah dipetakan langsung ke UDM.
`connection.direction_id`	`network.direction`	Jika `connection.direction_id` adalah 1 dan `connection.dst_ip` ada, `network.direction` akan ditetapkan ke `INBOUND`. Jika `connection.direction_id` adalah 2 dan `connection.dst_ip` ada, `network.direction` akan ditetapkan ke `OUTBOUND`.
`connection.dst_ip`	`target.ip`	`connection.dst_ip` log mentah dipetakan langsung ke UDM.
`connection.dst_port`	`target.port`	`connection.dst_port` log mentah dikonversi menjadi bilangan bulat dan dipetakan langsung ke UDM.
`connection.src_ip`	`principal.ip`	`connection.src_ip` log mentah dipetakan langsung ke UDM.
`connection.src_port`	`principal.port`	`connection.src_port` log mentah dikonversi menjadi bilangan bulat dan dipetakan langsung ke UDM. Menangani kasus saat `connection.src_port` adalah array.
`device_domain`	`principal.administrative_domain` atau `target.administrative_domain`	`device_domain` log mentah dipetakan ke `principal.administrative_domain` jika `connection.direction_id` bukan 1. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.administrative_domain`.
`device_group`	`principal.group.group_display_name` atau `target.group.group_display_name`	`device_group` log mentah dipetakan ke `principal.group.group_display_name` jika `connection.direction_id` bukan 1. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.group.group_display_name`.
`device_ip`	`src.ip`	`device_ip` log mentah dipetakan langsung ke UDM.
`device_name`	`principal.hostname` atau `target.hostname`	`device_name` log mentah dipetakan ke `principal.hostname` jika `connection.direction_id` bukan 1. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.hostname`.
`device_networks`	`intermediary.ip`, `intermediary.mac`	Array `device_networks` log mentah diproses. Alamat IPv4 dan IPv6 digabungkan menjadi `intermediary.ip`. Alamat MAC dikonversi menjadi huruf kecil, tanda hubung diganti dengan titik dua, lalu digabungkan ke dalam `intermediary.mac`.
`device_os_name`	`principal.platform_version` atau `target.platform_version`	`device_os_name` log mentah dipetakan ke `principal.platform_version` jika `connection.direction_id` bukan 1. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.platform_version`.
`device_public_ip`	`principal.ip`	`device_public_ip` log mentah dipetakan langsung ke UDM.
`device_uid`	`principal.resource.id` atau `target.resource.id`	`device_uid` log mentah dipetakan ke `principal.resource.id` jika `connection.direction_id` bukan 1. Jika `connection.direction_id` adalah 1, `connection.direction_id` akan dipetakan ke `target.resource.id`.
`feature_name`	`security_result.category_details`	`feature_name` log mentah dipetakan langsung ke UDM.
`file.path`	`principal.process.file.full_path`	`file.path` log mentah dipetakan langsung ke UDM. Jika ada, `actor.file.path` akan diprioritaskan.
`file.sha2`	`principal.process.file.sha256`	`file.sha2` log mentah dikonversi menjadi huruf kecil dan dipetakan langsung ke UDM. Jika ada, `actor.file.sha2` akan diprioritaskan.
`log_time`	`metadata.event_timestamp`	`log_time` log mentah diuraikan menggunakan berbagai format tanggal dan digunakan sebagai stempel waktu peristiwa.
`message`	`security_result.summary` atau `network.ip_protocol` atau `metadata.description`	Kolom `message` log mentah diproses. Jika berisi "UDP", `network.ip_protocol` ditetapkan ke "UDP". Jika berisi "IP", `network.ip_protocol` ditetapkan ke "IP6IN4". Jika berisi "ICMP", `network.ip_protocol` ditetapkan ke "ICMP". Jika tidak, kolom akan dipetakan ke `security_result.summary`. Jika kolom `description` ada, kolom `message` akan dipetakan ke `metadata.description`.
`parent.cmd_line`	`principal.process.parent_process.command_line`	`parent.cmd_line` log mentah dipetakan langsung ke UDM.
`parent.pid`	`principal.process.parent_process.pid`	`parent.pid` log mentah dikonversi menjadi string dan dipetakan langsung ke UDM.
`policy.name`	`security_result.rule_name`	`policy.name` log mentah dipetakan langsung ke UDM.
`policy.rule_name`	`security_result.description`	`policy.rule_name` log mentah dipetakan langsung ke UDM.
`policy.rule_uid`	`security_result.rule_id`	`policy.rule_uid` log mentah dipetakan langsung ke UDM. Jika ada, `policy.uid` akan diprioritaskan.
`policy.uid`	`security_result.rule_id`	`policy.uid` log mentah dipetakan langsung ke UDM.
`product_name`	`metadata.product_name`	`product_name` log mentah dipetakan langsung ke UDM.
`product_uid`	`metadata.product_log_id`	`product_uid` log mentah dipetakan langsung ke UDM.
`product_ver`	`metadata.product_version`	`product_ver` log mentah dipetakan langsung ke UDM.
`severity_id`	`security_result.severity`	Jika `severity_id` adalah 1, 2, atau 3, `security_result.severity` akan ditetapkan ke `INFORMATIONAL`. Jika 4, nilai ini akan ditetapkan ke `ERROR`. Jika 5, nilai ini akan ditetapkan ke `CRITICAL`.
`threat.id`	`security_result.threat_id`	`threat.id` log mentah dikonversi menjadi string dan dipetakan langsung ke UDM.
`threat.name`	`security_result.threat_name`	`threat.name` log mentah dipetakan langsung ke UDM.
`type_id`	`metadata.event_type`, `metadata.product_event_type`	Digunakan bersama dengan kolom lain untuk menentukan `metadata.event_type` dan `metadata.product_event_type` yang sesuai.
`user_email`	`principal.user.email_addresses`	`user_email` log mentah digabungkan ke UDM.
`user_name`	`principal.user.user_display_name`	`user_name` log mentah dipetakan langsung ke UDM.
`uuid`	`target.process.pid`	`uuid` log mentah diuraikan untuk mengekstrak ID proses, yang dipetakan ke `target.process.pid`.
T/A	`metadata.vendor_name`	Tetapkan ke "SYMANTEC".
T/A	`metadata.log_type`	Tetapkan ke "SYMANTEC_EVENT_EXPORT".
T/A	`principal.resource.resource_type`	Tetapkan ke "DEVICE" jika `connection.direction_id` bukan 1 atau kosong.
T/A	`target.resource.resource_type`	Tetapkan ke "DEVICE" jika `connection.direction_id` adalah 1.

Perubahan

2023-11-07

Menambahkan dukungan untuk log format SYSLOG.
Menambahkan pemeriksaan "not null" ke "parent.cmd_line", "parent.pid", "actor.pid", "actor.cmd_line", "device_name", "device_group", "device_os_name", "device_group", "device_domain", "device_uid" sebelum pemetaan ke UDM.
Memetakan "device_name" ke "principal.hostname".
Memetakan "user_name" ke "principal.user.user_display_name".
Memetakan "actor.user.name" ke "principal.user.user_display_name".
Memetakan "actor.user.domain" ke "principal.administrative_domain".
Memetakan "actor.user.sid" ke "principal.user.windows_sid".
Memetakan "actor.file.size" ke "principal.process.file.size".
Memetakan "device_public_ip" ke "principal.ip".
Memetakan "device_networks.ipv6" ke "intermediary.ip".
Memetakan "user_email" ke "principal.user.email_addresses".

2022-08-19

peningkatan - mengurangi persentase peristiwa generik.
Memetakan "type_id" ke event.idm.read_only_udm.metadata.event_type
Log yang diuraikan untuk type_id = 21