Raccogliere i log di Symantec Event Export
Questo documento descrive come raccogliere i log di Symantec Event Export configurando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con le seguenti etichette di importazione: SYMANTEC_EVENT_EXPORT
e SEP
.
Configurare l'esportazione di eventi Symantec
- Accedi alla console SEP 15/14.2.
- Seleziona Integration (Integrazione).
- Fai clic su Applicazione client e copia l'ID cliente e l'ID dominio, che vengono utilizzati quando crei un feed di Google Security Operations.
- Fai clic su + Aggiungi e fornisci un nome per l'applicazione.
- Fai clic su Aggiungi.
- Vai alla pagina Dettagli ed esegui le seguenti azioni:
- Nella sezione Gestione gruppi di dispositivi, seleziona Visualizza.
- Nella sezione Gestione delle regole di avvisi ed eventi, seleziona Visualizza.
- Nella sezione Incidente di indagine, seleziona Visualizza.
- Fai clic su Salva.
- Fai clic sul menu (i tre puntini verticali) alla fine del nome dell'applicazione e poi su Secret client.
- Copia l'ID client e il client secret, che sono necessari per configurare il feed di Google Security Operations.
Configura un feed in Google Security Operations per importare i log di esportazione eventi di Symantec
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona Google Cloud Storage come Tipo di origine.
- Seleziona Esportazione eventi Symantec come Tipo di log.
- Fai clic su Genera un account di servizio. Google Security Operations fornisce un account di servizio univoco utilizzato da Google Security Operations per importare i dati.
- Configura l'accesso per l'account di servizio in modo che possa accedere agli oggetti Cloud Storage. Per ulteriori informazioni, vedi Concedere l'accesso all'account di servizio Google Security Operations.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- URI del bucket di archiviazione: specifica l'URI del bucket di archiviazione.
- L'URI è un: specifica l'URI.
- Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations.
Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i campi dai log di esportazione eventi di Symantec in formato JSON o SYSLOG, normalizzandoli e mappandoli all'UDM. Gestisce varie strutture di log, utilizzando pattern grok per l'analisi di SYSLOG e JSON per i log in formato JSON e mappa i campi alle entità UDM come principal
, target
, network
e security_result
.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
actor.cmd_line |
principal.process.command_line |
Il campo actor.cmd_line del log non elaborato è mappato direttamente all'UDM. |
actor.file.full_path |
principal.process.file.full_path |
actor.file.path o file.path del log non elaborato è mappato direttamente all'UDM. |
actor.file.md5 |
principal.process.file.md5 |
Il valore actor.file.md5 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM. |
actor.file.sha1 |
principal.process.file.sha1 |
Il valore actor.file.sha1 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM. |
actor.file.sha2 |
principal.process.file.sha256 |
Il valore actor.file.sha2 o file.sha2 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM. |
actor.file.size |
principal.process.file.size |
Il valore actor.file.size del log non elaborato viene convertito in una stringa e poi in un numero intero senza segno e mappato direttamente all'UDM. |
actor.pid |
principal.process.pid |
Il campo actor.pid del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM. |
actor.user.domain |
principal.administrative_domain |
Il campo actor.user.domain del log non elaborato è mappato direttamente all'UDM. Se connection.direction_id è 1, viene mappato a target.administrative_domain . |
actor.user.name |
principal.user.user_display_name |
Il campo actor.user.name del log non elaborato è mappato direttamente all'UDM. Se user_name esiste, ha la precedenza. |
actor.user.sid |
principal.user.windows_sid |
Il campo actor.user.sid del log non elaborato è mappato direttamente all'UDM. |
connection.direction_id |
network.direction |
Se connection.direction_id è 1 ed esiste connection.dst_ip , network.direction viene impostato su INBOUND . Se connection.direction_id è 2 ed esiste connection.dst_ip , network.direction viene impostato su OUTBOUND . |
connection.dst_ip |
target.ip |
Il campo connection.dst_ip del log non elaborato è mappato direttamente all'UDM. |
connection.dst_port |
target.port |
Il valore connection.dst_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM. |
connection.src_ip |
principal.ip |
Il campo connection.src_ip del log non elaborato è mappato direttamente all'UDM. |
connection.src_port |
principal.port |
Il valore connection.src_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM. Gestisce i casi in cui connection.src_port è un array. |
device_domain |
principal.administrative_domain o target.administrative_domain |
Il valore device_domain del log non elaborato viene mappato a principal.administrative_domain se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.administrative_domain . |
device_group |
principal.group.group_display_name o target.group.group_display_name |
Il valore device_group del log non elaborato viene mappato a principal.group.group_display_name se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.group.group_display_name . |
device_ip |
src.ip |
Il campo device_ip del log non elaborato è mappato direttamente all'UDM. |
device_name |
principal.hostname o target.hostname |
Il valore device_name del log non elaborato viene mappato a principal.hostname se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.hostname . |
device_networks |
intermediary.ip , intermediary.mac |
L'array device_networks del log non elaborato viene elaborato. Gli indirizzi IPv4 e IPv6 vengono uniti in intermediary.ip . Gli indirizzi MAC vengono convertiti in lettere minuscole, i trattini vengono sostituiti da due punti e poi uniti in intermediary.mac . |
device_os_name |
principal.platform_version o target.platform_version |
Il valore device_os_name del log non elaborato viene mappato a principal.platform_version se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.platform_version . |
device_public_ip |
principal.ip |
Il campo device_public_ip del log non elaborato è mappato direttamente all'UDM. |
device_uid |
principal.resource.id o target.resource.id |
Il valore device_uid del log non elaborato viene mappato a principal.resource.id se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.resource.id . |
feature_name |
security_result.category_details |
Il campo feature_name del log non elaborato è mappato direttamente all'UDM. |
file.path |
principal.process.file.full_path |
Il campo file.path del log non elaborato è mappato direttamente all'UDM. Se actor.file.path esiste, ha la precedenza. |
file.sha2 |
principal.process.file.sha256 |
Il valore file.sha2 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM. Se actor.file.sha2 esiste, ha la precedenza. |
log_time |
metadata.event_timestamp |
Il campo log_time del log non elaborato viene analizzato utilizzando vari formati di data e utilizzato come timestamp dell'evento. |
message |
security_result.summary , network.ip_protocol o metadata.description |
Il campo message del log non elaborato viene elaborato. Se contiene "UDP", network.ip_protocol viene impostato su "UDP". Se contiene "IP", network.ip_protocol è impostato su "IP6IN4". Se contiene "ICMP", network.ip_protocol viene impostato su "ICMP". In caso contrario, viene mappato a security_result.summary . Se il campo description esiste, il campo message viene mappato a metadata.description . |
parent.cmd_line |
principal.process.parent_process.command_line |
Il campo parent.cmd_line del log non elaborato è mappato direttamente all'UDM. |
parent.pid |
principal.process.parent_process.pid |
Il campo parent.pid del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM. |
policy.name |
security_result.rule_name |
Il campo policy.name del log non elaborato è mappato direttamente all'UDM. |
policy.rule_name |
security_result.description |
Il campo policy.rule_name del log non elaborato è mappato direttamente all'UDM. |
policy.rule_uid |
security_result.rule_id |
Il campo policy.rule_uid del log non elaborato è mappato direttamente all'UDM. Se policy.uid esiste, ha la precedenza. |
policy.uid |
security_result.rule_id |
Il campo policy.uid del log non elaborato è mappato direttamente all'UDM. |
product_name |
metadata.product_name |
Il campo product_name del log non elaborato è mappato direttamente all'UDM. |
product_uid |
metadata.product_log_id |
Il campo product_uid del log non elaborato è mappato direttamente all'UDM. |
product_ver |
metadata.product_version |
Il campo product_ver del log non elaborato è mappato direttamente all'UDM. |
severity_id |
security_result.severity |
Se severity_id è 1, 2 o 3, security_result.severity viene impostato su INFORMATIONAL . Se è 4, è impostato su ERROR . Se è 5, è impostato su CRITICAL . |
threat.id |
security_result.threat_id |
Il campo threat.id del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM. |
threat.name |
security_result.threat_name |
Il campo threat.name del log non elaborato è mappato direttamente all'UDM. |
type_id |
metadata.event_type , metadata.product_event_type |
Utilizzato in combinazione con altri campi per determinare i valori metadata.event_type e metadata.product_event_type appropriati. |
user_email |
principal.user.email_addresses |
Il campo user_email del log non elaborato viene unito all'UDM. |
user_name |
principal.user.user_display_name |
Il campo user_name del log non elaborato è mappato direttamente all'UDM. |
uuid |
target.process.pid |
Il campo uuid del log non elaborato viene analizzato per estrarre l'ID processo, che viene mappato a target.process.pid . |
N/D | metadata.vendor_name |
Impostato su "SYMANTEC". |
N/D | metadata.log_type |
Impostato su "SYMANTEC_EVENT_EXPORT". |
N/D | principal.resource.resource_type |
Imposta su "DEVICE" quando connection.direction_id non è 1 o è vuoto. |
N/D | target.resource.resource_type |
Imposta su "DEVICE" quando connection.direction_id è 1. |
Modifiche
2023-11-07
- È stato aggiunto il supporto per i log nel formato SYSLOG.
- Sono stati aggiunti controlli "not null" a "parent.cmd_line", "parent.pid", "actor.pid", "actor.cmd_line", "device_name", "device_group", "device_os_name", "device_group", "device_domain", "device_uid" prima della mappatura a UDM.
- "device_name" è stato mappato a "principal.hostname".
- "user_name" è stato mappato a "principal.user.user_display_name".
- "actor.user.name" è stato mappato a "principal.user.user_display_name".
- "actor.user.domain" è stato mappato a "principal.administrative_domain".
- "actor.user.sid" è stato mappato a "principal.user.windows_sid".
- "attore.file.size" è stato mappato a "principale.processo.file.size".
- "device_public_ip" è stato mappato a "principal.ip".
- "device_networks.ipv6" è stato mappato a "intermediary.ip".
- "user_email" è stato mappato a "principal.user.email_addresses".
2022-08-19
- miglioramento: riduzione della percentuale di eventi generici.
- "type_id" è stato mappato a event.idm.read_only_udm.metadata.event_type
- Log analizzati per type_id = 21