Raccogliere i log di Symantec Event Export

Supportato in:

Questo documento descrive come raccogliere i log di Symantec Event Export configurando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con le seguenti etichette di importazione: SYMANTEC_EVENT_EXPORT e SEP.

Configurare l'esportazione di eventi Symantec

  1. Accedi alla console SEP 15/14.2.
  2. Seleziona Integration (Integrazione).
  3. Fai clic su Applicazione client e copia l'ID cliente e l'ID dominio, che vengono utilizzati quando crei un feed di Google Security Operations.
  4. Fai clic su + Aggiungi e fornisci un nome per l'applicazione.
  5. Fai clic su Aggiungi.
  6. Vai alla pagina Dettagli ed esegui le seguenti azioni:
    • Nella sezione Gestione gruppi di dispositivi, seleziona Visualizza.
    • Nella sezione Gestione delle regole di avvisi ed eventi, seleziona Visualizza.
    • Nella sezione Incidente di indagine, seleziona Visualizza.
  7. Fai clic su Salva.
  8. Fai clic sul menu (i tre puntini verticali) alla fine del nome dell'applicazione e poi su Secret client.
  9. Copia l'ID client e il client secret, che sono necessari per configurare il feed di Google Security Operations.

Configura un feed in Google Security Operations per importare i log di esportazione eventi di Symantec

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona Esportazione eventi Symantec come Tipo di log.
  6. Fai clic su Genera un account di servizio. Google Security Operations fornisce un account di servizio univoco utilizzato da Google Security Operations per importare i dati.
  7. Configura l'accesso per l'account di servizio in modo che possa accedere agli oggetti Cloud Storage. Per ulteriori informazioni, vedi Concedere l'accesso all'account di servizio Google Security Operations.
  8. Fai clic su Avanti.
  9. Configura i seguenti parametri di input obbligatori:
    • URI del bucket di archiviazione: specifica l'URI del bucket di archiviazione.
    • L'URI è un: specifica l'URI.
    • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
  10. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations.

Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai log di esportazione eventi di Symantec in formato JSON o SYSLOG, normalizzandoli e mappandoli all'UDM. Gestisce varie strutture di log, utilizzando pattern grok per l'analisi di SYSLOG e JSON per i log in formato JSON e mappa i campi alle entità UDM come principal, target, network e security_result.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
actor.cmd_line principal.process.command_line Il campo actor.cmd_line del log non elaborato è mappato direttamente all'UDM.
actor.file.full_path principal.process.file.full_path actor.file.path o file.path del log non elaborato è mappato direttamente all'UDM.
actor.file.md5 principal.process.file.md5 Il valore actor.file.md5 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM.
actor.file.sha1 principal.process.file.sha1 Il valore actor.file.sha1 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM.
actor.file.sha2 principal.process.file.sha256 Il valore actor.file.sha2 o file.sha2 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM.
actor.file.size principal.process.file.size Il valore actor.file.size del log non elaborato viene convertito in una stringa e poi in un numero intero senza segno e mappato direttamente all'UDM.
actor.pid principal.process.pid Il campo actor.pid del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM.
actor.user.domain principal.administrative_domain Il campo actor.user.domain del log non elaborato è mappato direttamente all'UDM. Se connection.direction_id è 1, viene mappato a target.administrative_domain.
actor.user.name principal.user.user_display_name Il campo actor.user.name del log non elaborato è mappato direttamente all'UDM. Se user_name esiste, ha la precedenza.
actor.user.sid principal.user.windows_sid Il campo actor.user.sid del log non elaborato è mappato direttamente all'UDM.
connection.direction_id network.direction Se connection.direction_id è 1 ed esiste connection.dst_ip, network.direction viene impostato su INBOUND. Se connection.direction_id è 2 ed esiste connection.dst_ip, network.direction viene impostato su OUTBOUND.
connection.dst_ip target.ip Il campo connection.dst_ip del log non elaborato è mappato direttamente all'UDM.
connection.dst_port target.port Il valore connection.dst_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM.
connection.src_ip principal.ip Il campo connection.src_ip del log non elaborato è mappato direttamente all'UDM.
connection.src_port principal.port Il valore connection.src_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM. Gestisce i casi in cui connection.src_port è un array.
device_domain principal.administrative_domain o target.administrative_domain Il valore device_domain del log non elaborato viene mappato a principal.administrative_domain se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.administrative_domain.
device_group principal.group.group_display_name o target.group.group_display_name Il valore device_group del log non elaborato viene mappato a principal.group.group_display_name se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.group.group_display_name.
device_ip src.ip Il campo device_ip del log non elaborato è mappato direttamente all'UDM.
device_name principal.hostname o target.hostname Il valore device_name del log non elaborato viene mappato a principal.hostname se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.hostname.
device_networks intermediary.ip, intermediary.mac L'array device_networks del log non elaborato viene elaborato. Gli indirizzi IPv4 e IPv6 vengono uniti in intermediary.ip. Gli indirizzi MAC vengono convertiti in lettere minuscole, i trattini vengono sostituiti da due punti e poi uniti in intermediary.mac.
device_os_name principal.platform_version o target.platform_version Il valore device_os_name del log non elaborato viene mappato a principal.platform_version se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.platform_version.
device_public_ip principal.ip Il campo device_public_ip del log non elaborato è mappato direttamente all'UDM.
device_uid principal.resource.id o target.resource.id Il valore device_uid del log non elaborato viene mappato a principal.resource.id se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.resource.id.
feature_name security_result.category_details Il campo feature_name del log non elaborato è mappato direttamente all'UDM.
file.path principal.process.file.full_path Il campo file.path del log non elaborato è mappato direttamente all'UDM. Se actor.file.path esiste, ha la precedenza.
file.sha2 principal.process.file.sha256 Il valore file.sha2 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM. Se actor.file.sha2 esiste, ha la precedenza.
log_time metadata.event_timestamp Il campo log_time del log non elaborato viene analizzato utilizzando vari formati di data e utilizzato come timestamp dell'evento.
message security_result.summary, network.ip_protocol o metadata.description Il campo message del log non elaborato viene elaborato. Se contiene "UDP", network.ip_protocol viene impostato su "UDP". Se contiene "IP", network.ip_protocol è impostato su "IP6IN4". Se contiene "ICMP", network.ip_protocol viene impostato su "ICMP". In caso contrario, viene mappato a security_result.summary. Se il campo description esiste, il campo message viene mappato a metadata.description.
parent.cmd_line principal.process.parent_process.command_line Il campo parent.cmd_line del log non elaborato è mappato direttamente all'UDM.
parent.pid principal.process.parent_process.pid Il campo parent.pid del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM.
policy.name security_result.rule_name Il campo policy.name del log non elaborato è mappato direttamente all'UDM.
policy.rule_name security_result.description Il campo policy.rule_name del log non elaborato è mappato direttamente all'UDM.
policy.rule_uid security_result.rule_id Il campo policy.rule_uid del log non elaborato è mappato direttamente all'UDM. Se policy.uid esiste, ha la precedenza.
policy.uid security_result.rule_id Il campo policy.uid del log non elaborato è mappato direttamente all'UDM.
product_name metadata.product_name Il campo product_name del log non elaborato è mappato direttamente all'UDM.
product_uid metadata.product_log_id Il campo product_uid del log non elaborato è mappato direttamente all'UDM.
product_ver metadata.product_version Il campo product_ver del log non elaborato è mappato direttamente all'UDM.
severity_id security_result.severity Se severity_id è 1, 2 o 3, security_result.severity viene impostato su INFORMATIONAL. Se è 4, è impostato su ERROR. Se è 5, è impostato su CRITICAL.
threat.id security_result.threat_id Il campo threat.id del log non elaborato viene convertito in una stringa e mappato direttamente all'UDM.
threat.name security_result.threat_name Il campo threat.name del log non elaborato è mappato direttamente all'UDM.
type_id metadata.event_type, metadata.product_event_type Utilizzato in combinazione con altri campi per determinare i valori metadata.event_type e metadata.product_event_type appropriati.
user_email principal.user.email_addresses Il campo user_email del log non elaborato viene unito all'UDM.
user_name principal.user.user_display_name Il campo user_name del log non elaborato è mappato direttamente all'UDM.
uuid target.process.pid Il campo uuid del log non elaborato viene analizzato per estrarre l'ID processo, che viene mappato a target.process.pid.
N/D metadata.vendor_name Impostato su "SYMANTEC".
N/D metadata.log_type Impostato su "SYMANTEC_EVENT_EXPORT".
N/D principal.resource.resource_type Imposta su "DEVICE" quando connection.direction_id non è 1 o è vuoto.
N/D target.resource.resource_type Imposta su "DEVICE" quando connection.direction_id è 1.

Modifiche

2023-11-07

  • È stato aggiunto il supporto per i log nel formato SYSLOG.
  • Sono stati aggiunti controlli "not null" a "parent.cmd_line", "parent.pid", "actor.pid", "actor.cmd_line", "device_name", "device_group", "device_os_name", "device_group", "device_domain", "device_uid" prima della mappatura a UDM.
  • "device_name" è stato mappato a "principal.hostname".
  • "user_name" è stato mappato a "principal.user.user_display_name".
  • "actor.user.name" è stato mappato a "principal.user.user_display_name".
  • "actor.user.domain" è stato mappato a "principal.administrative_domain".
  • "actor.user.sid" è stato mappato a "principal.user.windows_sid".
  • "attore.file.size" è stato mappato a "principale.processo.file.size".
  • "device_public_ip" è stato mappato a "principal.ip".
  • "device_networks.ipv6" è stato mappato a "intermediary.ip".
  • "user_email" è stato mappato a "principal.user.email_addresses".

2022-08-19

  • miglioramento: riduzione della percentuale di eventi generici.
  • "type_id" è stato mappato a event.idm.read_only_udm.metadata.event_type
  • Log analizzati per type_id = 21