Raccogliere i log di esportazione eventi di Symantec

Supportato in:

Questo documento descrive come raccogliere i log di esportazione degli eventi di Symantec configurando un feed Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con le seguenti etichette di importazione: SYMANTEC_EVENT_EXPORT e SEP.

Configura l'esportazione degli eventi Symantec

  1. Accedi alla console SEP 15/14.2.
  2. Seleziona Integrazione.
  3. Fai clic su Applicazione client e copia l'ID cliente e l'ID dominio, che vengono utilizzati quando crei un feed Google Security Operations.
  4. Fai clic su + Aggiungi e fornisci un nome dell'applicazione.
  5. Fai clic su Aggiungi.
  6. Vai alla pagina Dettagli ed esegui le seguenti azioni:
    • Nella sezione Gestione gruppi di dispositivi, seleziona Visualizza.
    • Nella sezione Gestione regole di avvisi ed eventi, seleziona Visualizza.
    • Nella sezione Investigation Incident (Incidente di indagine), seleziona Visualizza.
  7. Fai clic su Salva.
  8. Fai clic sul menu (i tre puntini verticali) alla fine del nome dell'applicazione e poi su Secret client.
  9. Copia l'ID client e il client secret, necessari per configurare il feed Google Security Operations.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di esportazione eventi Symantec.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona Esportazione eventi Symantec come Tipo di log.
  7. Fai clic su Ottieni un service account. Google Security Operations fornisce un account di servizio univoco che utilizza per importare i dati.
  8. Configura l'accesso per il account di servizio agli oggetti Cloud Storage. Per ulteriori informazioni, vedi Concedere l'accesso all'account di servizio Google Security Operations.
  9. Fai clic su Avanti.
  10. Configura i seguenti parametri di input obbligatori:
    • URI bucket di archiviazione: specifica l'URI del bucket di archiviazione.
    • L'URI è un: specifica l'URI.
    • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
  11. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations.

Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google Security Operations.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: specifica l'URI del bucket di archiviazione.
  • L'URI è un: specifica l'URI.
  • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai log di esportazione eventi Symantec in formato JSON o SYSLOG, normalizzandoli e mappandoli a UDM. Gestisce varie strutture di log, utilizzando pattern grok per l'analisi SYSLOG e JSON per i log formattati in JSON, e mappa i campi alle entità UDM come principal, target, network e security_result.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
actor.cmd_line principal.process.command_line Il actor.cmd_line del log non elaborato viene mappato direttamente a UDM.
actor.file.full_path principal.process.file.full_path actor.file.path o file.path del log non elaborato viene mappato direttamente a UDM.
actor.file.md5 principal.process.file.md5 actor.file.md5 del log non elaborato viene convertito in lettere minuscole e mappato direttamente all'UDM.
actor.file.sha1 principal.process.file.sha1 actor.file.sha1 del log non elaborato viene convertito in lettere minuscole e mappato direttamente all'UDM.
actor.file.sha2 principal.process.file.sha256 actor.file.sha2 o file.sha2 del log non elaborato viene convertito in minuscolo e mappato direttamente all'UDM.
actor.file.size principal.process.file.size actor.file.size del log non elaborato viene convertito in una stringa, poi in un numero intero senza segno e mappato direttamente all'UDM.
actor.pid principal.process.pid actor.pid del log non elaborato viene convertito in una stringa e mappato direttamente a UDM.
actor.user.domain principal.administrative_domain Il actor.user.domain del log non elaborato viene mappato direttamente a UDM. Se connection.direction_id è 1, viene mappato a target.administrative_domain.
actor.user.name principal.user.user_display_name Il actor.user.name del log non elaborato viene mappato direttamente a UDM. Se esiste user_name, ha la precedenza.
actor.user.sid principal.user.windows_sid Il actor.user.sid del log non elaborato viene mappato direttamente a UDM.
connection.direction_id network.direction Se connection.direction_id è 1 e connection.dst_ip esiste, network.direction è impostato su INBOUND. Se connection.direction_id è 2 e connection.dst_ip esiste, network.direction è impostato su OUTBOUND.
connection.dst_ip target.ip Il connection.dst_ip del log non elaborato viene mappato direttamente a UDM.
connection.dst_port target.port connection.dst_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM.
connection.src_ip principal.ip Il connection.src_ip del log non elaborato viene mappato direttamente a UDM.
connection.src_port principal.port connection.src_port del log non elaborato viene convertito in un numero intero e mappato direttamente all'UDM. Gestisce i casi in cui connection.src_port è un array.
device_domain principal.administrative_domain o target.administrative_domain device_domain del log non elaborato è mappato a principal.administrative_domain se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.administrative_domain.
device_group principal.group.group_display_name o target.group.group_display_name device_group del log non elaborato è mappato a principal.group.group_display_name se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.group.group_display_name.
device_ip src.ip Il device_ip del log non elaborato viene mappato direttamente a UDM.
device_name principal.hostname o target.hostname device_name del log non elaborato è mappato a principal.hostname se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.hostname.
device_networks intermediary.ip, intermediary.mac L'array device_networks del log non elaborato viene elaborato. Gli indirizzi IPv4 e IPv6 vengono uniti in intermediary.ip. Gli indirizzi MAC vengono convertiti in lettere minuscole, i trattini vengono sostituiti con i due punti e poi vengono uniti in intermediary.mac.
device_os_name principal.platform_version o target.platform_version device_os_name del log non elaborato è mappato a principal.platform_version se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.platform_version.
device_public_ip principal.ip Il device_public_ip del log non elaborato viene mappato direttamente a UDM.
device_uid principal.resource.id o target.resource.id device_uid del log non elaborato è mappato a principal.resource.id se connection.direction_id non è 1. Se connection.direction_id è 1, viene mappato a target.resource.id.
feature_name security_result.category_details Il feature_name del log non elaborato viene mappato direttamente a UDM.
file.path principal.process.file.full_path Il file.path del log non elaborato viene mappato direttamente a UDM. Se esiste actor.file.path, ha la precedenza.
file.sha2 principal.process.file.sha256 file.sha2 del log non elaborato viene convertito in lettere minuscole e mappato direttamente all'UDM. Se esiste actor.file.sha2, ha la precedenza.
log_time metadata.event_timestamp log_time del log non elaborato viene analizzato utilizzando vari formati di data e viene utilizzato come timestamp dell'evento.
message security_result.summary, network.ip_protocol o metadata.description Viene elaborato il campo message del log non elaborato. Se contiene "UDP", network.ip_protocol è impostato su "UDP". Se contiene "IP", network.ip_protocol è impostato su "IP6IN4". Se contiene "ICMP", network.ip_protocol è impostato su "ICMP". In caso contrario, viene mappato a security_result.summary. Se esiste il campo description, il campo message viene mappato a metadata.description.
parent.cmd_line principal.process.parent_process.command_line Il parent.cmd_line del log non elaborato viene mappato direttamente a UDM.
parent.pid principal.process.parent_process.pid parent.pid del log non elaborato viene convertito in una stringa e mappato direttamente a UDM.
policy.name security_result.rule_name Il policy.name del log non elaborato viene mappato direttamente a UDM.
policy.rule_name security_result.description Il policy.rule_name del log non elaborato viene mappato direttamente a UDM.
policy.rule_uid security_result.rule_id Il policy.rule_uid del log non elaborato viene mappato direttamente a UDM. Se esiste policy.uid, ha la precedenza.
policy.uid security_result.rule_id Il policy.uid del log non elaborato viene mappato direttamente a UDM.
product_name metadata.product_name Il product_name del log non elaborato viene mappato direttamente a UDM.
product_uid metadata.product_log_id Il product_uid del log non elaborato viene mappato direttamente a UDM.
product_ver metadata.product_version Il product_ver del log non elaborato viene mappato direttamente a UDM.
severity_id security_result.severity Se severity_id è 1, 2 o 3, security_result.severity è impostato su INFORMATIONAL. Se è 4, è impostato su ERROR. Se è 5, è impostato su CRITICAL.
threat.id security_result.threat_id threat.id del log non elaborato viene convertito in una stringa e mappato direttamente a UDM.
threat.name security_result.threat_name Il threat.name del log non elaborato viene mappato direttamente a UDM.
type_id metadata.event_type, metadata.product_event_type Utilizzato insieme ad altri campi per determinare i valori metadata.event_type e metadata.product_event_type appropriati.
user_email principal.user.email_addresses Il user_email del log non elaborato viene unito all'UDM.
user_name principal.user.user_display_name Il user_name del log non elaborato viene mappato direttamente a UDM.
uuid target.process.pid L'attributo uuid del log non elaborato viene analizzato per estrarre l'ID processo, che viene mappato a target.process.pid.
N/D metadata.vendor_name Imposta il valore su "SYMANTEC".
N/D metadata.log_type Imposta il valore su "SYMANTEC_EVENT_EXPORT".
N/D principal.resource.resource_type Imposta su "DEVICE" quando connection.direction_id non è 1 o è vuoto.
N/D target.resource.resource_type Imposta su "DEVICE" quando connection.direction_id è 1.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.