このページは Cloud Translation API によって翻訳されました。

Symantec Event Export ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations フィードを設定して Symantec Event Export のログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SYMANTEC_EVENT_EXPORT と SEP が付加されたパーサーに適用されます。

Symantec Event Export を構成する

SEP 15/14.2 コンソールにログインします。
[統合] を選択します。
[Client Application] をクリックし、Customer ID と Domain ID をコピーします。これらは、Google Security Operations フィードを作成する際に使用します。
[+ 追加] をクリックして、アプリケーション名を入力します。
[追加] をクリックします。
[詳細] ページに移動し、次の操作を行います。
- [デバイスグループの管理] セクションで、[表示] を選択します。
- [Alerts & Events Rule Management] セクションで、[View] を選択します。
- [調査インシデント] セクションで、[表示] を選択します。
[保存] をクリックします。
アプリケーション名の末尾にあるメニュー（縦三点リーダー）をクリックし、[クライアントシークレット] をクリックします。
Google Security Operations フィードを構成する際に必要となるクライアント ID とクライアントシークレットをコピーします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Symantec Event Export Logs）。
[ソースタイプ] として [Google Cloud Storage] を選択します。
[Log Type] として [Symantec Event export] を選択します。
[サービスアカウントを取得する] をクリックします。Google Security Operations は、Google Security Operations がデータの取り込みに使用する一意のサービスアカウントを提供します。
Cloud Storage オブジェクトにアクセスするためのサービスアカウントのアクセス権を構成します。詳細については、Google Security Operations サービスアカウントへのアクセス権を付与するをご覧ください。
[次へ] をクリックします。
次の必須入力パラメータを構成します。
- ストレージバケット URI: ストレージバケット URI を指定します。
- URI is a: URI を指定します。
- ソース削除オプション: ソース削除オプションを指定します。
[次へ] をクリックしてから、[送信] をクリックします。

Google Security Operations　フィードの詳細については、Google Security Operations　フィードのドキュメントをご覧ください。

各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations　サポートにお問い合わせください。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

ストレージバケット URI: ストレージバケット URI を指定します。
URI is a: URI を指定します。
ソース削除オプション: ソース削除オプションを指定します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

フィールドマッピングリファレンス

このパーサーは、JSON または SYSLOG 形式の Symantec Event Export ログからフィールドを抽出し、正規化して UDM にマッピングします。さまざまなログ構造を処理し、SYSLOG には grok パターンを使用し、JSON 形式のログには JSON 解析を使用して、フィールドを principal、target、network、security_result などの UDM エンティティにマッピングします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`actor.cmd_line`	`principal.process.command_line`	未加工ログの `actor.cmd_line` は UDM に直接マッピングされます。
`actor.file.full_path`	`principal.process.file.full_path`	未加工ログの `actor.file.path` または `file.path` は UDM に直接マッピングされます。
`actor.file.md5`	`principal.process.file.md5`	未加工ログの `actor.file.md5` は小文字に変換され、UDM に直接マッピングされます。
`actor.file.sha1`	`principal.process.file.sha1`	未加工ログの `actor.file.sha1` は小文字に変換され、UDM に直接マッピングされます。
`actor.file.sha2`	`principal.process.file.sha256`	未加工ログの `actor.file.sha2` または `file.sha2` は小文字に変換され、UDM に直接マッピングされます。
`actor.file.size`	`principal.process.file.size`	未加工ログの `actor.file.size` は文字列に変換され、その後符号なし整数に変換されて UDM に直接マッピングされます。
`actor.pid`	`principal.process.pid`	未加工ログの `actor.pid` は文字列に変換され、UDM に直接マッピングされます。
`actor.user.domain`	`principal.administrative_domain`	未加工ログの `actor.user.domain` は UDM に直接マッピングされます。`connection.direction_id` が 1 の場合、`target.administrative_domain` にマッピングされます。
`actor.user.name`	`principal.user.user_display_name`	未加工ログの `actor.user.name` は UDM に直接マッピングされます。`user_name` が存在する場合は、それが優先されます。
`actor.user.sid`	`principal.user.windows_sid`	未加工ログの `actor.user.sid` は UDM に直接マッピングされます。
`connection.direction_id`	`network.direction`	`connection.direction_id` が 1 で `connection.dst_ip` が存在する場合、`network.direction` は `INBOUND` に設定されます。`connection.direction_id` が 2 で、`connection.dst_ip` が存在する場合、`network.direction` は `OUTBOUND` に設定されます。
`connection.dst_ip`	`target.ip`	未加工ログの `connection.dst_ip` は UDM に直接マッピングされます。
`connection.dst_port`	`target.port`	未加工ログの `connection.dst_port` は整数に変換され、UDM に直接マッピングされます。
`connection.src_ip`	`principal.ip`	未加工ログの `connection.src_ip` は UDM に直接マッピングされます。
`connection.src_port`	`principal.port`	未加工ログの `connection.src_port` は整数に変換され、UDM に直接マッピングされます。`connection.src_port` が配列の場合を処理します。
`device_domain`	`principal.administrative_domain` または `target.administrative_domain`	`connection.direction_id` が 1 でない場合、未加工ログの `device_domain` は `principal.administrative_domain` にマッピングされます。`connection.direction_id` が 1 の場合、`target.administrative_domain` にマッピングされます。
`device_group`	`principal.group.group_display_name` または `target.group.group_display_name`	`connection.direction_id` が 1 でない場合、未加工ログの `device_group` は `principal.group.group_display_name` にマッピングされます。`connection.direction_id` が 1 の場合、`target.group.group_display_name` にマッピングされます。
`device_ip`	`src.ip`	未加工ログの `device_ip` は UDM に直接マッピングされます。
`device_name`	`principal.hostname` または `target.hostname`	`connection.direction_id` が 1 でない場合、未加工ログの `device_name` は `principal.hostname` にマッピングされます。`connection.direction_id` が 1 の場合、`target.hostname` にマッピングされます。
`device_networks`	`intermediary.ip`、`intermediary.mac`	未加工ログの `device_networks` 配列が処理されます。IPv4 アドレスと IPv6 アドレスが `intermediary.ip` に統合されます。MAC アドレスは小文字に変換され、ハイフンはコロンに置き換えられて、`intermediary.mac` に統合されます。
`device_os_name`	`principal.platform_version` または `target.platform_version`	`connection.direction_id` が 1 でない場合、未加工ログの `device_os_name` は `principal.platform_version` にマッピングされます。`connection.direction_id` が 1 の場合、`target.platform_version` にマッピングされます。
`device_public_ip`	`principal.ip`	未加工ログの `device_public_ip` は UDM に直接マッピングされます。
`device_uid`	`principal.resource.id` または `target.resource.id`	`connection.direction_id` が 1 でない場合、未加工ログの `device_uid` は `principal.resource.id` にマッピングされます。`connection.direction_id` が 1 の場合、`target.resource.id` にマッピングされます。
`feature_name`	`security_result.category_details`	未加工ログの `feature_name` は UDM に直接マッピングされます。
`file.path`	`principal.process.file.full_path`	未加工ログの `file.path` は UDM に直接マッピングされます。`actor.file.path` が存在する場合は、それが優先されます。
`file.sha2`	`principal.process.file.sha256`	未加工ログの `file.sha2` は小文字に変換され、UDM に直接マッピングされます。`actor.file.sha2` が存在する場合は、それが優先されます。
`log_time`	`metadata.event_timestamp`	未加工ログの `log_time` は、さまざまな日付形式を使用して解析され、イベントタイムスタンプとして使用されます。
`message`	`security_result.summary`、`network.ip_protocol`、または `metadata.description`	未加工ログの `message` フィールドが処理されます。「UDP」が含まれている場合、`network.ip_protocol` は「UDP」に設定されます。「IP」が含まれている場合は、`network.ip_protocol` が「IP6IN4」に設定されます。「ICMP」が含まれている場合、`network.ip_protocol` は「ICMP」に設定されます。それ以外の場合は、`security_result.summary` にマッピングされます。`description` フィールドが存在する場合、`message` フィールドは `metadata.description` にマッピングされます。
`parent.cmd_line`	`principal.process.parent_process.command_line`	未加工ログの `parent.cmd_line` は UDM に直接マッピングされます。
`parent.pid`	`principal.process.parent_process.pid`	未加工ログの `parent.pid` は文字列に変換され、UDM に直接マッピングされます。
`policy.name`	`security_result.rule_name`	未加工ログの `policy.name` は UDM に直接マッピングされます。
`policy.rule_name`	`security_result.description`	未加工ログの `policy.rule_name` は UDM に直接マッピングされます。
`policy.rule_uid`	`security_result.rule_id`	未加工ログの `policy.rule_uid` は UDM に直接マッピングされます。`policy.uid` が存在する場合は、それが優先されます。
`policy.uid`	`security_result.rule_id`	未加工ログの `policy.uid` は UDM に直接マッピングされます。
`product_name`	`metadata.product_name`	未加工ログの `product_name` は UDM に直接マッピングされます。
`product_uid`	`metadata.product_log_id`	未加工ログの `product_uid` は UDM に直接マッピングされます。
`product_ver`	`metadata.product_version`	未加工ログの `product_ver` は UDM に直接マッピングされます。
`severity_id`	`security_result.severity`	`severity_id` が 1、2、または 3 の場合、`security_result.severity` は `INFORMATIONAL` に設定されます。4 の場合は、`ERROR` に設定されます。5 の場合は、`CRITICAL` に設定されます。
`threat.id`	`security_result.threat_id`	未加工ログの `threat.id` は文字列に変換され、UDM に直接マッピングされます。
`threat.name`	`security_result.threat_name`	未加工ログの `threat.name` は UDM に直接マッピングされます。
`type_id`	`metadata.event_type`、`metadata.product_event_type`	他のフィールドと組み合わせて、適切な `metadata.event_type` と `metadata.product_event_type` を決定するために使用されます。
`user_email`	`principal.user.email_addresses`	未加工ログの `user_email` は UDM に統合されます。
`user_name`	`principal.user.user_display_name`	未加工ログの `user_name` は UDM に直接マッピングされます。
`uuid`	`target.process.pid`	未加工ログの `uuid` が解析され、プロセス ID が抽出されて `target.process.pid` にマッピングされます。
なし	`metadata.vendor_name`	「SYMANTEC」に設定されます。
なし	`metadata.log_type`	「SYMANTEC_EVENT_EXPORT」に設定します。
なし	`principal.resource.resource_type`	`connection.direction_id` が 1 以外の場合、または空の場合は、「DEVICE」に設定します。
なし	`target.resource.resource_type`	`connection.direction_id` が 1 の場合は「DEVICE」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。