Coletar registros de exportação de eventos da Symantec

Compatível com:

Neste documento, descrevemos como coletar registros de exportação de eventos da Symantec configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com os seguintes rótulos de transferência: SYMANTEC_EVENT_EXPORT e SEP.

Configurar a exportação de eventos da Symantec

  1. Faça login no console do SEP 15/14.2.
  2. Selecione Integração.
  3. Clique em Aplicativo cliente e copie o ID do cliente e o ID do domínio, que são usados ao criar um feed do Google Security Operations.
  4. Clique em + Adicionar e forneça um nome para o aplicativo.
  5. Clique em Adicionar.
  6. Acesse a página Detalhes e faça o seguinte:
    • Na seção Gerenciamento de grupos de dispositivos, selecione Visualizar.
    • Na seção Gerenciamento de regras de alertas e eventos, selecione Visualizar.
    • Na seção Incidente de investigação, selecione Visualizar.
  7. Clique em Salvar.
  8. Clique no menu (reticências verticais) localizado no final do nome do aplicativo e clique em Secret do cliente.
  9. Copie o ID e a chave secreta do cliente, que são necessários ao configurar o feed do Google Security Operations.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de exportação de eventos da Symantec.
  5. Selecione Google Cloud Storage como o Tipo de origem.
  6. Selecione Exportação de eventos da Symantec como o Tipo de registro.
  7. Clique em Gerar uma conta de serviço. O Google Security Operations oferece uma conta de serviço exclusiva que usa para ingerir dados.
  8. Configure o acesso da conta de serviço aos objetos do Cloud Storage. Para mais informações, consulte Conceder acesso à conta de serviço do Google Security Operations.
  9. Clique em Próxima.
  10. Configure os seguintes parâmetros de entrada obrigatórios:
    • URI do bucket de armazenamento: especifique o URI do bucket de armazenamento.
    • URI é um: especifique o URI.
    • Opção de exclusão de origem: especifique a opção de exclusão de origem.
  11. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations.

Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: especifique o URI do bucket de armazenamento.
  • URI é um: especifique o URI.
  • Opção de exclusão de origem: especifique a opção de exclusão de origem.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Referência de mapeamento de campos

Esse analisador extrai campos de registros de exportação de eventos da Symantec no formato JSON ou SYSLOG, normalizando e mapeando-os para a UDM. Ele processa várias estruturas de registro, usando padrões grok para SYSLOG e análise JSON para registros formatados em JSON, e mapeia campos para entidades da UDM, como principal, target, network e security_result.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
actor.cmd_line principal.process.command_line O actor.cmd_line do registro bruto é mapeado diretamente para o UDM.
actor.file.full_path principal.process.file.full_path O actor.file.path ou file.path do registro bruto é mapeado diretamente para o UDM.
actor.file.md5 principal.process.file.md5 O actor.file.md5 do registro bruto é convertido em letras minúsculas e mapeado diretamente para a UDM.
actor.file.sha1 principal.process.file.sha1 O actor.file.sha1 do registro bruto é convertido em letras minúsculas e mapeado diretamente para a UDM.
actor.file.sha2 principal.process.file.sha256 O actor.file.sha2 ou file.sha2 do registro bruto é convertido em letras minúsculas e mapeado diretamente para a UDM.
actor.file.size principal.process.file.size O actor.file.size do registro bruto é convertido em uma string e depois em um número inteiro sem sinal, sendo mapeado diretamente para a UDM.
actor.pid principal.process.pid O actor.pid do registro bruto é convertido em uma string e mapeado diretamente para o UDM.
actor.user.domain principal.administrative_domain O actor.user.domain do registro bruto é mapeado diretamente para o UDM. Se connection.direction_id for 1, ele será mapeado para target.administrative_domain.
actor.user.name principal.user.user_display_name O actor.user.name do registro bruto é mapeado diretamente para o UDM. Se user_name existir, ele terá precedência.
actor.user.sid principal.user.windows_sid O actor.user.sid do registro bruto é mapeado diretamente para o UDM.
connection.direction_id network.direction Se connection.direction_id for 1 e connection.dst_ip existir, network.direction será definido como INBOUND. Se connection.direction_id for 2 e connection.dst_ip existir, network.direction será definido como OUTBOUND.
connection.dst_ip target.ip O connection.dst_ip do registro bruto é mapeado diretamente para o UDM.
connection.dst_port target.port O connection.dst_port do registro bruto é convertido em um número inteiro e mapeado diretamente para a UDM.
connection.src_ip principal.ip O connection.src_ip do registro bruto é mapeado diretamente para o UDM.
connection.src_port principal.port O connection.src_port do registro bruto é convertido em um número inteiro e mapeado diretamente para a UDM. Processa casos em que connection.src_port é uma matriz.
device_domain principal.administrative_domain ou target.administrative_domain O device_domain do registro bruto é mapeado para principal.administrative_domain se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.administrative_domain.
device_group principal.group.group_display_name ou target.group.group_display_name O device_group do registro bruto é mapeado para principal.group.group_display_name se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.group.group_display_name.
device_ip src.ip O device_ip do registro bruto é mapeado diretamente para o UDM.
device_name principal.hostname ou target.hostname O device_name do registro bruto é mapeado para principal.hostname se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.hostname.
device_networks intermediary.ip, intermediary.mac A matriz device_networks do registro bruto é processada. Os endereços IPv4 e IPv6 são mesclados em intermediary.ip. Os endereços MAC são convertidos em letras minúsculas, os hífens são substituídos por dois-pontos e, em seguida, mesclados em intermediary.mac.
device_os_name principal.platform_version ou target.platform_version O device_os_name do registro bruto é mapeado para principal.platform_version se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.platform_version.
device_public_ip principal.ip O device_public_ip do registro bruto é mapeado diretamente para o UDM.
device_uid principal.resource.id ou target.resource.id O device_uid do registro bruto é mapeado para principal.resource.id se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.resource.id.
feature_name security_result.category_details O feature_name do registro bruto é mapeado diretamente para o UDM.
file.path principal.process.file.full_path O file.path do registro bruto é mapeado diretamente para o UDM. Se actor.file.path existir, ele terá precedência.
file.sha2 principal.process.file.sha256 O file.sha2 do registro bruto é convertido em letras minúsculas e mapeado diretamente para a UDM. Se actor.file.sha2 existir, ele terá precedência.
log_time metadata.event_timestamp O log_time do registro bruto é analisado usando vários formatos de data e usado como o carimbo de data/hora do evento.
message security_result.summary, network.ip_protocol ou metadata.description O campo message do registro bruto é processado. Se ele contiver "UDP", network.ip_protocol será definido como "UDP". Se ele contiver "IP", network.ip_protocol será definido como "IP6IN4". Se ele contiver "ICMP", network.ip_protocol será definido como "ICMP". Caso contrário, ele será mapeado para security_result.summary. Se o campo description existir, o campo message será mapeado para metadata.description.
parent.cmd_line principal.process.parent_process.command_line O parent.cmd_line do registro bruto é mapeado diretamente para o UDM.
parent.pid principal.process.parent_process.pid O parent.pid do registro bruto é convertido em uma string e mapeado diretamente para o UDM.
policy.name security_result.rule_name O policy.name do registro bruto é mapeado diretamente para o UDM.
policy.rule_name security_result.description O policy.rule_name do registro bruto é mapeado diretamente para o UDM.
policy.rule_uid security_result.rule_id O policy.rule_uid do registro bruto é mapeado diretamente para o UDM. Se policy.uid existir, ele terá precedência.
policy.uid security_result.rule_id O policy.uid do registro bruto é mapeado diretamente para o UDM.
product_name metadata.product_name O product_name do registro bruto é mapeado diretamente para o UDM.
product_uid metadata.product_log_id O product_uid do registro bruto é mapeado diretamente para o UDM.
product_ver metadata.product_version O product_ver do registro bruto é mapeado diretamente para o UDM.
severity_id security_result.severity Se severity_id for 1, 2 ou 3, security_result.severity será definido como INFORMATIONAL. Se for 4, ele será definido como ERROR. Se for 5, ele será definido como CRITICAL.
threat.id security_result.threat_id O threat.id do registro bruto é convertido em uma string e mapeado diretamente para o UDM.
threat.name security_result.threat_name O threat.name do registro bruto é mapeado diretamente para o UDM.
type_id metadata.event_type, metadata.product_event_type Usado em conjunto com outros campos para determinar o metadata.event_type e o metadata.product_event_type adequados.
user_email principal.user.email_addresses O user_email do registro bruto é mesclado ao UDM.
user_name principal.user.user_display_name O user_name do registro bruto é mapeado diretamente para o UDM.
uuid target.process.pid O uuid do registro bruto é analisado para extrair o ID do processo, que é mapeado para target.process.pid.
N/A metadata.vendor_name Definido como "SYMANTEC".
N/A metadata.log_type Defina como "SYMANTEC_EVENT_EXPORT".
N/A principal.resource.resource_type Definido como "DEVICE" quando connection.direction_id não é 1 ou está vazio.
N/A target.resource.resource_type Definido como "DEVICE" quando connection.direction_id é 1.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.