此页面由 Cloud Translation API 翻译。

收集 Symantec Event Export 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Symantec Event Export 日志。

如需了解详情，请参阅将数据注入 Google Security Operations。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有以下注入标签的解析器：SYMANTEC_EVENT_EXPORT 和 SEP。

配置 Symantec Event Export

登录 SEP 15/14.2 控制台。
选择集成。
点击 Client Application，然后复制 Customer ID 和 Domain ID，这些 ID 会在您创建 Google Security Operations Feed 时使用。
点击 + 添加，然后提供应用名称。
点击添加。
前往详细信息页面，然后执行以下操作：
- 在设备组管理部分，选择查看。
- 在提醒和事件规则管理部分中，选择查看。
- 在调查事件部分中，选择查看。
点击保存。
点击应用名称末尾的菜单（垂直省略号），然后点击客户端密钥。
复制客户端 ID 和客户端密钥，在配置 Google Security Operations Feed 时需要用到这些信息。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed
内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed，请按以下步骤操作：

依次前往 SIEM 设置 > Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称，例如 Symantec 事件导出日志。
选择 Google Cloud Storage 作为来源类型。
选择 Symantec Event export 作为日志类型。
点击获取服务账号。Google Security Operations 提供了一个唯一的服务账号，Google Security Operations 使用该账号来注入数据。
配置服务账号对 Cloud Storage 对象的访问权限。如需了解详情，请参阅向 Google Security Operations 服务账号授予访问权限。
点击下一步。
配置以下必需的输入参数：
- 存储桶 URI：指定存储桶 URI。
- URI 是：指定 URI。
- 来源删除选项：指定来源删除选项。
点击下一步，然后点击提交。

如需详细了解 Google Security Operations Feed，请参阅 Google Security Operations Feed 文档。

如需了解每种 Feed 类型的要求，请参阅按类型划分的 Feed 配置。

如果您在创建 Feed 时遇到问题，请与 Google Security Operations 支持团队联系。

设置来自内容中心的 Feed

为以下字段指定值：

存储桶 URI：指定存储桶 URI。
URI 是：指定 URI。
来源删除选项：指定来源删除选项。

高级选项

Feed 名称：用于标识 Feed 的预填充值。
来源类型：用于将日志收集到 Google SecOps 中的方法。
资源命名空间：与 Feed 关联的命名空间。
提取标签：应用于相应 Feed 中所有事件的标签。

字段映射参考

此解析器可从 JSON 或 SYSLOG 格式的 Symantec 事件导出日志中提取字段，并将其标准化和映射到 UDM。它可处理各种日志结构，使用 grok 模式处理 SYSLOG，使用 JSON 解析处理 JSON 格式的日志，并将字段映射到 principal、target、network 和 security_result 等 UDM 实体。

UDM 映射表

日志字段	UDM 映射	逻辑
`actor.cmd_line`	`principal.process.command_line`	原始日志的 `actor.cmd_line` 直接映射到 UDM。
`actor.file.full_path`	`principal.process.file.full_path`	原始日志的 `actor.file.path` 或 `file.path` 直接映射到 UDM。
`actor.file.md5`	`principal.process.file.md5`	原始日志的 `actor.file.md5` 会转换为小写，并直接映射到 UDM。
`actor.file.sha1`	`principal.process.file.sha1`	原始日志的 `actor.file.sha1` 会转换为小写，并直接映射到 UDM。
`actor.file.sha2`	`principal.process.file.sha256`	原始日志的 `actor.file.sha2` 或 `file.sha2` 会转换为小写，并直接映射到 UDM。
`actor.file.size`	`principal.process.file.size`	原始日志的 `actor.file.size` 会转换为字符串，然后转换为无符号整数，并直接映射到 UDM。
`actor.pid`	`principal.process.pid`	原始日志的 `actor.pid` 会转换为字符串并直接映射到 UDM。
`actor.user.domain`	`principal.administrative_domain`	原始日志的 `actor.user.domain` 直接映射到 UDM。如果 `connection.direction_id` 为 1，则映射到 `target.administrative_domain`。
`actor.user.name`	`principal.user.user_display_name`	原始日志的 `actor.user.name` 直接映射到 UDM。如果存在 `user_name`，则优先使用该值。
`actor.user.sid`	`principal.user.windows_sid`	原始日志的 `actor.user.sid` 直接映射到 UDM。
`connection.direction_id`	`network.direction`	如果 `connection.direction_id` 为 1 且 `connection.dst_ip` 存在，则将 `network.direction` 设置为 `INBOUND`。如果 `connection.direction_id` 为 2 且 `connection.dst_ip` 存在，则将 `network.direction` 设置为 `OUTBOUND`。
`connection.dst_ip`	`target.ip`	原始日志的 `connection.dst_ip` 直接映射到 UDM。
`connection.dst_port`	`target.port`	原始日志的 `connection.dst_port` 会转换为整数并直接映射到 UDM。
`connection.src_ip`	`principal.ip`	原始日志的 `connection.src_ip` 直接映射到 UDM。
`connection.src_port`	`principal.port`	原始日志的 `connection.src_port` 会转换为整数并直接映射到 UDM。处理 `connection.src_port` 为数组的情况。
`device_domain`	`principal.administrative_domain` 或 `target.administrative_domain`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_domain` 会映射到 `principal.administrative_domain`。如果 `connection.direction_id` 为 1，则映射到 `target.administrative_domain`。
`device_group`	`principal.group.group_display_name` 或 `target.group.group_display_name`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_group` 会映射到 `principal.group.group_display_name`。如果 `connection.direction_id` 为 1，则映射到 `target.group.group_display_name`。
`device_ip`	`src.ip`	原始日志的 `device_ip` 直接映射到 UDM。
`device_name`	`principal.hostname` 或 `target.hostname`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_name` 会映射到 `principal.hostname`。如果 `connection.direction_id` 为 1，则映射到 `target.hostname`。
`device_networks`	`intermediary.ip`，`intermediary.mac`	处理原始日志的 `device_networks` 数组。IPv4 和 IPv6 地址已合并到 `intermediary.ip` 中。MAC 地址会被转换为小写，连字符会被替换为英文冒号，然后合并到 `intermediary.mac` 中。
`device_os_name`	`principal.platform_version` 或 `target.platform_version`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_os_name` 会映射到 `principal.platform_version`。如果 `connection.direction_id` 为 1，则映射到 `target.platform_version`。
`device_public_ip`	`principal.ip`	原始日志的 `device_public_ip` 直接映射到 UDM。
`device_uid`	`principal.resource.id` 或 `target.resource.id`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_uid` 会映射到 `principal.resource.id`。如果 `connection.direction_id` 为 1，则映射到 `target.resource.id`。
`feature_name`	`security_result.category_details`	原始日志的 `feature_name` 直接映射到 UDM。
`file.path`	`principal.process.file.full_path`	原始日志的 `file.path` 直接映射到 UDM。如果存在 `actor.file.path`，则优先使用该值。
`file.sha2`	`principal.process.file.sha256`	原始日志的 `file.sha2` 会转换为小写，并直接映射到 UDM。如果存在 `actor.file.sha2`，则优先使用该值。
`log_time`	`metadata.event_timestamp`	原始日志的 `log_time` 会使用各种日期格式进行解析，并用作事件时间戳。
`message`	`security_result.summary`、`network.ip_protocol` 或 `metadata.description`	原始日志的 `message` 字段已处理。如果包含“UDP”，则将 `network.ip_protocol` 设置为“UDP”。如果包含“IP”，则将 `network.ip_protocol` 设置为“IP6IN4”。如果包含“ICMP”，则将 `network.ip_protocol` 设置为“ICMP”。否则，它会映射到 `security_result.summary`。如果 `description` 字段存在，则 `message` 字段会映射到 `metadata.description`。
`parent.cmd_line`	`principal.process.parent_process.command_line`	原始日志的 `parent.cmd_line` 直接映射到 UDM。
`parent.pid`	`principal.process.parent_process.pid`	原始日志的 `parent.pid` 会转换为字符串并直接映射到 UDM。
`policy.name`	`security_result.rule_name`	原始日志的 `policy.name` 直接映射到 UDM。
`policy.rule_name`	`security_result.description`	原始日志的 `policy.rule_name` 直接映射到 UDM。
`policy.rule_uid`	`security_result.rule_id`	原始日志的 `policy.rule_uid` 直接映射到 UDM。如果存在 `policy.uid`，则优先使用该值。
`policy.uid`	`security_result.rule_id`	原始日志的 `policy.uid` 直接映射到 UDM。
`product_name`	`metadata.product_name`	原始日志的 `product_name` 直接映射到 UDM。
`product_uid`	`metadata.product_log_id`	原始日志的 `product_uid` 直接映射到 UDM。
`product_ver`	`metadata.product_version`	原始日志的 `product_ver` 直接映射到 UDM。
`severity_id`	`security_result.severity`	如果 `severity_id` 为 1、2 或 3，则将 `security_result.severity` 设置为 `INFORMATIONAL`。如果值为 4，则设置为 `ERROR`。如果值为 5，则设置为 `CRITICAL`。
`threat.id`	`security_result.threat_id`	原始日志的 `threat.id` 会转换为字符串并直接映射到 UDM。
`threat.name`	`security_result.threat_name`	原始日志的 `threat.name` 直接映射到 UDM。
`type_id`	`metadata.event_type`，`metadata.product_event_type`	与其他字段结合使用，以确定适当的 `metadata.event_type` 和 `metadata.product_event_type`。
`user_email`	`principal.user.email_addresses`	原始日志的 `user_email` 会合并到 UDM 中。
`user_name`	`principal.user.user_display_name`	原始日志的 `user_name` 直接映射到 UDM。
`uuid`	`target.process.pid`	系统会解析原始日志的 `uuid` 以提取进程 ID，该 ID 会映射到 `target.process.pid`。
不适用	`metadata.vendor_name`	设置为“SYMANTEC”。
不适用	`metadata.log_type`	设置为“SYMANTEC_EVENT_EXPORT”。
不适用	`principal.resource.resource_type`	当 `connection.direction_id` 不为 1 或为空时，设置为“DEVICE”。
不适用	`target.resource.resource_type`	当 `connection.direction_id` 为 1 时，设置为“DEVICE”。