收集 Symantec Event Export 記錄
本文說明如何設定 Google Security Operations 資訊提供,以收集 Symantec Event Export 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有下列擷取標籤的剖析器:SYMANTEC_EVENT_EXPORT
和 SEP
。
設定 Symantec 事件匯出功能
- 登入 SEP 15/14.2 控制台。
- 選取「整合」。
- 按一下「用戶端應用程式」,然後複製「客戶 ID」和「網域 ID」,這些 ID 會在您建立 Google Security Operations 資訊提供時使用。
- 按一下「+ 新增」,然後提供應用程式名稱。
- 按一下「新增」。
- 前往「詳細資料」頁面,然後執行下列動作:
- 在「裝置群組管理」部分中,選取「查看」。
- 在「快訊和事件規則管理」部分,選取「查看」。
- 在「調查事件」部分選取「查看」。
- 按一下 [儲存]。
- 按一下應用程式名稱結尾的選單 (垂直刪節號),然後按一下「用戶端密鑰」。
- 複製用戶端 ID 和用戶端密鑰,設定 Google Security Operations 資訊提供時需要這些資訊。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Symantec Event Export Logs」。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「Symantec Event export」(Symantec 事件匯出) 做為「Log Type」(記錄檔類型)。
- 按一下「取得服務帳戶」。Google Security Operations 會提供專屬服務帳戶,供 Google Security Operations 用於擷取資料。
- 設定服務帳戶存取 Cloud Storage 物件的權限。詳情請參閱「授予 Google Security Operations 服務帳戶存取權」。
- 點選「下一步」。
- 設定下列必要輸入參數:
- 儲存空間 bucket URI:指定儲存空間 bucket URI。
- URI 是:指定 URI。
- 來源刪除選項:指定來源刪除選項。
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。
如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。
如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
從內容中心設定動態饋給
為下列欄位指定值:
- 儲存空間 bucket URI:指定儲存空間 bucket URI。
- URI 是:指定 URI。
- 來源刪除選項:指定來源刪除選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這個剖析器會從 JSON 或 SYSLOG 格式的 Symantec 事件匯出記錄中擷取欄位,並將這些欄位正規化及對應至 UDM。它會處理各種記錄結構,針對 SYSLOG 使用 grok 模式,針對 JSON 格式的記錄使用 JSON 解析,並將欄位對應至 UDM 實體,例如 principal
、target
、network
和 security_result
。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
actor.cmd_line |
principal.process.command_line |
原始記錄的 actor.cmd_line 會直接對應至 UDM。 |
actor.file.full_path |
principal.process.file.full_path |
原始記錄的 actor.file.path 或 file.path 會直接對應至 UDM。 |
actor.file.md5 |
principal.process.file.md5 |
原始記錄的 actor.file.md5 會轉換為小寫,並直接對應至 UDM。 |
actor.file.sha1 |
principal.process.file.sha1 |
原始記錄的 actor.file.sha1 會轉換為小寫,並直接對應至 UDM。 |
actor.file.sha2 |
principal.process.file.sha256 |
原始記錄的 actor.file.sha2 或 file.sha2 會轉換為小寫,並直接對應至 UDM。 |
actor.file.size |
principal.process.file.size |
原始記錄的 actor.file.size 會轉換為字串,然後轉換為無正負號整數,並直接對應至 UDM。 |
actor.pid |
principal.process.pid |
原始記錄的 actor.pid 會轉換為字串,並直接對應至 UDM。 |
actor.user.domain |
principal.administrative_domain |
原始記錄的 actor.user.domain 會直接對應至 UDM。如果 connection.direction_id 為 1,則會對應至 target.administrative_domain 。 |
actor.user.name |
principal.user.user_display_name |
原始記錄的 actor.user.name 會直接對應至 UDM。如果 user_name 存在,系統會優先採用。 |
actor.user.sid |
principal.user.windows_sid |
原始記錄的 actor.user.sid 會直接對應至 UDM。 |
connection.direction_id |
network.direction |
如果 connection.direction_id 為 1 且 connection.dst_ip 存在,network.direction 會設為 INBOUND 。如果 connection.direction_id 為 2 且 connection.dst_ip 存在,network.direction 會設為 OUTBOUND 。 |
connection.dst_ip |
target.ip |
原始記錄的 connection.dst_ip 會直接對應至 UDM。 |
connection.dst_port |
target.port |
原始記錄的 connection.dst_port 會轉換為整數,並直接對應至 UDM。 |
connection.src_ip |
principal.ip |
原始記錄的 connection.src_ip 會直接對應至 UDM。 |
connection.src_port |
principal.port |
原始記錄的 connection.src_port 會轉換為整數,並直接對應至 UDM。處理 connection.src_port 為陣列的情況。 |
device_domain |
principal.administrative_domain 或target.administrative_domain |
如果 connection.direction_id 不是 1,原始記錄的 device_domain 會對應至 principal.administrative_domain 。如果 connection.direction_id 為 1,則會對應至 target.administrative_domain 。 |
device_group |
principal.group.group_display_name 或target.group.group_display_name |
如果 connection.direction_id 不是 1,原始記錄的 device_group 會對應至 principal.group.group_display_name 。如果 connection.direction_id 為 1,則會對應至 target.group.group_display_name 。 |
device_ip |
src.ip |
原始記錄的 device_ip 會直接對應至 UDM。 |
device_name |
principal.hostname 或target.hostname |
如果 connection.direction_id 不是 1,原始記錄的 device_name 會對應至 principal.hostname 。如果 connection.direction_id 為 1,則會對應至 target.hostname 。 |
device_networks |
intermediary.ip 、intermediary.mac |
系統會處理原始記錄的 device_networks 陣列。IPv4 和 IPv6 位址會合併至 intermediary.ip 。MAC 位址會轉換為小寫,連字號會替換為半形冒號,然後合併至 intermediary.mac 。 |
device_os_name |
principal.platform_version 或target.platform_version |
如果 connection.direction_id 不是 1,原始記錄的 device_os_name 會對應至 principal.platform_version 。如果 connection.direction_id 為 1,則會對應至 target.platform_version 。 |
device_public_ip |
principal.ip |
原始記錄的 device_public_ip 會直接對應至 UDM。 |
device_uid |
principal.resource.id 或target.resource.id |
如果 connection.direction_id 不是 1,原始記錄的 device_uid 會對應至 principal.resource.id 。如果 connection.direction_id 為 1,則會對應至 target.resource.id 。 |
feature_name |
security_result.category_details |
原始記錄的 feature_name 會直接對應至 UDM。 |
file.path |
principal.process.file.full_path |
原始記錄的 file.path 會直接對應至 UDM。如果 actor.file.path 存在,系統會優先採用。 |
file.sha2 |
principal.process.file.sha256 |
原始記錄的 file.sha2 會轉換為小寫,並直接對應至 UDM。如果 actor.file.sha2 存在,系統會優先採用。 |
log_time |
metadata.event_timestamp |
系統會使用各種日期格式剖析原始記錄的 log_time ,並做為事件時間戳記。 |
message |
security_result.summary 、network.ip_protocol 或 metadata.description |
系統會處理原始記錄的 message 欄位。如果包含「UDP」,則 network.ip_protocol 會設為「UDP」。如果包含「IP」,則 network.ip_protocol 會設為「IP6IN4」。如果包含「ICMP」,則 network.ip_protocol 會設為「ICMP」。否則會對應至 security_result.summary 。如果 description 欄位存在,則 message 欄位會對應至 metadata.description 。 |
parent.cmd_line |
principal.process.parent_process.command_line |
原始記錄的 parent.cmd_line 會直接對應至 UDM。 |
parent.pid |
principal.process.parent_process.pid |
原始記錄的 parent.pid 會轉換為字串,並直接對應至 UDM。 |
policy.name |
security_result.rule_name |
原始記錄的 policy.name 會直接對應至 UDM。 |
policy.rule_name |
security_result.description |
原始記錄的 policy.rule_name 會直接對應至 UDM。 |
policy.rule_uid |
security_result.rule_id |
原始記錄的 policy.rule_uid 會直接對應至 UDM。如果 policy.uid 存在,系統會優先採用。 |
policy.uid |
security_result.rule_id |
原始記錄的 policy.uid 會直接對應至 UDM。 |
product_name |
metadata.product_name |
原始記錄的 product_name 會直接對應至 UDM。 |
product_uid |
metadata.product_log_id |
原始記錄的 product_uid 會直接對應至 UDM。 |
product_ver |
metadata.product_version |
原始記錄的 product_ver 會直接對應至 UDM。 |
severity_id |
security_result.severity |
如果 severity_id 為 1、2 或 3,security_result.severity 會設為 INFORMATIONAL 。如果是 4,則會設為 ERROR 。如果是 5,則會設為 CRITICAL 。 |
threat.id |
security_result.threat_id |
原始記錄的 threat.id 會轉換為字串,並直接對應至 UDM。 |
threat.name |
security_result.threat_name |
原始記錄的 threat.name 會直接對應至 UDM。 |
type_id |
metadata.event_type 、metadata.product_event_type |
與其他欄位搭配使用,判斷適當的 metadata.event_type 和 metadata.product_event_type 。 |
user_email |
principal.user.email_addresses |
原始記錄的 user_email 會併入 UDM。 |
user_name |
principal.user.user_display_name |
原始記錄的 user_name 會直接對應至 UDM。 |
uuid |
target.process.pid |
系統會剖析原始記錄的 uuid ,擷取程序 ID,並對應至 target.process.pid 。 |
不適用 | metadata.vendor_name |
設為「SYMANTEC」。 |
不適用 | metadata.log_type |
設為「SYMANTEC_EVENT_EXPORT」。 |
不適用 | principal.resource.resource_type |
如果 connection.direction_id 不是 1 或空白,請設為「DEVICE」。 |
不適用 | target.resource.resource_type |
如果 connection.direction_id 為 1,請設為「DEVICE」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。