收集 Symantec Event Export 記錄

支援的國家/地區:

本文說明如何設定 Google Security Operations 資訊提供,以收集 Symantec Event Export 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有下列擷取標籤的剖析器:SYMANTEC_EVENT_EXPORTSEP

設定 Symantec 事件匯出功能

  1. 登入 SEP 15/14.2 控制台。
  2. 選取「整合」
  3. 按一下「用戶端應用程式」,然後複製「客戶 ID」和「網域 ID」,這些 ID 會在您建立 Google Security Operations 資訊提供時使用。
  4. 按一下「+ 新增」,然後提供應用程式名稱。
  5. 按一下「新增」
  6. 前往「詳細資料」頁面,然後執行下列動作:
    • 在「裝置群組管理」部分中,選取「查看」
    • 在「快訊和事件規則管理」部分,選取「查看」
    • 在「調查事件」部分選取「查看」
  7. 按一下 [儲存]
  8. 按一下應用程式名稱結尾的選單 (垂直刪節號),然後按一下「用戶端密鑰」
  9. 複製用戶端 ID 和用戶端密鑰,設定 Google Security Operations 資訊提供時需要這些資訊。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Symantec Event Export Logs」
  5. 選取「Google Cloud Storage」做為「來源類型」。
  6. 選取「Symantec Event export」(Symantec 事件匯出) 做為「Log Type」(記錄檔類型)
  7. 按一下「取得服務帳戶」。Google Security Operations 會提供專屬服務帳戶,供 Google Security Operations 用於擷取資料。
  8. 設定服務帳戶存取 Cloud Storage 物件的權限。詳情請參閱「授予 Google Security Operations 服務帳戶存取權」。
  9. 點選「下一步」
  10. 設定下列必要輸入參數:
    • 儲存空間 bucket URI:指定儲存空間 bucket URI。
    • URI 是:指定 URI。
    • 來源刪除選項:指定來源刪除選項。
  11. 依序點按「繼續」和「提交」

如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件

如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。

如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。

從內容中心設定動態饋給

為下列欄位指定值:

  • 儲存空間 bucket URI:指定儲存空間 bucket URI。
  • URI 是:指定 URI。
  • 來源刪除選項:指定來源刪除選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

欄位對應參考資料

這個剖析器會從 JSON 或 SYSLOG 格式的 Symantec 事件匯出記錄中擷取欄位,並將這些欄位正規化及對應至 UDM。它會處理各種記錄結構,針對 SYSLOG 使用 grok 模式,針對 JSON 格式的記錄使用 JSON 解析,並將欄位對應至 UDM 實體,例如 principaltargetnetworksecurity_result

UDM 對應表

記錄欄位 UDM 對應 邏輯
actor.cmd_line principal.process.command_line 原始記錄的 actor.cmd_line 會直接對應至 UDM。
actor.file.full_path principal.process.file.full_path 原始記錄的 actor.file.pathfile.path 會直接對應至 UDM。
actor.file.md5 principal.process.file.md5 原始記錄的 actor.file.md5 會轉換為小寫,並直接對應至 UDM。
actor.file.sha1 principal.process.file.sha1 原始記錄的 actor.file.sha1 會轉換為小寫,並直接對應至 UDM。
actor.file.sha2 principal.process.file.sha256 原始記錄的 actor.file.sha2file.sha2 會轉換為小寫,並直接對應至 UDM。
actor.file.size principal.process.file.size 原始記錄的 actor.file.size 會轉換為字串,然後轉換為無正負號整數,並直接對應至 UDM。
actor.pid principal.process.pid 原始記錄的 actor.pid 會轉換為字串,並直接對應至 UDM。
actor.user.domain principal.administrative_domain 原始記錄的 actor.user.domain 會直接對應至 UDM。如果 connection.direction_id 為 1,則會對應至 target.administrative_domain
actor.user.name principal.user.user_display_name 原始記錄的 actor.user.name 會直接對應至 UDM。如果 user_name 存在,系統會優先採用。
actor.user.sid principal.user.windows_sid 原始記錄的 actor.user.sid 會直接對應至 UDM。
connection.direction_id network.direction 如果 connection.direction_id 為 1 且 connection.dst_ip 存在,network.direction 會設為 INBOUND。如果 connection.direction_id 為 2 且 connection.dst_ip 存在,network.direction 會設為 OUTBOUND
connection.dst_ip target.ip 原始記錄的 connection.dst_ip 會直接對應至 UDM。
connection.dst_port target.port 原始記錄的 connection.dst_port 會轉換為整數,並直接對應至 UDM。
connection.src_ip principal.ip 原始記錄的 connection.src_ip 會直接對應至 UDM。
connection.src_port principal.port 原始記錄的 connection.src_port 會轉換為整數,並直接對應至 UDM。處理 connection.src_port 為陣列的情況。
device_domain principal.administrative_domaintarget.administrative_domain 如果 connection.direction_id 不是 1,原始記錄的 device_domain 會對應至 principal.administrative_domain。如果 connection.direction_id 為 1,則會對應至 target.administrative_domain
device_group principal.group.group_display_nametarget.group.group_display_name 如果 connection.direction_id 不是 1,原始記錄的 device_group 會對應至 principal.group.group_display_name。如果 connection.direction_id 為 1,則會對應至 target.group.group_display_name
device_ip src.ip 原始記錄的 device_ip 會直接對應至 UDM。
device_name principal.hostnametarget.hostname 如果 connection.direction_id 不是 1,原始記錄的 device_name 會對應至 principal.hostname。如果 connection.direction_id 為 1,則會對應至 target.hostname
device_networks intermediary.ipintermediary.mac 系統會處理原始記錄的 device_networks 陣列。IPv4 和 IPv6 位址會合併至 intermediary.ip。MAC 位址會轉換為小寫,連字號會替換為半形冒號,然後合併至 intermediary.mac
device_os_name principal.platform_versiontarget.platform_version 如果 connection.direction_id 不是 1,原始記錄的 device_os_name 會對應至 principal.platform_version。如果 connection.direction_id 為 1,則會對應至 target.platform_version
device_public_ip principal.ip 原始記錄的 device_public_ip 會直接對應至 UDM。
device_uid principal.resource.idtarget.resource.id 如果 connection.direction_id 不是 1,原始記錄的 device_uid 會對應至 principal.resource.id。如果 connection.direction_id 為 1,則會對應至 target.resource.id
feature_name security_result.category_details 原始記錄的 feature_name 會直接對應至 UDM。
file.path principal.process.file.full_path 原始記錄的 file.path 會直接對應至 UDM。如果 actor.file.path 存在,系統會優先採用。
file.sha2 principal.process.file.sha256 原始記錄的 file.sha2 會轉換為小寫,並直接對應至 UDM。如果 actor.file.sha2 存在,系統會優先採用。
log_time metadata.event_timestamp 系統會使用各種日期格式剖析原始記錄的 log_time,並做為事件時間戳記。
message security_result.summarynetwork.ip_protocolmetadata.description 系統會處理原始記錄的 message 欄位。如果包含「UDP」,則 network.ip_protocol 會設為「UDP」。如果包含「IP」,則 network.ip_protocol 會設為「IP6IN4」。如果包含「ICMP」,則 network.ip_protocol 會設為「ICMP」。否則會對應至 security_result.summary。如果 description 欄位存在,則 message 欄位會對應至 metadata.description
parent.cmd_line principal.process.parent_process.command_line 原始記錄的 parent.cmd_line 會直接對應至 UDM。
parent.pid principal.process.parent_process.pid 原始記錄的 parent.pid 會轉換為字串,並直接對應至 UDM。
policy.name security_result.rule_name 原始記錄的 policy.name 會直接對應至 UDM。
policy.rule_name security_result.description 原始記錄的 policy.rule_name 會直接對應至 UDM。
policy.rule_uid security_result.rule_id 原始記錄的 policy.rule_uid 會直接對應至 UDM。如果 policy.uid 存在,系統會優先採用。
policy.uid security_result.rule_id 原始記錄的 policy.uid 會直接對應至 UDM。
product_name metadata.product_name 原始記錄的 product_name 會直接對應至 UDM。
product_uid metadata.product_log_id 原始記錄的 product_uid 會直接對應至 UDM。
product_ver metadata.product_version 原始記錄的 product_ver 會直接對應至 UDM。
severity_id security_result.severity 如果 severity_id 為 1、2 或 3,security_result.severity 會設為 INFORMATIONAL。如果是 4,則會設為 ERROR。如果是 5,則會設為 CRITICAL
threat.id security_result.threat_id 原始記錄的 threat.id 會轉換為字串,並直接對應至 UDM。
threat.name security_result.threat_name 原始記錄的 threat.name 會直接對應至 UDM。
type_id metadata.event_typemetadata.product_event_type 與其他欄位搭配使用,判斷適當的 metadata.event_typemetadata.product_event_type
user_email principal.user.email_addresses 原始記錄的 user_email 會併入 UDM。
user_name principal.user.user_display_name 原始記錄的 user_name 會直接對應至 UDM。
uuid target.process.pid 系統會剖析原始記錄的 uuid,擷取程序 ID,並對應至 target.process.pid
不適用 metadata.vendor_name 設為「SYMANTEC」。
不適用 metadata.log_type 設為「SYMANTEC_EVENT_EXPORT」。
不適用 principal.resource.resource_type 如果 connection.direction_id 不是 1 或空白,請設為「DEVICE」。
不適用 target.resource.resource_type 如果 connection.direction_id 為 1,請設為「DEVICE」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。