本頁面由 Cloud Translation API 翻譯而成。

收集 Symantec Event Export 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何設定 Google Security Operations 資訊提供，以收集 Symantec Event Export 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有下列擷取標籤的剖析器：SYMANTEC_EVENT_EXPORT 和 SEP。

設定 Symantec 事件匯出功能

登入 SEP 15/14.2 控制台。
選取「整合」。
按一下「Client Application」，然後複製「Customer ID」和「Domain ID」，這些 ID 會在您建立 Google Security Operations 資訊提供時使用。
按一下「+ 新增」，然後提供應用程式名稱。
按一下「新增」。
前往「詳細資料」頁面，然後執行下列動作：
- 在「裝置群組管理」部分中，選取「查看」。
- 在「快訊和事件規則管理」部分，選取「查看」。
- 在「調查事件」部分，選取「查看」。
按一下 [儲存]。
按一下應用程式名稱結尾的選單 (垂直刪節號)，然後按一下「用戶端密鑰」。
複製用戶端 ID 和用戶端密鑰，設定 Google Security Operations 資訊提供時需要這些資訊。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱，例如「Symantec Event Export Logs」。
選取「Google Cloud Storage V2」做為「來源類型」。
選取「Symantec Event export」(Symantec 事件匯出) 做為「記錄類型」。
按一下「取得服務帳戶」。Google Security Operations 會提供專屬服務帳戶，供 Google Security Operations 用於擷取資料。
設定服務帳戶存取 Cloud Storage 物件的權限。詳情請參閱「授予 Google Security Operations 服務帳戶存取權」。
點選「下一步」。
設定下列必要輸入參數：
- 儲存空間 bucket URI：指定儲存空間 bucket URI。
- 來源刪除選項：指定來源刪除選項。
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
依序點按「繼續」和「提交」。

如要進一步瞭解 Google Security Operations 動態消息，請參閱 Google Security Operations 動態消息說明文件。

如要瞭解各動態饋給類型的規定，請參閱「依類型設定動態饋給」。

如果在建立動態饋給時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 JSON 或 SYSLOG 格式的 Symantec 事件匯出記錄中擷取欄位，並將這些欄位正規化及對應至 UDM。它會處理各種記錄結構，針對 SYSLOG 使用 grok 模式，針對 JSON 格式的記錄使用 JSON 解析，並將欄位對應至 UDM 實體，例如 principal、target、network 和 security_result。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`actor.cmd_line`	`principal.process.command_line`	原始記錄的 `actor.cmd_line` 會直接對應至 UDM。
`actor.file.full_path`	`principal.process.file.full_path`	原始記錄的 `actor.file.path` 或 `file.path` 會直接對應至 UDM。
`actor.file.md5`	`principal.process.file.md5`	原始記錄的 `actor.file.md5` 會轉換為小寫，並直接對應至 UDM。
`actor.file.sha1`	`principal.process.file.sha1`	原始記錄的 `actor.file.sha1` 會轉換為小寫，並直接對應至 UDM。
`actor.file.sha2`	`principal.process.file.sha256`	原始記錄的 `actor.file.sha2` 或 `file.sha2` 會轉換為小寫，並直接對應至 UDM。
`actor.file.size`	`principal.process.file.size`	原始記錄的 `actor.file.size` 會轉換為字串，然後轉換為無正負號整數，並直接對應至 UDM。
`actor.pid`	`principal.process.pid`	原始記錄的 `actor.pid` 會轉換為字串，並直接對應至 UDM。
`actor.user.domain`	`principal.administrative_domain`	原始記錄的 `actor.user.domain` 會直接對應至 UDM。如果 `connection.direction_id` 為 1，則會對應至 `target.administrative_domain`。
`actor.user.name`	`principal.user.user_display_name`	原始記錄的 `actor.user.name` 會直接對應至 UDM。如果 `user_name` 存在，系統會優先採用。
`actor.user.sid`	`principal.user.windows_sid`	原始記錄的 `actor.user.sid` 會直接對應至 UDM。
`connection.direction_id`	`network.direction`	如果 `connection.direction_id` 為 1 且 `connection.dst_ip` 存在，`network.direction` 會設為 `INBOUND`。如果 `connection.direction_id` 為 2 且 `connection.dst_ip` 存在，`network.direction` 會設為 `OUTBOUND`。
`connection.dst_ip`	`target.ip`	原始記錄的 `connection.dst_ip` 會直接對應至 UDM。
`connection.dst_port`	`target.port`	原始記錄的 `connection.dst_port` 會轉換為整數，並直接對應至 UDM。
`connection.src_ip`	`principal.ip`	原始記錄的 `connection.src_ip` 會直接對應至 UDM。
`connection.src_port`	`principal.port`	原始記錄的 `connection.src_port` 會轉換為整數，並直接對應至 UDM。處理 `connection.src_port` 為陣列的情況。
`device_domain`	`principal.administrative_domain`或`target.administrative_domain`	如果 `connection.direction_id` 不是 1，原始記錄的 `device_domain` 會對應至 `principal.administrative_domain`。如果 `connection.direction_id` 為 1，則會對應至 `target.administrative_domain`。
`device_group`	`principal.group.group_display_name`或`target.group.group_display_name`	如果 `connection.direction_id` 不是 1，原始記錄的 `device_group` 會對應至 `principal.group.group_display_name`。如果 `connection.direction_id` 為 1，則會對應至 `target.group.group_display_name`。
`device_ip`	`src.ip`	原始記錄的 `device_ip` 會直接對應至 UDM。
`device_name`	`principal.hostname`或`target.hostname`	如果 `connection.direction_id` 不是 1，原始記錄的 `device_name` 會對應至 `principal.hostname`。如果 `connection.direction_id` 為 1，則會對應至 `target.hostname`。
`device_networks`	`intermediary.ip`、`intermediary.mac`	系統會處理原始記錄的 `device_networks` 陣列。IPv4 和 IPv6 位址會合併至 `intermediary.ip`。MAC 位址會轉換為小寫，連字號會替換為半形冒號，然後合併為 `intermediary.mac`。
`device_os_name`	`principal.platform_version`或`target.platform_version`	如果 `connection.direction_id` 不是 1，原始記錄的 `device_os_name` 會對應至 `principal.platform_version`。如果 `connection.direction_id` 為 1，則會對應至 `target.platform_version`。
`device_public_ip`	`principal.ip`	原始記錄的 `device_public_ip` 會直接對應至 UDM。
`device_uid`	`principal.resource.id`或`target.resource.id`	如果 `connection.direction_id` 不是 1，原始記錄的 `device_uid` 會對應至 `principal.resource.id`。如果 `connection.direction_id` 為 1，則會對應至 `target.resource.id`。
`feature_name`	`security_result.category_details`	原始記錄的 `feature_name` 會直接對應至 UDM。
`file.path`	`principal.process.file.full_path`	原始記錄的 `file.path` 會直接對應至 UDM。如果 `actor.file.path` 存在，系統會優先採用。
`file.sha2`	`principal.process.file.sha256`	原始記錄的 `file.sha2` 會轉換為小寫，並直接對應至 UDM。如果 `actor.file.sha2` 存在，系統會優先採用。
`log_time`	`metadata.event_timestamp`	系統會使用各種日期格式剖析原始記錄的 `log_time`，並做為事件時間戳記。
`message`	`security_result.summary`、`network.ip_protocol` 或 `metadata.description`	系統會處理原始記錄的 `message` 欄位。如果包含「UDP」，則 `network.ip_protocol` 會設為「UDP」。如果包含「IP」，則 `network.ip_protocol` 會設為「IP6IN4」。如果包含「ICMP」，則 `network.ip_protocol` 會設為「ICMP」。否則會對應至 `security_result.summary`。如果 `description` 欄位存在，則 `message` 欄位會對應至 `metadata.description`。
`parent.cmd_line`	`principal.process.parent_process.command_line`	原始記錄的 `parent.cmd_line` 會直接對應至 UDM。
`parent.pid`	`principal.process.parent_process.pid`	原始記錄的 `parent.pid` 會轉換為字串，並直接對應至 UDM。
`policy.name`	`security_result.rule_name`	原始記錄的 `policy.name` 會直接對應至 UDM。
`policy.rule_name`	`security_result.description`	原始記錄的 `policy.rule_name` 會直接對應至 UDM。
`policy.rule_uid`	`security_result.rule_id`	原始記錄的 `policy.rule_uid` 會直接對應至 UDM。如果 `policy.uid` 存在，系統會優先採用。
`policy.uid`	`security_result.rule_id`	原始記錄的 `policy.uid` 會直接對應至 UDM。
`product_name`	`metadata.product_name`	原始記錄的 `product_name` 會直接對應至 UDM。
`product_uid`	`metadata.product_log_id`	原始記錄的 `product_uid` 會直接對應至 UDM。
`product_ver`	`metadata.product_version`	原始記錄的 `product_ver` 會直接對應至 UDM。
`severity_id`	`security_result.severity`	如果 `severity_id` 為 1、2 或 3，`security_result.severity` 會設為 `INFORMATIONAL`。如果是 4，則會設為 `ERROR`。如果是 5，則會設為 `CRITICAL`。
`threat.id`	`security_result.threat_id`	原始記錄的 `threat.id` 會轉換為字串，並直接對應至 UDM。
`threat.name`	`security_result.threat_name`	原始記錄的 `threat.name` 會直接對應至 UDM。
`type_id`	`metadata.event_type`、`metadata.product_event_type`	與其他欄位搭配使用，判斷適當的 `metadata.event_type` 和 `metadata.product_event_type`。
`user_email`	`principal.user.email_addresses`	原始記錄的 `user_email` 會併入 UDM。
`user_name`	`principal.user.user_display_name`	原始記錄的 `user_name` 會直接對應至 UDM。
`uuid`	`target.process.pid`	系統會剖析原始記錄的 `uuid`，擷取程序 ID，並對應至 `target.process.pid`。
不適用	`metadata.vendor_name`	設為「SYMANTEC」。
不適用	`metadata.log_type`	設為「SYMANTEC_EVENT_EXPORT」。
不適用	`principal.resource.resource_type`	如果 `connection.direction_id` 不是 1 或空白，請設為「DEVICE」。
不適用	`target.resource.resource_type`	如果 `connection.direction_id` 為 1，請設為「DEVICE」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。