Esta página se ha traducido con Cloud Translation API.

Recopilar registros de Symantec VIP Enterprise Gateway

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de Symantec VIP Enterprise Gateway en Google Security Operations mediante Bindplane. El código del analizador primero intenta procesar el mensaje de registro de entrada como un objeto JSON. Si no se puede, se asume un formato syslog y se usan expresiones regulares (patrones grok) para extraer campos relevantes, como marcas de tiempo, direcciones IP, nombres de usuario y descripciones de eventos. Por último, asigna la información extraída a los campos del modelo de datos unificado (UDM) para estandarizar la representación de los eventos de seguridad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o una versión posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a Symantec VIP Enterprise Gateway

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_VIP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta donde se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog en Symantec VIP Enterprise Gateway

Inicia sesión en la interfaz web de Symantec VIP Gateway.
Vaya a Registros > Configuración de Syslog.
Si es la primera vez que configuras Syslog, se te pedirá que lo hagas. Selecciona Sí.
Si ya has configurado Syslog, haz clic en Editar en la parte inferior de la página.
Proporcione los siguientes detalles de configuración:
- Instalación de Syslog: selecciona LOG_LOCAL0.
- Host de Syslog: introduce la dirección IP del agente de BindPlane.
- Puerto Syslog: introduce el número de puerto del agente Bindplane (por ejemplo, 514 para UDP).
Haz clic en Guardar.
Ve a Ajustes > Ajustes de la consola.
Proporcione los siguientes detalles de configuración:
- Nivel de registro: selecciona Información.
- Enable Syslog (Habilitar Syslog): selecciona Yes (Sí).
Haz clic en Enviar.
Ve a Configuración > Configuración de comprobación del estado.
Selecciona Sí para habilitar el servicio de comprobación del estado.
Proporcione los siguientes detalles de configuración:
- Nivel de registro: selecciona Información.
- Enable Syslog (Habilitar Syslog): selecciona Yes (Sí).
Haz clic en Enviar.
Ve a Almacén de usuarios > Sincronización de directorios LDAP.
Edita los siguientes detalles de configuración:
- Nivel de registro: selecciona Información.
- Enable Syslog (Habilitar Syslog): selecciona Yes (Sí).
Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
página	read_only_udm.principal.application	Valor tomado del campo `application` extraído por el filtro JSON.
comando	read_only_udm.target.process.command_line	Valor tomado del campo `command` extraído por el patrón grok.
credentialType		Este campo no se asigna directamente a UDM. Se usa para obtener el valor de read_only_udm.extensions.auth.mechanism.
datos		Este campo no se asigna directamente a UDM. Se analiza para extraer otros campos.
data2		Este campo no se asigna directamente a UDM. Se analiza para extraer otros campos.
datetime	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Segundos y nanosegundos desde el inicio del registro de tiempo extraídos del campo `datetime`.
descendente	read_only_udm.metadata.description	Valor tomado del campo `desc` extraído por el filtro JSON.
description	read_only_udm.security_result.description	Valor tomado del campo `description` extraído por el filtro JSON.
filename	read_only_udm.target.process.file.full_path	Valor tomado del campo `filename` extraído por el patrón grok.
nombre de host	read_only_udm.principal.hostname	Valor tomado del campo `hostname` extraído por el filtro JSON.
host_name	read_only_udm.intermediary.hostname	Valor tomado del campo `host_name` extraído por el filtro JSON.
log_level		Este campo no se asigna directamente a UDM. Se usa para obtener el valor de read_only_udm.security_result.severity.
log_type	read_only_udm.metadata.product_event_type	Valor tomado del campo `log_type` extraído por el filtro JSON.
msg		Este campo no se asigna directamente a UDM. Se analiza para extraer otros campos.
operación	read_only_udm.security_result.summary	Valor tomado del campo `operation` extraído por el patrón grok.
processid	read_only_udm.target.process.pid	Valor tomado del campo `processid` extraído por el patrón grok.
producto	read_only_udm.metadata.product_name	Valor tomado del campo `product` extraído por el filtro JSON.
reason	read_only_udm.metadata.description	Valor tomado del campo `reason` extraído por el patrón grok.
request_id	read_only_udm.target.resource.id	Valor tomado del campo `request_id` extraído por el patrón grok.
src_ip	read_only_udm.principal.ip	Valor tomado del campo `src_ip` extraído por el patrón grok.
status	read_only_udm.metadata.description	Valor tomado del campo `status` extraído por el patrón grok.
resumen	read_only_udm.security_result.summary	Valor tomado del campo `summary` extraído por el filtro JSON.
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	Nanosegundos de la marca de tiempo del registro original.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Segundos desde la marca de tiempo del registro original.
Tiempo		Este campo no se asigna directamente a UDM. Se usa para obtener los valores de read_only_udm.metadata.event_timestamp.seconds y read_only_udm.metadata.event_timestamp.nanos.
usuario	read_only_udm.target.user.userid	Valor tomado del campo `user` extraído por el filtro JSON o el patrón Grok.
vendor	read_only_udm.metadata.vendor_name	Valor tomado del campo `vendor` extraído por el filtro JSON.
	read_only_udm.extensions.auth.mechanism	Determinado por el campo `credentialType`. Si `credentialType` es `SMS_OTP` o `STANDARD_OTP`, se usa `OTP`. Si `credentialType` coincide con la expresión regular `PASSWORD`, se usa `USERNAME_PASSWORD`.
	read_only_udm.extensions.auth.type	Si el campo `reason` coincide con la expresión regular `LDAP`, se usa `SSO`. De lo contrario, se usa `AUTHTYPE_UNSPECIFIED`.
	read_only_udm.metadata.event_type	Determinado por la presencia de determinados campos. Si `user` o `processid` no están vacíos, se usa `USER_LOGIN`. Si `user` está vacío y `src_ip` no está vacío o `0.0.0.0`, se usa `STATUS_UPDATE`. De lo contrario, se usa `GENERIC_EVENT`.
	read_only_udm.metadata.log_type	Valor fijo establecido en el código fuente `SYMANTEC_VIP`.
	read_only_udm.security_result.action	Determinado por el campo `status`. Si `status` es `Authentication Success`, `GRANTED`, `Authentication Completed`, `After Services Authenticate call` o `CHALLENGED`, se usa `ALLOW`. Si `status` es `DENIED`, `Acces-Reject`, `Unknown Error`, `Service Unavailable` o `FAILED`, se usa `BLOCK`. Si `status` es `PUSH request sent for user` o `Trying to fetch attribute`, se usa `QUARANTINE`.
	read_only_udm.security_result.severity	Determinado por el campo `log_level`. Si `log_level` es `DEBUG`, `INFO` o `AUDIT`, se usa `INFORMATIONAL`. Si `log_level` es `ERROR`, se usa `ERROR`. Si `log_level` es `WARNING`, se usa `MEDIUM`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.