收集 Symantec VIP Enterprise Gateway 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Symantec VIP Enterprise Gateway 日志注入到 Google Security Operations。解析器代码首先尝试将输入日志消息处理为 JSON 对象。如果此操作失败,则假定为 syslog 格式,并使用正则表达式(Grok 模式)提取相关字段,例如时间戳、IP 地址、用户名和事件说明。最后,它会将提取的信息映射到统一数据模型 (UDM) 字段,以实现标准化安全事件表示。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于开放状态
- 对 Symantec VIP Enterprise Gateway 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'SYMANTEC_VIP' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec VIP Enterprise Gateway 中配置 Syslog
- 登录 Symantec VIP Gateway 网页界面。
- 依次前往日志 > Syslog 配置。
- 如果您是首次配置 Syslog,系统会提示您配置 Syslog 设置。选择是。
- 如果您已配置 Syslog,请点击页面底部的修改。
- 提供以下配置详细信息:
- Syslog Facility:选择 LOG_LOCAL0。
- Syslog Host:输入 Bindplane 代理 IP 地址。
- Syslog 端口:输入 Bindplane 代理端口号(例如,对于 UDP,输入
514)。
- 点击保存。
- 依次前往设置 > 控制台设置。
- 提供以下配置详细信息:
- 日志记录级别:选择信息。
- Enable Syslog(启用 Syslog):选择 Yes(是)。
- 点击提交。
- 依次前往设置 > 健康检查设置。
- 选择是以启用健康检查服务。
- 提供以下配置详细信息:
- 日志记录级别:选择信息。
- Enable Syslog(启用 Syslog):选择 Yes(是)。
- 点击提交。
- 前往用户存储区 > LDAP 目录同步。
- 修改以下配置详细信息:
- 日志级别:选择 Info。
- Enable Syslog(启用 Syslog):选择 Yes(是)。
- 点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 应用 | read_only_udm.principal.application | 从 JSON 过滤器提取的 application 字段中获取的值。 |
| 命令 | read_only_udm.target.process.command_line | 从 grok 模式提取的 command 字段中获取的值。 |
| credentialType | 此字段未直接映射到 UDM。它用于派生 read_only_udm.extensions.auth.mechanism 的值。 | |
| 数据 | 此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。 | |
| data2 | 此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。 | |
| datetime | read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos |
从 datetime 字段中提取的自纪元以来的秒数和纳秒数。 |
| 降序 | read_only_udm.metadata.description | 从 JSON 过滤器提取的 desc 字段中获取的值。 |
| 说明 | read_only_udm.security_result.description | 从 JSON 过滤器提取的 description 字段中获取的值。 |
| filename | read_only_udm.target.process.file.full_path | 从 grok 模式提取的 filename 字段中获取的值。 |
| 主机名 | read_only_udm.principal.hostname | 从 JSON 过滤器提取的 hostname 字段中获取的值。 |
| host_name | read_only_udm.intermediary.hostname | 从 JSON 过滤器提取的 host_name 字段中获取的值。 |
| log_level | 此字段未直接映射到 UDM。用于派生 read_only_udm.security_result.severity 的值。 | |
| log_type | read_only_udm.metadata.product_event_type | 从 JSON 过滤器提取的 log_type 字段中获取的值。 |
| msg | 此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。 | |
| 操作 | read_only_udm.security_result.summary | 从 grok 模式提取的 operation 字段中获取的值。 |
| processid | read_only_udm.target.process.pid | 从 grok 模式提取的 processid 字段中获取的值。 |
| 产品 | read_only_udm.metadata.product_name | 从 JSON 过滤器提取的 product 字段中获取的值。 |
| reason | read_only_udm.metadata.description | 从 grok 模式提取的 reason 字段中获取的值。 |
| request_id | read_only_udm.target.resource.id | 从 grok 模式提取的 request_id 字段中获取的值。 |
| src_ip | read_only_udm.principal.ip | 从 grok 模式提取的 src_ip 字段中获取的值。 |
| 状态 | read_only_udm.metadata.description | 从 grok 模式提取的 status 字段中获取的值。 |
| 摘要 | read_only_udm.security_result.summary | 从 JSON 过滤器提取的 summary 字段中获取的值。 |
| timestamp.nanos | read_only_udm.metadata.event_timestamp.nanos | 与原始日志时间戳相差的纳秒数。 |
| timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | 与原始日志时间戳相差的秒数。 |
| 时间 | 此字段未直接映射到 UDM。它用于派生 read_only_udm.metadata.event_timestamp.seconds 和 read_only_udm.metadata.event_timestamp.nanos 的值。 | |
| 用户 | read_only_udm.target.user.userid | 从 json 过滤器或 grok 模式提取的 user 字段中获取的值。 |
| vendor | read_only_udm.metadata.vendor_name | 从 JSON 过滤器提取的 vendor 字段中获取的值。 |
| read_only_udm.extensions.auth.mechanism | 由 credentialType 字段确定。如果 credentialType 为 SMS_OTP 或 STANDARD_OTP,则使用 OTP。如果 credentialType 与正则表达式 PASSWORD 匹配,则使用 USERNAME_PASSWORD。 |
|
| read_only_udm.extensions.auth.type | 如果 reason 字段与正则表达式 LDAP 匹配,则使用 SSO。否则,将使用 AUTHTYPE_UNSPECIFIED。 |
|
| read_only_udm.metadata.event_type | 由是否存在某些字段决定。如果 user 或 processid 不为空,则使用 USER_LOGIN。如果 user 为空,且 src_ip 不为空或为 0.0.0.0,则使用 STATUS_UPDATE。否则,将使用 GENERIC_EVENT。 |
|
| read_only_udm.metadata.log_type | 硬编码为 SYMANTEC_VIP。 |
|
| read_only_udm.security_result.action | 由 status 字段确定。如果 status 为 Authentication Success、GRANTED、Authentication Completed、After Services Authenticate call 或 CHALLENGED,则使用 ALLOW。如果 status 为 DENIED、Acces-Reject、Unknown Error、Service Unavailable 或 FAILED,则使用 BLOCK。如果 status 为 PUSH request sent for user 或 Trying to fetch attribute,则使用 QUARANTINE。 |
|
| read_only_udm.security_result.severity | 由 log_level 字段确定。如果 log_level 为 DEBUG、INFO 或 AUDIT,则使用 INFORMATIONAL。如果 log_level 为 ERROR,则使用 ERROR。如果 log_level 为 WARNING,则使用 MEDIUM。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。