此页面由 Cloud Translation API 翻译。

收集 Symantec VIP Enterprise Gateway 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Symantec VIP Enterprise Gateway 日志注入到 Google Security Operations。解析器代码首先尝试将输入日志消息处理为 JSON 对象。如果此操作失败，则假定为 syslog 格式，并使用正则表达式（Grok 模式）提取相关字段，例如时间戳、IP 地址、用户名和事件说明。最后，它会将提取的信息映射到统一数据模型 (UDM) 字段，以实现标准化安全事件表示。

准备工作

确保您满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
对 Symantec VIP Enterprise Gateway 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'SYMANTEC_VIP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Symantec VIP Enterprise Gateway 中配置 Syslog

登录 Symantec VIP Gateway 网页界面。
依次前往日志 > Syslog 配置。
如果您是首次配置 Syslog，系统会提示您配置 Syslog 设置。选择是。
如果您已配置 Syslog，请点击页面底部的修改。
提供以下配置详细信息：
- Syslog Facility：选择 LOG_LOCAL0。
- Syslog Host：输入 Bindplane 代理 IP 地址。
- Syslog 端口：输入 Bindplane 代理端口号（例如，对于 UDP，输入 514）。
点击保存。
依次前往设置 > 控制台设置。
提供以下配置详细信息：
- 日志记录级别：选择信息。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。
依次前往设置 > 健康检查设置。
选择是以启用健康检查服务。
提供以下配置详细信息：
- 日志记录级别：选择信息。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。
前往用户存储区 > LDAP 目录同步。
修改以下配置详细信息：
- 日志级别：选择 Info。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
应用	read_only_udm.principal.application	从 JSON 过滤器提取的 `application` 字段中获取的值。
命令	read_only_udm.target.process.command_line	从 grok 模式提取的 `command` 字段中获取的值。
credentialType		此字段未直接映射到 UDM。它用于派生 read_only_udm.extensions.auth.mechanism 的值。
数据		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
data2		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
datetime	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	从 `datetime` 字段中提取的自纪元以来的秒数和纳秒数。
降序	read_only_udm.metadata.description	从 JSON 过滤器提取的 `desc` 字段中获取的值。
说明	read_only_udm.security_result.description	从 JSON 过滤器提取的 `description` 字段中获取的值。
filename	read_only_udm.target.process.file.full_path	从 grok 模式提取的 `filename` 字段中获取的值。
主机名	read_only_udm.principal.hostname	从 JSON 过滤器提取的 `hostname` 字段中获取的值。
host_name	read_only_udm.intermediary.hostname	从 JSON 过滤器提取的 `host_name` 字段中获取的值。
log_level		此字段未直接映射到 UDM。用于派生 read_only_udm.security_result.severity 的值。
log_type	read_only_udm.metadata.product_event_type	从 JSON 过滤器提取的 `log_type` 字段中获取的值。
msg		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
操作	read_only_udm.security_result.summary	从 grok 模式提取的 `operation` 字段中获取的值。
processid	read_only_udm.target.process.pid	从 grok 模式提取的 `processid` 字段中获取的值。
产品	read_only_udm.metadata.product_name	从 JSON 过滤器提取的 `product` 字段中获取的值。
reason	read_only_udm.metadata.description	从 grok 模式提取的 `reason` 字段中获取的值。
request_id	read_only_udm.target.resource.id	从 grok 模式提取的 `request_id` 字段中获取的值。
src_ip	read_only_udm.principal.ip	从 grok 模式提取的 `src_ip` 字段中获取的值。
状态	read_only_udm.metadata.description	从 grok 模式提取的 `status` 字段中获取的值。
摘要	read_only_udm.security_result.summary	从 JSON 过滤器提取的 `summary` 字段中获取的值。
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	与原始日志时间戳相差的纳秒数。
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	与原始日志时间戳相差的秒数。
时间		此字段未直接映射到 UDM。它用于派生 read_only_udm.metadata.event_timestamp.seconds 和 read_only_udm.metadata.event_timestamp.nanos 的值。
用户	read_only_udm.target.user.userid	从 json 过滤器或 grok 模式提取的 `user` 字段中获取的值。
vendor	read_only_udm.metadata.vendor_name	从 JSON 过滤器提取的 `vendor` 字段中获取的值。
	read_only_udm.extensions.auth.mechanism	由 `credentialType` 字段确定。如果 `credentialType` 为 `SMS_OTP` 或 `STANDARD_OTP`，则使用 `OTP`。如果 `credentialType` 与正则表达式 `PASSWORD` 匹配，则使用 `USERNAME_PASSWORD`。
	read_only_udm.extensions.auth.type	如果 `reason` 字段与正则表达式 `LDAP` 匹配，则使用 `SSO`。否则，将使用 `AUTHTYPE_UNSPECIFIED`。
	read_only_udm.metadata.event_type	由是否存在某些字段决定。如果 `user` 或 `processid` 不为空，则使用 `USER_LOGIN`。如果 `user` 为空，且 `src_ip` 不为空或为 `0.0.0.0`，则使用 `STATUS_UPDATE`。否则，将使用 `GENERIC_EVENT`。
	read_only_udm.metadata.log_type	硬编码为 `SYMANTEC_VIP`。
	read_only_udm.security_result.action	由 `status` 字段确定。如果 `status` 为 `Authentication Success`、`GRANTED`、`Authentication Completed`、`After Services Authenticate call` 或 `CHALLENGED`，则使用 `ALLOW`。如果 `status` 为 `DENIED`、`Acces-Reject`、`Unknown Error`、`Service Unavailable` 或 `FAILED`，则使用 `BLOCK`。如果 `status` 为 `PUSH request sent for user` 或 `Trying to fetch attribute`，则使用 `QUARANTINE`。
	read_only_udm.security_result.severity	由 `log_level` 字段确定。如果 `log_level` 为 `DEBUG`、`INFO` 或 `AUDIT`，则使用 `INFORMATIONAL`。如果 `log_level` 为 `ERROR`，则使用 `ERROR`。如果 `log_level` 为 `WARNING`，则使用 `MEDIUM`。