Collecter les journaux Symantec Web Isolation

Compatible avec :

Ce document explique comment ingérer les journaux Symantec Web Isolation dans Google Security Operations à l'aide de Bindplane. Le parseur gère deux principaux types de messages provenant de Symantec Web Isolation : les messages de trace de données et les messages d'appareil. Il extrait les champs des journaux au format JSON, effectue des transformations de données telles que l'analyse de la date et la conversion de l'user-agent, et mappe les données extraites au modèle de données unifié (UDM), en gérant différentes structures de journaux en fonction des champs traceId et event_type.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
  • Accès privilégié à la plate-forme Symantec Web Isolation

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :
    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

        receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog dans la plate-forme Symantec Web Isolation

  1. Connectez-vous à l'interface utilisateur Web Symantec Web Isolation.
  2. Accédez à Configuration du système> Serveur de journaux externe> Nouveau serveur de journaux externe> Serveur Syslog.
  3. Fournissez les informations de configuration suivantes :
    • État : cochez la case Activer.
    • Hôte : saisissez l'adresse IP de l'agent Bindplane.
    • Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
    • Protocole : sélectionnez UDP.
    • Appname : saisissez un tag pour identifier la plate-forme Web Isolation.
    • Établissement : nom de l'établissement Syslog associé aux journaux d'isolation Web.
  4. Cliquez sur Créer.
  5. Accédez à Rapports > Transfert de journaux.
  6. Cliquez sur Modifier.
  7. Fournissez les informations de configuration suivantes :
    • Journaux d'activité : sélectionnez le serveur Bindplane qui vient d'être ajouté.
    • Journaux d'audit de gestion : sélectionnez le serveur Bindplane que vous venez d'ajouter.
    • Journaux d'audit de la passerelle : sélectionnez le serveur Bindplane que vous venez d'ajouter.
  8. Cliquez sur Mettre à jour.

Table de mappage UDM

Champ de journal Mappage UDM Logique
action security_result.summary concaténé avec action_reason pour former le résumé.
action_reason security_result.summary concaténé avec action pour former le résumé.
content_action security_result.action_details Mappage direct.
createdAt metadata.event_timestamp Converti en code temporel au format UNIX_MS.
creationDate metadata.event_timestamp Converti en code temporel au format UNIX_MS.
data.level security_result.severity Mappé sur INFORMATIONAL, LOW ou HIGH en fonction de la valeur.
data.properties.environment.str intermediary.location.name Mappage direct.
data.properties.hostname.str intermediary.hostname Mappage direct.
destination_ip target.ip Mappage direct.
destination_ip_country_name target.location.country_or_region Mappage direct.
device.current_risk_warnings security_result.category_details Mappage direct.
device.identifier target.asset.product_object_id Mappage direct.
device.model hardware.model Mappage direct.
device.os_version target.asset.platform_software.platform_version Mappage direct.
device.serial_number hardware.serial_number Mappage direct.
device.udid target.asset.asset_id Préfixé par "UDID:" avant le mappage.
device.user.email target.user.email_addresses Mappage direct.
device.user.id target.user.userid Mappage direct.
device.user.name target.user.user_display_name Mappage direct.
device.user.organization.id target.user.groupid Mappage direct.
device.user.organization.name target.user.group_identifiers Mappage direct.
event metadata.product_event_type Mappage direct.
event_type metadata.event_type Définissez la valeur sur "GENERIC_EVENT" ou "NETWORK_HTTP" en fonction des données de journaux.
file_name target.file.names Mappage direct.
file_type about.labels, about.resource.attribute.labels Ajouté en tant que libellé avec la clé "file_type".
id metadata.product_log_id Mappage direct.
isolation_session_id network.parent_session_id Mappage direct.
level security_result.severity Mappé sur INFORMATIONAL, LOW ou HIGH en fonction de la valeur.
original_source_ip principal.ip Mappage direct.
policy_version security_result.rule_version Mappage direct.
properties.environment intermediary.location.name Mappage direct.
properties.hostname intermediary.hostname Mappage direct.
referer_url network.http.referral_url Mappage direct.
request_method network.http.method Mappage direct.
resource_response_headers.x-nauthilus-traceid network.community_id Mappage direct.
response_status_code network.http.response_code Mappage direct.
rule_id security_result.rule_id Mappage direct.
rule_name_at_log_time security_result.rule_name Mappage direct.
rule_type security_result.rule_type Mappage direct.
service principal.application Mappage direct.
session_id network.session_id Mappage direct.
severity security_result.severity Mappé sur FAIBLE, MOYEN ou ÉLEVÉ en fonction de la valeur.
source_ip principal.ip Mappage direct.
source_ip_country_name principal.location.country_or_region Mappage direct.
source_port principal.port Mappage direct.
sub_type security_result.summary Mappage direct.
target.asset.type target.asset.type Définissez la valeur sur "MOBILE" si device.model contient "ipad" ou "iphone".
target.asset.platform_software.platform target.asset.platform_software.platform Définissez la valeur sur "MAC" si device.model contient "ipad" ou "iphone".
timestamp metadata.event_timestamp Analysé au format yyyy-MM-dd HH:mm:ss.SSS Z.
total_bytes network.received_bytes Mappage direct si la valeur est supérieure à 0.
traceId metadata.product_log_id Mappage direct.
type metadata.product_event_type Mappage direct.
url target.url Mappage direct.
url_host principal.hostname Mappage direct.
user_download_usage_bytes network.received_bytes Mappage direct.
user_total_usage_bytes about.labels, about.resource.attribute.labels Ajouté en tant que libellé avec la clé "user_total_usage_bytes".
user_upload_usage_bytes network.sent_bytes Mappage direct.
username principal.user.user_display_name Mappage direct.
vendor_name metadata.vendor_name Défini sur "Broadcom Inc.".
product_name metadata.product_name Définissez-le sur "Symantec Web Isolation".
log_type metadata.log_type Défini sur "SYMANTEC_WEB_ISOLATION".
sandbox about.labels, about.resource.attribute.labels Ajouté en tant que libellé avec la clé "Sandbox" et la valeur extraite de l'URL.
utub about.labels, about.resource.attribute.labels Ajouté en tant que libellé avec la clé "user_total_usage_bytes".
userid target.user.userid Extrait de l'URL.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.