Mengumpulkan log Symantec Web Isolation
Dokumen ini menjelaskan cara menyerap log Symantec Web Isolation ke
Google Security Operations menggunakan Bindplane. Parser menangani dua jenis pesan utama dari Symantec Web Isolation: pesan rekaman aktivitas data dan pesan perangkat.
Proses ini mengekstrak kolom dari log berformat JSON, melakukan transformasi data seperti penguraian tanggal dan konversi agen pengguna, serta memetakan data yang diekstrak ke Unified Data Model (UDM) yang menangani struktur log yang berbeda berdasarkan kolom traceId
dan event_type
.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru atau host Linux dengan systemd
- Jika dijalankan di belakang proxy, port firewall terbuka
- Akses istimewa ke platform Symantec Web Isolation
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
```cmd msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet ```
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
```bash sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh ```
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
- Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'SYMANTEC_WEB_ISOLATION' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi Syslog di platform Symantec Web Isolation
- Login ke UI web Symantec Web Isolation Anda.
- Buka Konfigurasi Sistem > Server Log Eksternal > Server Log Eksternal Baru > Server Syslog.
- Berikan detail konfigurasi berikut:
- Status: Centang kotak untuk Aktifkan.
- Host: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (misalnya,
514
untuk UDP). - Protocol: Pilih UDP.
- Appname: Masukkan Tag untuk mengidentifikasi platform Web Isolation.
- Fasilitas: Nama fasilitas syslog yang terkait dengan log Isolasi Web.
- Klik Buat.
- Buka Laporan > Penerusan Log.
- Klik Edit.
- Berikan detail konfigurasi berikut:
- Log Aktivitas: Pilih server Bindplane yang baru ditambahkan.
- Log Audit Pengelolaan: Pilih server Bindplane yang baru ditambahkan.
- Log Audit Gateway: Pilih server Bindplane yang baru ditambahkan.
- Klik Perbarui.
Tabel pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
action |
security_result.summary |
Digabungkan dengan action_reason untuk membentuk ringkasan. |
action_reason |
security_result.summary |
Digabungkan dengan action untuk membentuk ringkasan. |
content_action |
security_result.action_details |
Pemetaan langsung. |
createdAt |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu menggunakan format UNIX_MS. |
creationDate |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu menggunakan format UNIX_MS. |
data.level |
security_result.severity |
Dipetakan ke INFORMASI, RENDAH, atau TINGGI berdasarkan nilai. |
data.properties.environment.str |
intermediary.location.name |
Pemetaan langsung. |
data.properties.hostname.str |
intermediary.hostname |
Pemetaan langsung. |
destination_ip |
target.ip |
Pemetaan langsung. |
destination_ip_country_name |
target.location.country_or_region |
Pemetaan langsung. |
device.current_risk_warnings |
security_result.category_details |
Pemetaan langsung. |
device.identifier |
target.asset.product_object_id |
Pemetaan langsung. |
device.model |
hardware.model |
Pemetaan langsung. |
device.os_version |
target.asset.platform_software.platform_version |
Pemetaan langsung. |
device.serial_number |
hardware.serial_number |
Pemetaan langsung. |
device.udid |
target.asset.asset_id |
Diawali dengan "UDID:" sebelum pemetaan. |
device.user.email |
target.user.email_addresses |
Pemetaan langsung. |
device.user.id |
target.user.userid |
Pemetaan langsung. |
device.user.name |
target.user.user_display_name |
Pemetaan langsung. |
device.user.organization.id |
target.user.groupid |
Pemetaan langsung. |
device.user.organization.name |
target.user.group_identifiers |
Pemetaan langsung. |
event |
metadata.product_event_type |
Pemetaan langsung. |
event_type |
metadata.event_type |
Disetel ke "GENERIC_EVENT" atau "NETWORK_HTTP" berdasarkan data log. |
file_name |
target.file.names |
Pemetaan langsung. |
file_type |
about.labels , about.resource.attribute.labels |
Ditambahkan sebagai label dengan kunci "file_type". |
id |
metadata.product_log_id |
Pemetaan langsung. |
isolation_session_id |
network.parent_session_id |
Pemetaan langsung. |
level |
security_result.severity |
Dipetakan ke INFORMASI, RENDAH, atau TINGGI berdasarkan nilai. |
original_source_ip |
principal.ip |
Pemetaan langsung. |
policy_version |
security_result.rule_version |
Pemetaan langsung. |
properties.environment |
intermediary.location.name |
Pemetaan langsung. |
properties.hostname |
intermediary.hostname |
Pemetaan langsung. |
referer_url |
network.http.referral_url |
Pemetaan langsung. |
request_method |
network.http.method |
Pemetaan langsung. |
resource_response_headers.x-nauthilus-traceid |
network.community_id |
Pemetaan langsung. |
response_status_code |
network.http.response_code |
Pemetaan langsung. |
rule_id |
security_result.rule_id |
Pemetaan langsung. |
rule_name_at_log_time |
security_result.rule_name |
Pemetaan langsung. |
rule_type |
security_result.rule_type |
Pemetaan langsung. |
service |
principal.application |
Pemetaan langsung. |
session_id |
network.session_id |
Pemetaan langsung. |
severity |
security_result.severity |
Dipetakan ke RENDAH, SEDANG, atau TINGGI berdasarkan nilai. |
source_ip |
principal.ip |
Pemetaan langsung. |
source_ip_country_name |
principal.location.country_or_region |
Pemetaan langsung. |
source_port |
principal.port |
Pemetaan langsung. |
sub_type |
security_result.summary |
Pemetaan langsung. |
target.asset.type |
target.asset.type |
Tetapkan ke "MOBILE" jika device.model berisi "ipad" atau "iphone". |
target.asset.platform_software.platform |
target.asset.platform_software.platform |
Tetapkan ke "MAC" jika device.model berisi "ipad" atau "iphone". |
timestamp |
metadata.event_timestamp |
Diuraikan menggunakan format yyyy-MM-dd HH:mm:ss.SSS Z . |
total_bytes |
network.received_bytes |
Pemetaan langsung jika lebih besar dari 0. |
traceId |
metadata.product_log_id |
Pemetaan langsung. |
type |
metadata.product_event_type |
Pemetaan langsung. |
url |
target.url |
Pemetaan langsung. |
url_host |
principal.hostname |
Pemetaan langsung. |
user_download_usage_bytes |
network.received_bytes |
Pemetaan langsung. |
user_total_usage_bytes |
about.labels , about.resource.attribute.labels |
Ditambahkan sebagai label dengan kunci "user_total_usage_bytes". |
user_upload_usage_bytes |
network.sent_bytes |
Pemetaan langsung. |
username |
principal.user.user_display_name |
Pemetaan langsung. |
vendor_name |
metadata.vendor_name |
Ditetapkan ke "Broadcom Inc.". |
product_name |
metadata.product_name |
Tetapkan ke "Symantec Web Isolation". |
log_type |
metadata.log_type |
Tetapkan ke "SYMANTEC_WEB_ISOLATION". |
sandbox |
about.labels , about.resource.attribute.labels |
Ditambahkan sebagai label dengan kunci "Sandbox" dan nilai yang diekstrak dari URL. |
utub |
about.labels , about.resource.attribute.labels |
Ditambahkan sebagai label dengan kunci "user_total_usage_bytes". |
userid |
target.user.userid |
Diekstrak dari URL. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.