このページは Cloud Translation API によって翻訳されました。

Symantec Web Isolation ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Symantec Web Isolation ログを Google Security Operations に取り込む方法について説明します。パーサーは、Symantec Web Isolation からの 2 つの主要なメッセージタイプ（データトレースメッセージとデバイスメッセージ）を処理します。JSON 形式のログからフィールドを抽出し、日付の解析やユーザーエージェントの変換などのデータ変換を行い、traceId フィールドと event_type フィールドに基づいてさまざまなログ構造を処理し、抽出されたデータを統合データモデル（UDM）にマッピングします。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
Symantec Web Isolation プラットフォームへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec Web Isolation プラットフォームで Syslog を構成する

Symantec Web Isolation のウェブ UI にログインします。
[System Configuration] > [External Log Server] > [New External Log Server] > [Syslog Server] に移動します。
次の構成の詳細を指定します。
- ステータス: [有効] チェックボックスをオンにします。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します（例: UDP の場合は 514）。
- Protocol: [UDP] を選択します。
- Appname: Web 分離プラットフォームを識別するタグを入力します。
- Facility: Web 分離ログに関連する Syslog ファシリティ名。
[作成] をクリックします。
[レポート> ログ転送] に移動します。
[編集] をクリックします。
次の構成の詳細を指定します。
- アクティビティログ: 新しく追加した Bindplane サーバーを選択します。
- 管理監査ログ: 新しく追加した Bindplane サーバーを選択します。
- Gateway Audit Logs: 新しく追加した Bindplane サーバーを選択します。
[更新] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`action`	`security_result.summary`	`action_reason` と連結して要約を形成します。
`action_reason`	`security_result.summary`	`action` と連結して要約を形成します。
`content_action`	`security_result.action_details`	直接マッピング。
`createdAt`	`metadata.event_timestamp`	UNIX_MS 形式を使用してタイムスタンプに変換されます。
`creationDate`	`metadata.event_timestamp`	UNIX_MS 形式を使用してタイムスタンプに変換されます。
`data.level`	`security_result.severity`	値に基づいて INFORMATIONAL、LOW、HIGH にマッピングされます。
`data.properties.environment.str`	`intermediary.location.name`	直接マッピング。
`data.properties.hostname.str`	`intermediary.hostname`	直接マッピング。
`destination_ip`	`target.ip`	直接マッピング。
`destination_ip_country_name`	`target.location.country_or_region`	直接マッピング。
`device.current_risk_warnings`	`security_result.category_details`	直接マッピング。
`device.identifier`	`target.asset.product_object_id`	直接マッピング。
`device.model`	`hardware.model`	直接マッピング。
`device.os_version`	`target.asset.platform_software.platform_version`	直接マッピング。
`device.serial_number`	`hardware.serial_number`	直接マッピング。
`device.udid`	`target.asset.asset_id`	マッピング前に「UDID:」の接頭辞が付加されます。
`device.user.email`	`target.user.email_addresses`	直接マッピング。
`device.user.id`	`target.user.userid`	直接マッピング。
`device.user.name`	`target.user.user_display_name`	直接マッピング。
`device.user.organization.id`	`target.user.groupid`	直接マッピング。
`device.user.organization.name`	`target.user.group_identifiers`	直接マッピング。
`event`	`metadata.product_event_type`	直接マッピング。
`event_type`	`metadata.event_type`	ログデータに基づいて「GENERIC_EVENT」または「NETWORK_HTTP」に設定されます。
`file_name`	`target.file.names`	直接マッピング。
`file_type`	`about.labels`、`about.resource.attribute.labels`	キー「file_type」のラベルとして追加されます。
`id`	`metadata.product_log_id`	直接マッピング。
`isolation_session_id`	`network.parent_session_id`	直接マッピング。
`level`	`security_result.severity`	値に基づいて INFORMATIONAL、LOW、HIGH にマッピングされます。
`original_source_ip`	`principal.ip`	直接マッピング。
`policy_version`	`security_result.rule_version`	直接マッピング。
`properties.environment`	`intermediary.location.name`	直接マッピング。
`properties.hostname`	`intermediary.hostname`	直接マッピング。
`referer_url`	`network.http.referral_url`	直接マッピング。
`request_method`	`network.http.method`	直接マッピング。
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	直接マッピング。
`response_status_code`	`network.http.response_code`	直接マッピング。
`rule_id`	`security_result.rule_id`	直接マッピング。
`rule_name_at_log_time`	`security_result.rule_name`	直接マッピング。
`rule_type`	`security_result.rule_type`	直接マッピング。
`service`	`principal.application`	直接マッピング。
`session_id`	`network.session_id`	直接マッピング。
`severity`	`security_result.severity`	値に基づいて LOW、MEDIUM、HIGH にマッピングされます。
`source_ip`	`principal.ip`	直接マッピング。
`source_ip_country_name`	`principal.location.country_or_region`	直接マッピング。
`source_port`	`principal.port`	直接マッピング。
`sub_type`	`security_result.summary`	直接マッピング。
`target.asset.type`	`target.asset.type`	`device.model` に「ipad」または「iphone」が含まれている場合は、「MOBILE」に設定されます。
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	`device.model` に「ipad」または「iphone」が含まれている場合は、「MAC」に設定されます。
`timestamp`	`metadata.event_timestamp`	`yyyy-MM-dd HH:mm:ss.SSS Z` 形式を使用して解析されます。
`total_bytes`	`network.received_bytes`	0 より大きい場合は直接マッピング。
`traceId`	`metadata.product_log_id`	直接マッピング。
`type`	`metadata.product_event_type`	直接マッピング。
`url`	`target.url`	直接マッピング。
`url_host`	`principal.hostname`	直接マッピング。
`user_download_usage_bytes`	`network.received_bytes`	直接マッピング。
`user_total_usage_bytes`	`about.labels`、`about.resource.attribute.labels`	キー「user_total_usage_bytes」のラベルとして追加されます。
`user_upload_usage_bytes`	`network.sent_bytes`	直接マッピング。
`username`	`principal.user.user_display_name`	直接マッピング。
`vendor_name`	`metadata.vendor_name`	「Broadcom Inc.」に設定します。
`product_name`	`metadata.product_name`	「Symantec Web Isolation」に設定します。
`log_type`	`metadata.log_type`	「SYMANTEC_WEB_ISOLATION」に設定します。
`sandbox`	`about.labels`、`about.resource.attribute.labels`	キー「Sandbox」と URL から抽出された値のラベルとして追加されます。
`utub`	`about.labels`、`about.resource.attribute.labels`	キー「user_total_usage_bytes」のラベルとして追加されます。
`userid`	`target.user.userid`	URL から抽出されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。