Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Symantec Web Isolation

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Symantec Web Isolation no Google Security Operations usando o Bindplane. O analisador processa dois tipos principais de mensagens da Symantec Web Isolation: mensagens de rastreamento de dados e mensagens de dispositivo. Ele extrai campos de registros formatados em JSON, realiza transformações de dados, como análise de datas e conversão de user agent, e mapeia os dados extraídos para o Modelo Unificado de Dados (UDM, na sigla em inglês), processando diferentes estruturas de registro com base nos campos traceId e event_type.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Host Windows 2016 ou mais recente ou Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado à plataforma Symantec Web Isolation.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog na plataforma Symantec Web Isolation

Faça login na UI da Web do Symantec Web Isolation.
Acesse Configuração do sistema > Servidor de registros externo > Novo servidor de registros externo > Servidor Syslog.
Informe os seguintes detalhes de configuração:
- Status: marque a caixa de seleção para Ativar.
- Host: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP.
- Appname: insira uma tag para identificar a plataforma de isolamento da Web.
- Facility: nome da instalação do Syslog relacionado aos registros de isolamento da Web.
Clique em Criar.
Acesse Relatórios > Encaminhamento de registros.
Clique em Editar.
Informe os seguintes detalhes de configuração:
- Registros de atividade: selecione o servidor Bindplane recém-adicionado.
- Registros de auditoria de gerenciamento: selecione o servidor do Bindplane recém-adicionado.
- Registros de auditoria do gateway: selecione o servidor do Bindplane recém-adicionado.
Clique em Atualizar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`action`	`security_result.summary`	Concatenado com `action_reason` para formar o resumo.
`action_reason`	`security_result.summary`	Concatenado com `action` para formar o resumo.
`content_action`	`security_result.action_details`	Mapeamento direto.
`createdAt`	`metadata.event_timestamp`	Convertido para carimbo de data/hora usando o formato UNIX_MS.
`creationDate`	`metadata.event_timestamp`	Convertido para carimbo de data/hora usando o formato UNIX_MS.
`data.level`	`security_result.severity`	Mapeado como INFORMATIONAL, LOW ou HIGH com base no valor.
`data.properties.environment.str`	`intermediary.location.name`	Mapeamento direto.
`data.properties.hostname.str`	`intermediary.hostname`	Mapeamento direto.
`destination_ip`	`target.ip`	Mapeamento direto.
`destination_ip_country_name`	`target.location.country_or_region`	Mapeamento direto.
`device.current_risk_warnings`	`security_result.category_details`	Mapeamento direto.
`device.identifier`	`target.asset.product_object_id`	Mapeamento direto.
`device.model`	`hardware.model`	Mapeamento direto.
`device.os_version`	`target.asset.platform_software.platform_version`	Mapeamento direto.
`device.serial_number`	`hardware.serial_number`	Mapeamento direto.
`device.udid`	`target.asset.asset_id`	Com o prefixo "UDID:" antes do mapeamento.
`device.user.email`	`target.user.email_addresses`	Mapeamento direto.
`device.user.id`	`target.user.userid`	Mapeamento direto.
`device.user.name`	`target.user.user_display_name`	Mapeamento direto.
`device.user.organization.id`	`target.user.groupid`	Mapeamento direto.
`device.user.organization.name`	`target.user.group_identifiers`	Mapeamento direto.
`event`	`metadata.product_event_type`	Mapeamento direto.
`event_type`	`metadata.event_type`	Defina como "GENERIC_EVENT" ou "NETWORK_HTTP" com base nos dados de registro.
`file_name`	`target.file.names`	Mapeamento direto.
`file_type`	`about.labels`, `about.resource.attribute.labels`	Adicionado como um rótulo com a chave "file_type".
`id`	`metadata.product_log_id`	Mapeamento direto.
`isolation_session_id`	`network.parent_session_id`	Mapeamento direto.
`level`	`security_result.severity`	Mapeado como INFORMATIONAL, LOW ou HIGH com base no valor.
`original_source_ip`	`principal.ip`	Mapeamento direto.
`policy_version`	`security_result.rule_version`	Mapeamento direto.
`properties.environment`	`intermediary.location.name`	Mapeamento direto.
`properties.hostname`	`intermediary.hostname`	Mapeamento direto.
`referer_url`	`network.http.referral_url`	Mapeamento direto.
`request_method`	`network.http.method`	Mapeamento direto.
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	Mapeamento direto.
`response_status_code`	`network.http.response_code`	Mapeamento direto.
`rule_id`	`security_result.rule_id`	Mapeamento direto.
`rule_name_at_log_time`	`security_result.rule_name`	Mapeamento direto.
`rule_type`	`security_result.rule_type`	Mapeamento direto.
`service`	`principal.application`	Mapeamento direto.
`session_id`	`network.session_id`	Mapeamento direto.
`severity`	`security_result.severity`	Mapeado como BAIXO, MÉDIO ou ALTO com base no valor.
`source_ip`	`principal.ip`	Mapeamento direto.
`source_ip_country_name`	`principal.location.country_or_region`	Mapeamento direto.
`source_port`	`principal.port`	Mapeamento direto.
`sub_type`	`security_result.summary`	Mapeamento direto.
`target.asset.type`	`target.asset.type`	Defina como "MOBILE" se `device.model` contiver "ipad" ou "iphone".
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	Defina como "MAC" se `device.model` contiver "ipad" ou "iphone".
`timestamp`	`metadata.event_timestamp`	Analisado usando o formato `yyyy-MM-dd HH:mm:ss.SSS Z`.
`total_bytes`	`network.received_bytes`	Mapeamento direto se for maior que 0.
`traceId`	`metadata.product_log_id`	Mapeamento direto.
`type`	`metadata.product_event_type`	Mapeamento direto.
`url`	`target.url`	Mapeamento direto.
`url_host`	`principal.hostname`	Mapeamento direto.
`user_download_usage_bytes`	`network.received_bytes`	Mapeamento direto.
`user_total_usage_bytes`	`about.labels`, `about.resource.attribute.labels`	Adicionado como um rótulo com a chave "user_total_usage_bytes".
`user_upload_usage_bytes`	`network.sent_bytes`	Mapeamento direto.
`username`	`principal.user.user_display_name`	Mapeamento direto.
`vendor_name`	`metadata.vendor_name`	Definido como "Broadcom Inc.".
`product_name`	`metadata.product_name`	Defina como "Symantec Web Isolation".
`log_type`	`metadata.log_type`	Defina como "SYMANTEC_WEB_ISOLATION".
`sandbox`	`about.labels`, `about.resource.attribute.labels`	Adicionado como um rótulo com a chave "Sandbox" e o valor extraído do URL.
`utub`	`about.labels`, `about.resource.attribute.labels`	Adicionado como um rótulo com a chave "user_total_usage_bytes".
`userid`	`target.user.userid`	Extraído do URL.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.