本頁面由 Cloud Translation API 翻譯而成。

收集 Symantec Web Isolation 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Symantec Web Isolation 記錄擷取至 Google Security Operations。剖析器會處理 Symantec Web Isolation 的兩種主要訊息類型：資料追蹤訊息和裝置訊息。這項功能會從 JSON 格式的記錄中擷取欄位，執行資料轉換 (例如剖析日期和轉換使用者代理程式)，並根據 traceId 和 event_type 欄位處理不同的記錄結構，將擷取的資料對應至統一資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本或 Linux 主機 (含 systemd)
如果透過 Proxy 執行，防火牆通訊埠已開啟
Symantec Web Isolation 平台的高權限存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Symantec Web Isolation 平台中設定 Syslog

登入 Symantec Web Isolation 網頁版 UI。
依序前往「系統設定」>「外部記錄伺服器」>「新增外部記錄伺服器」>「系統記錄伺服器」。
提供下列設定詳細資料：
- 狀態：選取核取方塊即可啟用。
- 主機：輸入 Bindplane 代理程式 IP 位址。
- 「通訊埠」：輸入 Bindplane 代理程式通訊埠編號 (例如 UDP 的 514)。
- 「通訊協定」：選取「UDP」。
- Appname：輸入「標記」，以識別 Web Isolation 平台。
- 設施：與網頁隔離記錄相關的系統記錄設施名稱。
點選「建立」。
依序前往「報告」>「記錄轉送」。
按一下 [編輯]。
提供下列設定詳細資料：
- 活動記錄：選取新加入的 Bindplane 伺服器。
- 管理稽核記錄：選取新加入的 Bindplane 伺服器。
- 閘道稽核記錄：選取新加入的 Bindplane 伺服器。
按一下「更新」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`action`	`security_result.summary`	與 `action_reason` 串連，形成摘要。
`action_reason`	`security_result.summary`	與 `action` 串連，形成摘要。
`content_action`	`security_result.action_details`	直接對應。
`createdAt`	`metadata.event_timestamp`	使用 UNIX_MS 格式轉換為時間戳記。
`creationDate`	`metadata.event_timestamp`	使用 UNIX_MS 格式轉換為時間戳記。
`data.level`	`security_result.severity`	根據值對應至 INFORMATIONAL、LOW 或 HIGH。
`data.properties.environment.str`	`intermediary.location.name`	直接對應。
`data.properties.hostname.str`	`intermediary.hostname`	直接對應。
`destination_ip`	`target.ip`	直接對應。
`destination_ip_country_name`	`target.location.country_or_region`	直接對應。
`device.current_risk_warnings`	`security_result.category_details`	直接對應。
`device.identifier`	`target.asset.product_object_id`	直接對應。
`device.model`	`hardware.model`	直接對應。
`device.os_version`	`target.asset.platform_software.platform_version`	直接對應。
`device.serial_number`	`hardware.serial_number`	直接對應。
`device.udid`	`target.asset.asset_id`	對應前加上「UDID:」前置字元。
`device.user.email`	`target.user.email_addresses`	直接對應。
`device.user.id`	`target.user.userid`	直接對應。
`device.user.name`	`target.user.user_display_name`	直接對應。
`device.user.organization.id`	`target.user.groupid`	直接對應。
`device.user.organization.name`	`target.user.group_identifiers`	直接對應。
`event`	`metadata.product_event_type`	直接對應。
`event_type`	`metadata.event_type`	根據記錄檔資料設為「GENERIC_EVENT」或「NETWORK_HTTP」。
`file_name`	`target.file.names`	直接對應。
`file_type`	`about.labels`、`about.resource.attribute.labels`	以「file_type」鍵新增為標籤。
`id`	`metadata.product_log_id`	直接對應。
`isolation_session_id`	`network.parent_session_id`	直接對應。
`level`	`security_result.severity`	根據值對應至 INFORMATIONAL、LOW 或 HIGH。
`original_source_ip`	`principal.ip`	直接對應。
`policy_version`	`security_result.rule_version`	直接對應。
`properties.environment`	`intermediary.location.name`	直接對應。
`properties.hostname`	`intermediary.hostname`	直接對應。
`referer_url`	`network.http.referral_url`	直接對應。
`request_method`	`network.http.method`	直接對應。
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	直接對應。
`response_status_code`	`network.http.response_code`	直接對應。
`rule_id`	`security_result.rule_id`	直接對應。
`rule_name_at_log_time`	`security_result.rule_name`	直接對應。
`rule_type`	`security_result.rule_type`	直接對應。
`service`	`principal.application`	直接對應。
`session_id`	`network.session_id`	直接對應。
`severity`	`security_result.severity`	根據值對應至 LOW、MEDIUM 或 HIGH。
`source_ip`	`principal.ip`	直接對應。
`source_ip_country_name`	`principal.location.country_or_region`	直接對應。
`source_port`	`principal.port`	直接對應。
`sub_type`	`security_result.summary`	直接對應。
`target.asset.type`	`target.asset.type`	如果 `device.model` 包含「ipad」或「iphone」，請設為「MOBILE」。
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	如果 `device.model` 包含「ipad」或「iphone」，請設為「MAC」。
`timestamp`	`metadata.event_timestamp`	使用 `yyyy-MM-dd HH:mm:ss.SSS Z` 格式剖析。
`total_bytes`	`network.received_bytes`	如果大於 0，則直接對應。
`traceId`	`metadata.product_log_id`	直接對應。
`type`	`metadata.product_event_type`	直接對應。
`url`	`target.url`	直接對應。
`url_host`	`principal.hostname`	直接對應。
`user_download_usage_bytes`	`network.received_bytes`	直接對應。
`user_total_usage_bytes`	`about.labels`、`about.resource.attribute.labels`	以「user_total_usage_bytes」鍵新增為標籤。
`user_upload_usage_bytes`	`network.sent_bytes`	直接對應。
`username`	`principal.user.user_display_name`	直接對應。
`vendor_name`	`metadata.vendor_name`	設為「Broadcom Inc.」。
`product_name`	`metadata.product_name`	設為「Symantec Web Isolation」。
`log_type`	`metadata.log_type`	設為「SYMANTEC_WEB_ISOLATION」。
`sandbox`	`about.labels`、`about.resource.attribute.labels`	以「Sandbox」為鍵，並從網址擷取值，做為標籤新增。
`utub`	`about.labels`、`about.resource.attribute.labels`	以「user_total_usage_bytes」鍵新增為標籤。
`userid`	`target.user.userid`	從網址擷取。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。