Symantec-Ereignisexportprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Symantec-Ereignisexport-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Datenaufnahmelabel identifiziert den Parser, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit den folgenden Datenaufnahmelabels: SYMANTEC_EVENT_EXPORT und SEP.

Symantec-Ereignisexport konfigurieren

  1. Melden Sie sich in der SEP 15/14.2-Konsole an.
  2. Wählen Sie Integration aus.
  3. Klicken Sie auf Clientanwendung und kopieren Sie die Kundennummer und die Domain-ID. Diese werden beim Erstellen eines Google Security Operations-Feeds verwendet.
  4. Klicken Sie auf + Hinzufügen und geben Sie einen Anwendungsnamen ein.
  5. Klicken Sie auf Hinzufügen.
  6. Rufen Sie die Seite Details auf und führen Sie die folgenden Aktionen aus:
    • Wählen Sie im Bereich Gerätegruppenverwaltung die Option Anzeigen aus.
    • Wählen Sie im Bereich Verwaltung von Benachrichtigungs- und Ereignisregeln die Option Anzeigen aus.
    • Wählen Sie im Abschnitt Investigation Incident (Untersuchung – Vorfall) die Option View (Anzeigen) aus.
  7. Klicken Sie auf Speichern.
  8. Klicken Sie auf das Menü (vertikale Auslassungspunkte) am Ende des Anwendungsnamens und dann auf Clientsecret.
  9. Kopieren Sie die Client-ID und den Clientschlüssel. Sie sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.

Feed in Google Security Operations konfigurieren, um Symantec-Ereignisexport-Protokolle zu verarbeiten

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie einen eindeutigen Namen für das Feld ein.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie Symantec-Ereignisexport als Protokolltyp aus.
  6. Klicken Sie auf Dienstkonto abrufen. Google Security Operations stellt ein eindeutiges Dienstkonto bereit, das Google Security Operations zum Aufnehmen von Daten verwendet.
  7. Konfigurieren Sie den Zugriff des Dienstkontos auf die Cloud Storage-Objekte. Weitere Informationen finden Sie unter Zugriff auf das Dienstkonto von Google Security Operations gewähren.
  8. Klicken Sie auf Weiter.
  9. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • URI des Speicher-Buckets: Geben Sie den URI des Speicher-Buckets an.
    • URI ist ein: Geben Sie den URI an.
    • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
  10. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds.

Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser extrahiert Felder aus Symantec-Ereignisexportprotokollen im JSON- oder SYSLOG-Format, normalisiert sie und ordnet sie dem UDM zu. Er verarbeitet verschiedene Logstrukturen, verwendet Grok-Muster für SYSLOG und JSON-Parsing für JSON-formatierte Logs und ordnet Felder UDM-Entitäten wie principal, target, network und security_result zu.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
actor.cmd_line principal.process.command_line Die actor.cmd_line des Rohlogs wird direkt dem UDM zugeordnet.
actor.file.full_path principal.process.file.full_path actor.file.path oder file.path des Rohlogs wird direkt dem UDM zugeordnet.
actor.file.md5 principal.process.file.md5 Die actor.file.md5 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.sha1 principal.process.file.sha1 Die actor.file.sha1 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.sha2 principal.process.file.sha256 Die actor.file.sha2 oder file.sha2 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet.
actor.file.size principal.process.file.size Die actor.file.size des Rohlogs wird in einen String und dann in eine vorzeichenlose Ganzzahl konvertiert und direkt dem UDM zugeordnet.
actor.pid principal.process.pid Die actor.pid des Rohlogs wird in einen String umgewandelt und direkt dem UDM zugeordnet.
actor.user.domain principal.administrative_domain Die actor.user.domain des Rohlogs wird direkt dem UDM zugeordnet. Wenn connection.direction_id = 1 ist, wird es target.administrative_domain zugeordnet.
actor.user.name principal.user.user_display_name Die actor.user.name des Rohlogs wird direkt dem UDM zugeordnet. Wenn user_name vorhanden ist, hat es Vorrang.
actor.user.sid principal.user.windows_sid Die actor.user.sid des Rohlogs wird direkt dem UDM zugeordnet.
connection.direction_id network.direction Wenn connection.direction_id = 1 und connection.dst_ip vorhanden ist, wird network.direction auf INBOUND gesetzt. Wenn connection.direction_id = 2 und connection.dst_ip vorhanden ist, wird network.direction auf OUTBOUND gesetzt.
connection.dst_ip target.ip Die connection.dst_ip des Rohlogs wird direkt dem UDM zugeordnet.
connection.dst_port target.port Die connection.dst_port des Rohlogs wird in eine Ganzzahl konvertiert und direkt dem UDM zugeordnet.
connection.src_ip principal.ip Die connection.src_ip des Rohlogs wird direkt dem UDM zugeordnet.
connection.src_port principal.port Die connection.src_port des Rohlogs wird in eine Ganzzahl konvertiert und direkt dem UDM zugeordnet. Hier wird der Fall behandelt, dass connection.src_port ein Array ist.
device_domain principal.administrative_domain oder target.administrative_domain device_domain des Rohlogs wird principal.administrative_domain zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1 ist, wird es target.administrative_domain zugeordnet.
device_group principal.group.group_display_name oder target.group.group_display_name device_group des Rohlogs wird principal.group.group_display_name zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1 ist, wird es target.group.group_display_name zugeordnet.
device_ip src.ip Die device_ip des Rohlogs wird direkt dem UDM zugeordnet.
device_name principal.hostname oder target.hostname device_name des Rohlogs wird principal.hostname zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1 ist, wird es target.hostname zugeordnet.
device_networks intermediary.ip, intermediary.mac Das device_networks-Array des Rohlogs wird verarbeitet. IPv4- und IPv6-Adressen werden in intermediary.ip zusammengeführt. MAC-Adressen werden in Kleinbuchstaben umgewandelt, Bindestriche werden durch Doppelpunkte ersetzt und dann in intermediary.mac zusammengeführt.
device_os_name principal.platform_version oder target.platform_version device_os_name des Rohlogs wird principal.platform_version zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1 ist, wird es target.platform_version zugeordnet.
device_public_ip principal.ip Die device_public_ip des Rohlogs wird direkt dem UDM zugeordnet.
device_uid principal.resource.id oder target.resource.id device_uid des Rohlogs wird principal.resource.id zugeordnet, wenn connection.direction_id nicht 1 ist. Wenn connection.direction_id = 1 ist, wird es target.resource.id zugeordnet.
feature_name security_result.category_details Die feature_name des Rohlogs wird direkt dem UDM zugeordnet.
file.path principal.process.file.full_path Die file.path des Rohlogs wird direkt dem UDM zugeordnet. Wenn actor.file.path vorhanden ist, hat es Vorrang.
file.sha2 principal.process.file.sha256 Die file.sha2 des Rohlogs wird in Kleinbuchstaben umgewandelt und direkt dem UDM zugeordnet. Wenn actor.file.sha2 vorhanden ist, hat es Vorrang.
log_time metadata.event_timestamp Der log_time des Rohlogs wird mit verschiedenen Datumsformaten geparst und als Ereigniszeitstempel verwendet.
message security_result.summary oder network.ip_protocol oder metadata.description Das Feld message des Rohlogs wird verarbeitet. Wenn er „UDP“ enthält, wird network.ip_protocol auf „UDP“ gesetzt. Wenn er „IP“ enthält, wird network.ip_protocol auf „IP6IN4“ gesetzt. Wenn er „ICMP“ enthält, wird network.ip_protocol auf „ICMP“ gesetzt. Andernfalls wird es security_result.summary zugeordnet. Wenn das Feld description vorhanden ist, wird das Feld message metadata.description zugeordnet.
parent.cmd_line principal.process.parent_process.command_line Die parent.cmd_line des Rohlogs wird direkt dem UDM zugeordnet.
parent.pid principal.process.parent_process.pid Die parent.pid des Rohlogs wird in einen String umgewandelt und direkt dem UDM zugeordnet.
policy.name security_result.rule_name Die policy.name des Rohlogs wird direkt dem UDM zugeordnet.
policy.rule_name security_result.description Die policy.rule_name des Rohlogs wird direkt dem UDM zugeordnet.
policy.rule_uid security_result.rule_id Die policy.rule_uid des Rohlogs wird direkt dem UDM zugeordnet. Wenn policy.uid vorhanden ist, hat es Vorrang.
policy.uid security_result.rule_id Die policy.uid des Rohlogs wird direkt dem UDM zugeordnet.
product_name metadata.product_name Die product_name des Rohlogs wird direkt dem UDM zugeordnet.
product_uid metadata.product_log_id Die product_uid des Rohlogs wird direkt dem UDM zugeordnet.
product_ver metadata.product_version Die product_ver des Rohlogs wird direkt dem UDM zugeordnet.
severity_id security_result.severity Wenn severity_id = 1, 2 oder 3 ist, wird security_result.severity auf INFORMATIONAL gesetzt. Wenn der Wert 4 ist, wird er auf ERROR gesetzt. Wenn der Wert 5 ist, wird er auf CRITICAL gesetzt.
threat.id security_result.threat_id Die threat.id des Rohlogs wird in einen String umgewandelt und direkt dem UDM zugeordnet.
threat.name security_result.threat_name Die threat.name des Rohlogs wird direkt dem UDM zugeordnet.
type_id metadata.event_type, metadata.product_event_type Wird in Kombination mit anderen Feldern verwendet, um die entsprechenden metadata.event_type und metadata.product_event_type zu ermitteln.
user_email principal.user.email_addresses Die user_email des Rohlogs wird in das UDM zusammengeführt.
user_name principal.user.user_display_name Die user_name des Rohlogs wird direkt dem UDM zugeordnet.
uuid target.process.pid Die uuid des Rohlogs wird analysiert, um die Prozess-ID zu extrahieren, die mit target.process.pid verknüpft ist.
metadata.vendor_name Legen Sie diesen Wert auf „SYMANTEC“ fest.
metadata.log_type Legen Sie den Wert auf „SYMANTEC_EVENT_EXPORT“ fest.
principal.resource.resource_type Legen Sie „DEVICE“ fest, wenn connection.direction_id nicht „1“ ist oder leer ist.
target.resource.resource_type Legen Sie „DEVICE“ fest, wenn connection.direction_id den Wert 1 hat.

Änderungen

2023-11-07

  • Unterstützung für Protokolle im SYSLOG-Format hinzugefügt.
  • Es wurden Prüfungen auf „nicht null“ für „parent.cmd_line“, „parent.pid“, „actor.pid“, „actor.cmd_line“, „device_name“, „device_group“, „device_os_name“, „device_group“, „device_domain“ und „device_uid“ vor der Zuordnung zu UDM hinzugefügt.
  • „device_name“ wurde „principal.hostname“ zugeordnet.
  • „user_name“ wurde auf „principal.user.user_display_name“ zugeordnet.
  • „actor.user.name“ wurde in „principal.user.user_display_name“ umgewandelt.
  • „actor.user.domain“ wurde „principal.administrative_domain“ zugeordnet.
  • „actor.user.sid“ wurde in „principal.user.windows_sid“ geändert.
  • „actor.file.size“ wurde in „principal.process.file.size“ umgewandelt.
  • „device_public_ip“ wurde „principal.ip“ zugeordnet.
  • „device_networks.ipv6“ wurde „intermediary.ip“ zugeordnet.
  • „user_email“ wurde „principal.user.email_addresses“ zugeordnet.

2022-08-19

  • Verbesserung: Prozentsatz der allgemeinen Ereignisse reduziert.
  • „type_id“ wurde auf „event.idm.read_only_udm.metadata.event_type“ zugeordnet
  • Geparste Protokolle für „type_id“ = 21