Symantec Event Export ログを収集する

このドキュメントでは、Google Security Operations フィードを設定して Symantec Event Export のログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、取り込みラベル SYMANTEC_EVENT_EXPORT と SEP が付加されたパーサーに適用されます。

Symantec Event Export を構成する

1. SEP 15/14.2 コンソールにログインします。
2. [統合] を選択します。
3. [クライアント アプリケーション] をクリックし、お客様 ID とドメイン ID をコピーします。これらは、Google Security Operations フィードの作成時に使用されます。
4. [+ 追加] をクリックして、アプリケーション名を入力します。
5. [追加] をクリックします。
6. [詳細] ページに移動し、次の操作を行います。
   • [デバイス グループの管理] セクションで、[表示] を選択します。
   • [アラートおよびイベントのルール管理] セクションで、[表示] を選択します。
   • [Investigation Incident] セクションで、[View] を選択します。
7. [保存] をクリックします。
8. アプリケーション名の末尾にあるメニュー（縦三点リーダー）をクリックし、[クライアント シークレット] をクリックします。
9. クライアント ID とクライアント シークレットをコピーします。これらは Google Security Operations フィードの構成時に必要になります。

Symantec Event Export ログを取り込むように Google Security Operations でフィードを構成する

1. [SIEM 設定] > [フィード] に移動します。
2. [Add New] をクリックします。
3. [フィールド名] に一意の名前を入力します。
4. [ソースタイプ] として [Google Cloud Storage] を選択します。
5. [ログタイプ] として [Symantec Event export] を選択します。
6. [Get a Service Account] をクリックします。Google Security Operations は、Google Security Operations がデータの取り込みに使用する一意のサービス アカウントを提供します。
7. Cloud Storage オブジェクトにアクセスするためのサービス アカウントのアクセス権を構成します。詳細については、Google Security Operations サービス アカウントへのアクセス権を付与するをご覧ください。
8. [次へ] をクリックします。
9. 次の必須入力パラメータを構成します。
   • ストレージ バケット URI: ストレージ バケット URI を指定します。
   • URI は: URI を指定します。
   • ソース削除オプション: ソース削除オプションを指定します。
10. [次へ] をクリックし、[送信] をクリックします。

Google Security Operations　フィードの詳細については、Google Security Operations　フィードのドキュメントをご覧ください。

各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations　サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、Symantec Event Export ログから JSON 形式または SYSLOG 形式でフィールドを抽出し、正規化して UDM にマッピングします。SYSLOG には grok パターンを使用し、JSON 形式のログには JSON 解析を使用して、さまざまなログ構造を処理し、フィールドを principal、target、network、security_result などの UDM エンティティにマッピングします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
actor.cmd_line	principal.process.command_line	未加工ログの actor.cmd_line は UDM に直接マッピングされます。
actor.file.full_path	principal.process.file.full_path	未加工ログの actor.file.path または file.path は UDM に直接マッピングされます。
actor.file.md5	principal.process.file.md5	元のログの actor.file.md5 は小文字に変換され、UDM に直接マッピングされます。
actor.file.sha1	principal.process.file.sha1	元のログの actor.file.sha1 は小文字に変換され、UDM に直接マッピングされます。
actor.file.sha2	principal.process.file.sha256	元のログの actor.file.sha2 または file.sha2 は小文字に変換され、UDM に直接マッピングされます。
actor.file.size	principal.process.file.size	元のログの actor.file.size は文字列に変換され、符号なし整数に変換されて UDM に直接マッピングされます。
actor.pid	principal.process.pid	元のログの actor.pid は文字列に変換され、UDM に直接マッピングされます。
actor.user.domain	principal.administrative_domain	未加工ログの actor.user.domain は UDM に直接マッピングされます。connection.direction_id が 1 の場合、target.administrative_domain にマッピングされます。
actor.user.name	principal.user.user_display_name	未加工ログの actor.user.name は UDM に直接マッピングされます。user_name が存在する場合は、それが優先されます。
actor.user.sid	principal.user.windows_sid	未加工ログの actor.user.sid は UDM に直接マッピングされます。
connection.direction_id	network.direction	connection.direction_id が 1 で connection.dst_ip が存在する場合、network.direction は INBOUND に設定されます。connection.direction_id が 2 で、connection.dst_ip が存在する場合、network.direction は OUTBOUND に設定されます。
connection.dst_ip	target.ip	未加工ログの connection.dst_ip は UDM に直接マッピングされます。
connection.dst_port	target.port	元のログの connection.dst_port は整数に変換され、UDM に直接マッピングされます。
connection.src_ip	principal.ip	未加工ログの connection.src_ip は UDM に直接マッピングされます。
connection.src_port	principal.port	元のログの connection.src_port は整数に変換され、UDM に直接マッピングされます。connection.src_port が配列の場合を処理します。
device_domain	principal.administrative_domain または target.administrative_domain	connection.direction_id が 1 でない場合、元のログの device_domain は principal.administrative_domain にマッピングされます。connection.direction_id が 1 の場合、target.administrative_domain にマッピングされます。
device_group	principal.group.group_display_name または target.group.group_display_name	connection.direction_id が 1 でない場合、元のログの device_group は principal.group.group_display_name にマッピングされます。connection.direction_id が 1 の場合、target.group.group_display_name にマッピングされます。
device_ip	src.ip	未加工ログの device_ip は UDM に直接マッピングされます。
device_name	principal.hostname または target.hostname	connection.direction_id が 1 でない場合、元のログの device_name は principal.hostname にマッピングされます。connection.direction_id が 1 の場合、target.hostname にマッピングされます。
device_networks	intermediary.ip、intermediary.mac	未加工ログの device_networks 配列が処理されます。IPv4 アドレスと IPv6 アドレスは intermediary.ip に統合されます。MAC アドレスは小文字に変換され、ハイフンはコロンに変換されて intermediary.mac に統合されます。
device_os_name	principal.platform_version または target.platform_version	connection.direction_id が 1 でない場合、元のログの device_os_name は principal.platform_version にマッピングされます。connection.direction_id が 1 の場合、target.platform_version にマッピングされます。
device_public_ip	principal.ip	未加工ログの device_public_ip は UDM に直接マッピングされます。
device_uid	principal.resource.id または target.resource.id	connection.direction_id が 1 でない場合、元のログの device_uid は principal.resource.id にマッピングされます。connection.direction_id が 1 の場合、target.resource.id にマッピングされます。
feature_name	security_result.category_details	未加工ログの feature_name は UDM に直接マッピングされます。
file.path	principal.process.file.full_path	未加工ログの file.path は UDM に直接マッピングされます。actor.file.path が存在する場合は、それが優先されます。
file.sha2	principal.process.file.sha256	元のログの file.sha2 は小文字に変換され、UDM に直接マッピングされます。actor.file.sha2 が存在する場合は、それが優先されます。
log_time	metadata.event_timestamp	未加工ログの log_time は、さまざまな日付形式を使用して解析され、イベントのタイムスタンプとして使用されます。
message	security_result.summary、network.ip_protocol、または metadata.description	未加工ログの message フィールドが処理されます。「UDP」が含まれている場合、network.ip_protocol は「UDP」に設定されます。「IP」が含まれている場合、network.ip_protocol は「IP6IN4」に設定されます。「ICMP」が含まれている場合、network.ip_protocol は「ICMP」に設定されます。それ以外の場合は security_result.summary にマッピングされます。description フィールドが存在する場合、message フィールドは metadata.description にマッピングされます。
parent.cmd_line	principal.process.parent_process.command_line	未加工ログの parent.cmd_line は UDM に直接マッピングされます。
parent.pid	principal.process.parent_process.pid	元のログの parent.pid は文字列に変換され、UDM に直接マッピングされます。
policy.name	security_result.rule_name	未加工ログの policy.name は UDM に直接マッピングされます。
policy.rule_name	security_result.description	未加工ログの policy.rule_name は UDM に直接マッピングされます。
policy.rule_uid	security_result.rule_id	未加工ログの policy.rule_uid は UDM に直接マッピングされます。policy.uid が存在する場合は、それが優先されます。
policy.uid	security_result.rule_id	未加工ログの policy.uid は UDM に直接マッピングされます。
product_name	metadata.product_name	未加工ログの product_name は UDM に直接マッピングされます。
product_uid	metadata.product_log_id	未加工ログの product_uid は UDM に直接マッピングされます。
product_ver	metadata.product_version	未加工ログの product_ver は UDM に直接マッピングされます。
severity_id	security_result.severity	severity_id が 1、2、または 3 の場合、security_result.severity は INFORMATIONAL に設定されます。4 の場合は ERROR に設定されます。5 の場合は CRITICAL に設定されます。
threat.id	security_result.threat_id	元のログの threat.id は文字列に変換され、UDM に直接マッピングされます。
threat.name	security_result.threat_name	未加工ログの threat.name は UDM に直接マッピングされます。
type_id	metadata.event_type、metadata.product_event_type	他のフィールドと組み合わせて使用し、適切な metadata.event_type と metadata.product_event_type を決定します。
user_email	principal.user.email_addresses	元のログの user_email が UDM に統合されます。
user_name	principal.user.user_display_name	未加工ログの user_name は UDM に直接マッピングされます。
uuid	target.process.pid	未加工ログの uuid が解析され、プロセス ID が抽出されます。この ID は target.process.pid にマッピングされます。
なし	metadata.vendor_name	「SYMANTEC」に設定します。
なし	metadata.log_type	「SYMANTEC_EVENT_EXPORT」に設定します。
なし	principal.resource.resource_type	connection.direction_id が 1 でないか空の場合は「DEVICE」に設定します。
なし	target.resource.resource_type	connection.direction_id が 1 の場合は「DEVICE」に設定します。

変更点

2023-11-07

• SYSLOG 形式のログのサポートを追加しました。
• UDM へのマッピング前に、「parent.cmd_line」、「parent.pid」、「actor.pid」、「actor.cmd_line」、「device_name」、「device_group」、「device_os_name」、「device_group」、「device_domain」、「device_uid」に「null 以外」チェックを追加しました。
• 「device_name」を「principal.hostname」にマッピングしました。
• 「user_name」を「principal.user.user_display_name」にマッピングしました。
• 「actor.user.name」を「principal.user.user_display_name」にマッピングしました。
• 「actor.user.domain」を「principal.administrative_domain」にマッピングしました。
• 「actor.user.sid」を「principal.user.windows_sid」にマッピングしました。
• 「actor.file.size」を「principal.process.file.size」にマッピングしました。
• 「device_public_ip」を「principal.ip」にマッピングしました。
• 「device_networks.ipv6」を「intermediary.ip」にマッピングしました。
• 「user_email」を「principal.user.email_addresses」にマッピングしました。

2022-08-19

• 改善 - 一般的なイベントの割合を減らしました。
• 「type_id」を event.idm.read_only_udm.metadata.event_type にマッピングしました
• type_id = 21 の解析されたログ