이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Symantec Event Export 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 피드를 설정하여 Symantec 이벤트 내보내기 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SYMANTEC_EVENT_EXPORT 및 SEP 수집 라벨이 있는 파서에 적용됩니다.

Symantec Event 내보내기 구성

SEP 15/14.2 콘솔에 로그인합니다.
통합을 선택합니다.
클라이언트 애플리케이션을 클릭하고 Google Security Operations 피드를 만들 때 사용되는 고객 ID와 도메인 ID를 복사합니다.
+ 추가를 클릭하고 애플리케이션 이름을 입력합니다.
추가를 클릭합니다.
세부정보 페이지로 이동하여 다음 작업을 실행합니다.
- 기기 그룹 관리 섹션에서 보기를 선택합니다.
- 알림 및 이벤트 규칙 관리 섹션에서 보기를 선택합니다.
- 조사 인시던트 섹션에서 보기를 선택합니다.
저장을 클릭합니다.
애플리케이션 이름 끝에 있는 메뉴 (세로 줄임표)를 클릭하고 클라이언트 보안 비밀을 클릭합니다.
Google Security Operations 피드를 구성할 때 필요한 클라이언트 ID와 클라이언트 보안 비밀을 복사합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

SIEM 설정 > 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Symantec 이벤트 내보내기 로그).
소스 유형으로 Google Cloud Storage V2를 선택합니다.
로그 유형으로 Symantec Event 내보내기를 선택합니다.
서비스 계정 가져오기를 클릭합니다. Google Security Operations는 Google Security Operations에서 데이터를 수집하는 데 사용하는 고유한 서비스 계정을 제공합니다.
Cloud Storage 객체에 액세스하도록 서비스 계정의 액세스 권한을 구성합니다. 자세한 내용은 Google Security Operations 서비스 계정에 대한 액세스 권한 부여를 참고하세요.
다음을 클릭합니다.
다음 필수 입력 매개변수를 구성합니다.
- 스토리지 버킷 URI: 스토리지 버킷 URI를 지정합니다.
- 소스 삭제 옵션: 소스 삭제 옵션을 지정합니다.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요.

각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 JSON 또는 SYSLOG 형식의 Symantec 이벤트 내보내기 로그에서 필드를 추출하여 UDM으로 정규화하고 매핑합니다. SYSLOG의 경우 grok 패턴을 사용하고 JSON 형식 로그의 경우 JSON 파싱을 사용하여 다양한 로그 구조를 처리하고 필드를 principal, target, network, security_result과 같은 UDM 엔티티에 매핑합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`actor.cmd_line`	`principal.process.command_line`	원시 로그의 `actor.cmd_line`가 UDM에 직접 매핑됩니다.
`actor.file.full_path`	`principal.process.file.full_path`	원시 로그의 `actor.file.path` 또는 `file.path`이 UDM에 직접 매핑됩니다.
`actor.file.md5`	`principal.process.file.md5`	원시 로그의 `actor.file.md5`가 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.sha1`	`principal.process.file.sha1`	원시 로그의 `actor.file.sha1`가 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.sha2`	`principal.process.file.sha256`	원시 로그의 `actor.file.sha2` 또는 `file.sha2`이 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.size`	`principal.process.file.size`	원시 로그의 `actor.file.size`가 문자열로 변환된 후 부호 없는 정수로 변환되어 UDM에 직접 매핑됩니다.
`actor.pid`	`principal.process.pid`	원시 로그의 `actor.pid`이 문자열로 변환되고 UDM에 직접 매핑됩니다.
`actor.user.domain`	`principal.administrative_domain`	원시 로그의 `actor.user.domain`가 UDM에 직접 매핑됩니다. `connection.direction_id`가 1이면 `target.administrative_domain`에 매핑됩니다.
`actor.user.name`	`principal.user.user_display_name`	원시 로그의 `actor.user.name`가 UDM에 직접 매핑됩니다. `user_name`가 있으면 우선 적용됩니다.
`actor.user.sid`	`principal.user.windows_sid`	원시 로그의 `actor.user.sid`가 UDM에 직접 매핑됩니다.
`connection.direction_id`	`network.direction`	`connection.direction_id`이 1이고 `connection.dst_ip`이 있으면 `network.direction`이 `INBOUND`으로 설정됩니다. `connection.direction_id`이 2이고 `connection.dst_ip`이 있으면 `network.direction`이 `OUTBOUND`로 설정됩니다.
`connection.dst_ip`	`target.ip`	원시 로그의 `connection.dst_ip`가 UDM에 직접 매핑됩니다.
`connection.dst_port`	`target.port`	원시 로그의 `connection.dst_port`가 정수로 변환되고 UDM에 직접 매핑됩니다.
`connection.src_ip`	`principal.ip`	원시 로그의 `connection.src_ip`가 UDM에 직접 매핑됩니다.
`connection.src_port`	`principal.port`	원시 로그의 `connection.src_port`가 정수로 변환되고 UDM에 직접 매핑됩니다. `connection.src_port`가 배열인 경우를 처리합니다.
`device_domain`	`principal.administrative_domain` 또는 `target.administrative_domain`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_domain`이 `principal.administrative_domain`에 매핑됩니다. `connection.direction_id`가 1이면 `target.administrative_domain`에 매핑됩니다.
`device_group`	`principal.group.group_display_name` 또는 `target.group.group_display_name`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_group`이 `principal.group.group_display_name`에 매핑됩니다. `connection.direction_id`가 1이면 `target.group.group_display_name`에 매핑됩니다.
`device_ip`	`src.ip`	원시 로그의 `device_ip`가 UDM에 직접 매핑됩니다.
`device_name`	`principal.hostname` 또는 `target.hostname`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_name`이 `principal.hostname`에 매핑됩니다. `connection.direction_id`가 1이면 `target.hostname`에 매핑됩니다.
`device_networks`	`intermediary.ip`, `intermediary.mac`	원시 로그의 `device_networks` 배열이 처리됩니다. IPv4 및 IPv6 주소가 `intermediary.ip`로 병합됩니다. MAC 주소는 소문자로 변환되고 하이픈은 콜론으로 대체된 후 `intermediary.mac`로 병합됩니다.
`device_os_name`	`principal.platform_version` 또는 `target.platform_version`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_os_name`이 `principal.platform_version`에 매핑됩니다. `connection.direction_id`가 1이면 `target.platform_version`에 매핑됩니다.
`device_public_ip`	`principal.ip`	원시 로그의 `device_public_ip`가 UDM에 직접 매핑됩니다.
`device_uid`	`principal.resource.id` 또는 `target.resource.id`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_uid`이 `principal.resource.id`에 매핑됩니다. `connection.direction_id`가 1이면 `target.resource.id`에 매핑됩니다.
`feature_name`	`security_result.category_details`	원시 로그의 `feature_name`가 UDM에 직접 매핑됩니다.
`file.path`	`principal.process.file.full_path`	원시 로그의 `file.path`가 UDM에 직접 매핑됩니다. `actor.file.path`가 있으면 우선 적용됩니다.
`file.sha2`	`principal.process.file.sha256`	원시 로그의 `file.sha2`가 소문자로 변환되고 UDM에 직접 매핑됩니다. `actor.file.sha2`가 있으면 우선 적용됩니다.
`log_time`	`metadata.event_timestamp`	원시 로그의 `log_time`는 다양한 날짜 형식을 사용하여 파싱되고 이벤트 타임스탬프로 사용됩니다.
`message`	`security_result.summary` 또는 `network.ip_protocol` 또는 `metadata.description`	원시 로그의 `message` 필드가 처리됩니다. 'UDP'가 포함된 경우 `network.ip_protocol`이 'UDP'로 설정됩니다. 'IP'가 포함된 경우 `network.ip_protocol`은 'IP6IN4'로 설정됩니다. 'ICMP'가 포함된 경우 `network.ip_protocol`이 'ICMP'로 설정됩니다. 그렇지 않으면 `security_result.summary`에 매핑됩니다. `description` 필드가 있으면 `message` 필드가 `metadata.description`에 매핑됩니다.
`parent.cmd_line`	`principal.process.parent_process.command_line`	원시 로그의 `parent.cmd_line`가 UDM에 직접 매핑됩니다.
`parent.pid`	`principal.process.parent_process.pid`	원시 로그의 `parent.pid`이 문자열로 변환되고 UDM에 직접 매핑됩니다.
`policy.name`	`security_result.rule_name`	원시 로그의 `policy.name`가 UDM에 직접 매핑됩니다.
`policy.rule_name`	`security_result.description`	원시 로그의 `policy.rule_name`가 UDM에 직접 매핑됩니다.
`policy.rule_uid`	`security_result.rule_id`	원시 로그의 `policy.rule_uid`가 UDM에 직접 매핑됩니다. `policy.uid`가 있으면 우선 적용됩니다.
`policy.uid`	`security_result.rule_id`	원시 로그의 `policy.uid`가 UDM에 직접 매핑됩니다.
`product_name`	`metadata.product_name`	원시 로그의 `product_name`가 UDM에 직접 매핑됩니다.
`product_uid`	`metadata.product_log_id`	원시 로그의 `product_uid`가 UDM에 직접 매핑됩니다.
`product_ver`	`metadata.product_version`	원시 로그의 `product_ver`가 UDM에 직접 매핑됩니다.
`severity_id`	`security_result.severity`	`severity_id`이 1, 2 또는 3이면 `security_result.severity`이 `INFORMATIONAL`로 설정됩니다. 4인 경우 `ERROR`로 설정됩니다. 5인 경우 `CRITICAL`로 설정됩니다.
`threat.id`	`security_result.threat_id`	원시 로그의 `threat.id`이 문자열로 변환되고 UDM에 직접 매핑됩니다.
`threat.name`	`security_result.threat_name`	원시 로그의 `threat.name`가 UDM에 직접 매핑됩니다.
`type_id`	`metadata.event_type`, `metadata.product_event_type`	적절한 `metadata.event_type` 및 `metadata.product_event_type`를 결정하기 위해 다른 필드와 함께 사용됩니다.
`user_email`	`principal.user.email_addresses`	원시 로그의 `user_email`이 UDM으로 병합됩니다.
`user_name`	`principal.user.user_display_name`	원시 로그의 `user_name`가 UDM에 직접 매핑됩니다.
`uuid`	`target.process.pid`	원시 로그의 `uuid`가 파싱되어 프로세스 ID가 추출되고 `target.process.pid`에 매핑됩니다.
해당 사항 없음	`metadata.vendor_name`	'SYMANTEC'으로 설정됩니다.
해당 사항 없음	`metadata.log_type`	'SYMANTEC_EVENT_EXPORT'로 설정합니다.
해당 사항 없음	`principal.resource.resource_type`	`connection.direction_id`이 1이 아니거나 비어 있는 경우 'DEVICE'로 설정됩니다.
해당 사항 없음	`target.resource.resource_type`	`connection.direction_id`이 1인 경우 'DEVICE'로 설정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.