이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Symantec Event Export 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 피드를 설정하여 Symantec Event Export 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SYMANTEC_EVENT_EXPORT 및 SEP 수집 라벨이 있는 파서에 적용됩니다.

Symantec Event Export 구성

SEP 15/14.2 콘솔에 로그인합니다.
통합을 선택합니다.
클라이언트 애플리케이션을 클릭하고 Google Security Operations 피드를 만들 때 사용되는 고객 ID 및 도메인 ID를 복사합니다.
+ 추가를 클릭하고 애플리케이션 이름을 입력합니다.
추가를 클릭합니다.
세부정보 페이지로 이동하여 다음 작업을 실행합니다.
- 기기 그룹 관리 섹션에서 보기를 선택합니다.
- 알림 및 이벤트 규칙 관리 섹션에서 보기를 선택합니다.
- 조사 이슈 섹션에서 보기를 선택합니다.
저장을 클릭합니다.
애플리케이션 이름 끝에 있는 메뉴 (세로 생략 기호)를 클릭하고 클라이언트 비밀을 클릭합니다.
Google Security Operations 피드를 구성할 때 필요한 클라이언트 ID와 클라이언트 보안 비밀을 복사합니다.

Symantec Event Export 로그를 수집하도록 Google Security Operations에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새 항목 추가를 클릭합니다.
필드 이름의 고유한 이름을 입력합니다.
소스 유형으로 Google Cloud Storage를 선택합니다.
로그 유형으로 Symantec Event export를 선택합니다.
서비스 계정 가져오기를 클릭합니다. Google Security Operations는 Google Security Operations에서 데이터를 수집하는 데 사용하는 고유한 서비스 계정을 제공합니다.
Cloud Storage 객체에 액세스하도록 서비스 계정의 액세스 권한을 구성합니다. 자세한 내용은 Google Security Operations 서비스 계정에 대한 액세스 권한 부여를 참고하세요.
다음을 클릭합니다.
다음 필수 입력 매개변수를 구성합니다.
- 스토리지 버킷 URI: 스토리지 버킷 URI를 지정합니다.
- URI는: URI를 지정합니다.
- 소스 삭제 옵션: 소스 삭제 옵션을 지정합니다.
다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요.

각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 Symantec 이벤트 내보내기 로그에서 JSON 또는 SYSLOG 형식의 필드를 추출하여 정규화하고 UDM에 매핑합니다. SYSLOG에는 grok 패턴을 사용하고 JSON 형식 로그에는 JSON 파싱을 사용하여 다양한 로그 구조를 처리하고 필드를 principal, target, network, security_result와 같은 UDM 항목에 매핑합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`actor.cmd_line`	`principal.process.command_line`	원시 로그의 `actor.cmd_line`가 UDM에 직접 매핑됩니다.
`actor.file.full_path`	`principal.process.file.full_path`	원시 로그의 `actor.file.path` 또는 `file.path`가 UDM에 직접 매핑됩니다.
`actor.file.md5`	`principal.process.file.md5`	원시 로그의 `actor.file.md5`는 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.sha1`	`principal.process.file.sha1`	원시 로그의 `actor.file.sha1`는 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.sha2`	`principal.process.file.sha256`	원시 로그의 `actor.file.sha2` 또는 `file.sha2`가 소문자로 변환되고 UDM에 직접 매핑됩니다.
`actor.file.size`	`principal.process.file.size`	원시 로그의 `actor.file.size`는 문자열로 변환된 후 부호 없는 정수로 변환되고 UDM에 직접 매핑됩니다.
`actor.pid`	`principal.process.pid`	원시 로그의 `actor.pid`가 문자열로 변환되고 UDM에 직접 매핑됩니다.
`actor.user.domain`	`principal.administrative_domain`	원시 로그의 `actor.user.domain`가 UDM에 직접 매핑됩니다. `connection.direction_id`가 1이면 `target.administrative_domain`에 매핑됩니다.
`actor.user.name`	`principal.user.user_display_name`	원시 로그의 `actor.user.name`가 UDM에 직접 매핑됩니다. `user_name`가 있으면 이 속성이 우선 적용됩니다.
`actor.user.sid`	`principal.user.windows_sid`	원시 로그의 `actor.user.sid`가 UDM에 직접 매핑됩니다.
`connection.direction_id`	`network.direction`	`connection.direction_id`이 1이고 `connection.dst_ip`가 있으면 `network.direction`가 `INBOUND`로 설정됩니다. `connection.direction_id`가 2이고 `connection.dst_ip`가 있는 경우 `network.direction`는 `OUTBOUND`로 설정됩니다.
`connection.dst_ip`	`target.ip`	원시 로그의 `connection.dst_ip`가 UDM에 직접 매핑됩니다.
`connection.dst_port`	`target.port`	원시 로그의 `connection.dst_port`는 정수로 변환되고 UDM에 직접 매핑됩니다.
`connection.src_ip`	`principal.ip`	원시 로그의 `connection.src_ip`가 UDM에 직접 매핑됩니다.
`connection.src_port`	`principal.port`	원시 로그의 `connection.src_port`가 정수로 변환되고 UDM에 직접 매핑됩니다. `connection.src_port`가 배열인 경우를 처리합니다.
`device_domain`	`principal.administrative_domain` 또는 `target.administrative_domain`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_domain`가 `principal.administrative_domain`에 매핑됩니다. `connection.direction_id`가 1이면 `target.administrative_domain`에 매핑됩니다.
`device_group`	`principal.group.group_display_name` 또는 `target.group.group_display_name`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_group`가 `principal.group.group_display_name`에 매핑됩니다. `connection.direction_id`가 1이면 `target.group.group_display_name`에 매핑됩니다.
`device_ip`	`src.ip`	원시 로그의 `device_ip`가 UDM에 직접 매핑됩니다.
`device_name`	`principal.hostname` 또는 `target.hostname`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_name`가 `principal.hostname`에 매핑됩니다. `connection.direction_id`가 1이면 `target.hostname`에 매핑됩니다.
`device_networks`	`intermediary.ip`, `intermediary.mac`	원시 로그의 `device_networks` 배열이 처리됩니다. IPv4 및 IPv6 주소가 `intermediary.ip`로 병합됩니다. MAC 주소는 소문자로 변환되고 하이픈은 콜론으로 대체된 후 `intermediary.mac`에 병합됩니다.
`device_os_name`	`principal.platform_version` 또는 `target.platform_version`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_os_name`가 `principal.platform_version`에 매핑됩니다. `connection.direction_id`가 1이면 `target.platform_version`에 매핑됩니다.
`device_public_ip`	`principal.ip`	원시 로그의 `device_public_ip`가 UDM에 직접 매핑됩니다.
`device_uid`	`principal.resource.id` 또는 `target.resource.id`	`connection.direction_id`이 1이 아니면 원시 로그의 `device_uid`가 `principal.resource.id`에 매핑됩니다. `connection.direction_id`가 1이면 `target.resource.id`에 매핑됩니다.
`feature_name`	`security_result.category_details`	원시 로그의 `feature_name`가 UDM에 직접 매핑됩니다.
`file.path`	`principal.process.file.full_path`	원시 로그의 `file.path`가 UDM에 직접 매핑됩니다. `actor.file.path`가 있으면 `actor.file.path`가 우선 적용됩니다.
`file.sha2`	`principal.process.file.sha256`	원시 로그의 `file.sha2`는 소문자로 변환되고 UDM에 직접 매핑됩니다. `actor.file.sha2`가 있으면 이 속성이 우선 적용됩니다.
`log_time`	`metadata.event_timestamp`	원시 로그의 `log_time`는 다양한 날짜 형식을 사용하여 파싱되고 이벤트 타임스탬프로 사용됩니다.
`message`	`security_result.summary`, `network.ip_protocol` 또는 `metadata.description`	원시 로그의 `message` 필드가 처리됩니다. 'UDP'가 포함된 경우 `network.ip_protocol`는 'UDP'로 설정됩니다. 'IP'가 포함된 경우 `network.ip_protocol`는 'IP6IN4'로 설정됩니다. 'ICMP'가 포함된 경우 `network.ip_protocol`가 'ICMP'로 설정됩니다. 그렇지 않으면 `security_result.summary`에 매핑됩니다. `description` 필드가 있는 경우 `message` 필드가 `metadata.description`에 매핑됩니다.
`parent.cmd_line`	`principal.process.parent_process.command_line`	원시 로그의 `parent.cmd_line`가 UDM에 직접 매핑됩니다.
`parent.pid`	`principal.process.parent_process.pid`	원시 로그의 `parent.pid`가 문자열로 변환되고 UDM에 직접 매핑됩니다.
`policy.name`	`security_result.rule_name`	원시 로그의 `policy.name`가 UDM에 직접 매핑됩니다.
`policy.rule_name`	`security_result.description`	원시 로그의 `policy.rule_name`가 UDM에 직접 매핑됩니다.
`policy.rule_uid`	`security_result.rule_id`	원시 로그의 `policy.rule_uid`가 UDM에 직접 매핑됩니다. `policy.uid`가 있으면 이 속성이 우선 적용됩니다.
`policy.uid`	`security_result.rule_id`	원시 로그의 `policy.uid`가 UDM에 직접 매핑됩니다.
`product_name`	`metadata.product_name`	원시 로그의 `product_name`가 UDM에 직접 매핑됩니다.
`product_uid`	`metadata.product_log_id`	원시 로그의 `product_uid`가 UDM에 직접 매핑됩니다.
`product_ver`	`metadata.product_version`	원시 로그의 `product_ver`가 UDM에 직접 매핑됩니다.
`severity_id`	`security_result.severity`	`severity_id`이 1, 2 또는 3이면 `security_result.severity`가 `INFORMATIONAL`로 설정됩니다. 4이면 `ERROR`로 설정됩니다. 5인 경우 `CRITICAL`로 설정됩니다.
`threat.id`	`security_result.threat_id`	원시 로그의 `threat.id`가 문자열로 변환되고 UDM에 직접 매핑됩니다.
`threat.name`	`security_result.threat_name`	원시 로그의 `threat.name`가 UDM에 직접 매핑됩니다.
`type_id`	`metadata.event_type`, `metadata.product_event_type`	다른 필드와 함께 사용하여 적절한 `metadata.event_type` 및 `metadata.product_event_type`를 결정합니다.
`user_email`	`principal.user.email_addresses`	원시 로그의 `user_email`가 UDM에 병합됩니다.
`user_name`	`principal.user.user_display_name`	원시 로그의 `user_name`가 UDM에 직접 매핑됩니다.
`uuid`	`target.process.pid`	원시 로그의 `uuid`가 파싱되어 프로세스 ID가 추출되며, 이 ID는 `target.process.pid`에 매핑됩니다.
해당 사항 없음	`metadata.vendor_name`	'SYMANTEC'으로 설정합니다.
해당 사항 없음	`metadata.log_type`	'SYMANTEC_EVENT_EXPORT'로 설정합니다.
해당 사항 없음	`principal.resource.resource_type`	`connection.direction_id`가 1이 아니거나 비어 있으면 'DEVICE'로 설정합니다.
해당 사항 없음	`target.resource.resource_type`	`connection.direction_id`가 1인 경우 'DEVICE'로 설정합니다.

변경사항

2023-11-07

SYSLOG 형식 로그에 대한 지원이 추가되었습니다.
UDM에 매핑하기 전에 'parent.cmd_line', 'parent.pid', 'actor.pid', 'actor.cmd_line', 'device_name', 'device_group', 'device_os_name', 'device_group', 'device_domain', 'device_uid'에 'not null' 검사를 추가했습니다.
'device_name'이 'principal.hostname'에 매핑되었습니다.
'user_name'이 'principal.user.user_display_name'에 매핑되었습니다.
'actor.user.name'이 'principal.user.user_display_name'에 매핑되었습니다.
'actor.user.domain'이 'principal.administrative_domain'에 매핑되었습니다.
'actor.user.sid'가 'principal.user.windows_sid'에 매핑되었습니다.
'actor.file.size'가 'principal.process.file.size'에 매핑되었습니다.
'device_public_ip'가 'principal.ip'에 매핑되었습니다.
'device_networks.ipv6'이 'intermediary.ip'에 매핑되었습니다.
'user_email'이 'principal.user.email_addresses'에 매핑되었습니다.

2022-08-19

개선사항 - 일반 이벤트 비율을 줄였습니다.
'type_id'가 event.idm.read_only_udm.metadata.event_type에 매핑되었습니다.
type_id = 21의 로그를 파싱했습니다.