Symantec Event Export 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Symantec 이벤트 내보내기 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SYMANTEC_EVENT_EXPORTSEP 수집 라벨이 있는 파서에 적용됩니다.

Symantec Event 내보내기 구성

  1. SEP 15/14.2 콘솔에 로그인합니다.
  2. 통합을 선택합니다.
  3. 클라이언트 애플리케이션을 클릭하고 Google Security Operations 피드를 만들 때 사용되는 고객 ID도메인 ID를 복사합니다.
  4. + 추가를 클릭하고 애플리케이션 이름을 입력합니다.
  5. 추가를 클릭합니다.
  6. 세부정보 페이지로 이동하여 다음 작업을 실행합니다.
    • 기기 그룹 관리 섹션에서 보기를 선택합니다.
    • 알림 및 이벤트 규칙 관리 섹션에서 보기를 선택합니다.
    • 조사 인시던트 섹션에서 보기를 선택합니다.
  7. 저장을 클릭합니다.
  8. 애플리케이션 이름 끝에 있는 메뉴 (세로 줄임표)를 클릭하고 클라이언트 보안 비밀을 클릭합니다.
  9. Google Security Operations 피드를 구성할 때 필요한 클라이언트 ID와 클라이언트 보안 비밀을 복사합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Symantec 이벤트 내보내기 로그).
  5. 소스 유형으로 Google Cloud Storage V2를 선택합니다.
  6. 로그 유형으로 Symantec Event 내보내기를 선택합니다.
  7. 서비스 계정 가져오기를 클릭합니다. Google Security Operations는 Google Security Operations에서 데이터를 수집하는 데 사용하는 고유한 서비스 계정을 제공합니다.
  8. Cloud Storage 객체에 액세스하도록 서비스 계정의 액세스 권한을 구성합니다. 자세한 내용은 Google Security Operations 서비스 계정에 대한 액세스 권한 부여를 참고하세요.
  9. 다음을 클릭합니다.
  10. 다음 필수 입력 매개변수를 구성합니다.
    • 스토리지 버킷 URI: 스토리지 버킷 URI를 지정합니다.
    • 소스 삭제 옵션: 소스 삭제 옵션을 지정합니다.
    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
  11. 다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요.

각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 JSON 또는 SYSLOG 형식의 Symantec 이벤트 내보내기 로그에서 필드를 추출하여 UDM으로 정규화하고 매핑합니다. SYSLOG의 경우 grok 패턴을 사용하고 JSON 형식 로그의 경우 JSON 파싱을 사용하여 다양한 로그 구조를 처리하고 필드를 principal, target, network, security_result과 같은 UDM 엔티티에 매핑합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
actor.cmd_line principal.process.command_line 원시 로그의 actor.cmd_line가 UDM에 직접 매핑됩니다.
actor.file.full_path principal.process.file.full_path 원시 로그의 actor.file.path 또는 file.path이 UDM에 직접 매핑됩니다.
actor.file.md5 principal.process.file.md5 원시 로그의 actor.file.md5가 소문자로 변환되고 UDM에 직접 매핑됩니다.
actor.file.sha1 principal.process.file.sha1 원시 로그의 actor.file.sha1가 소문자로 변환되고 UDM에 직접 매핑됩니다.
actor.file.sha2 principal.process.file.sha256 원시 로그의 actor.file.sha2 또는 file.sha2이 소문자로 변환되고 UDM에 직접 매핑됩니다.
actor.file.size principal.process.file.size 원시 로그의 actor.file.size가 문자열로 변환된 후 부호 없는 정수로 변환되어 UDM에 직접 매핑됩니다.
actor.pid principal.process.pid 원시 로그의 actor.pid이 문자열로 변환되고 UDM에 직접 매핑됩니다.
actor.user.domain principal.administrative_domain 원시 로그의 actor.user.domain가 UDM에 직접 매핑됩니다. connection.direction_id가 1이면 target.administrative_domain에 매핑됩니다.
actor.user.name principal.user.user_display_name 원시 로그의 actor.user.name가 UDM에 직접 매핑됩니다. user_name가 있으면 우선 적용됩니다.
actor.user.sid principal.user.windows_sid 원시 로그의 actor.user.sid가 UDM에 직접 매핑됩니다.
connection.direction_id network.direction connection.direction_id이 1이고 connection.dst_ip이 있으면 network.directionINBOUND으로 설정됩니다. connection.direction_id이 2이고 connection.dst_ip이 있으면 network.directionOUTBOUND로 설정됩니다.
connection.dst_ip target.ip 원시 로그의 connection.dst_ip가 UDM에 직접 매핑됩니다.
connection.dst_port target.port 원시 로그의 connection.dst_port가 정수로 변환되고 UDM에 직접 매핑됩니다.
connection.src_ip principal.ip 원시 로그의 connection.src_ip가 UDM에 직접 매핑됩니다.
connection.src_port principal.port 원시 로그의 connection.src_port가 정수로 변환되고 UDM에 직접 매핑됩니다. connection.src_port가 배열인 경우를 처리합니다.
device_domain principal.administrative_domain 또는 target.administrative_domain connection.direction_id이 1이 아니면 원시 로그의 device_domainprincipal.administrative_domain에 매핑됩니다. connection.direction_id가 1이면 target.administrative_domain에 매핑됩니다.
device_group principal.group.group_display_name 또는 target.group.group_display_name connection.direction_id이 1이 아니면 원시 로그의 device_groupprincipal.group.group_display_name에 매핑됩니다. connection.direction_id가 1이면 target.group.group_display_name에 매핑됩니다.
device_ip src.ip 원시 로그의 device_ip가 UDM에 직접 매핑됩니다.
device_name principal.hostname 또는 target.hostname connection.direction_id이 1이 아니면 원시 로그의 device_nameprincipal.hostname에 매핑됩니다. connection.direction_id가 1이면 target.hostname에 매핑됩니다.
device_networks intermediary.ip, intermediary.mac 원시 로그의 device_networks 배열이 처리됩니다. IPv4 및 IPv6 주소가 intermediary.ip로 병합됩니다. MAC 주소는 소문자로 변환되고 하이픈은 콜론으로 대체된 후 intermediary.mac로 병합됩니다.
device_os_name principal.platform_version 또는 target.platform_version connection.direction_id이 1이 아니면 원시 로그의 device_os_nameprincipal.platform_version에 매핑됩니다. connection.direction_id가 1이면 target.platform_version에 매핑됩니다.
device_public_ip principal.ip 원시 로그의 device_public_ip가 UDM에 직접 매핑됩니다.
device_uid principal.resource.id 또는 target.resource.id connection.direction_id이 1이 아니면 원시 로그의 device_uidprincipal.resource.id에 매핑됩니다. connection.direction_id가 1이면 target.resource.id에 매핑됩니다.
feature_name security_result.category_details 원시 로그의 feature_name가 UDM에 직접 매핑됩니다.
file.path principal.process.file.full_path 원시 로그의 file.path가 UDM에 직접 매핑됩니다. actor.file.path가 있으면 우선 적용됩니다.
file.sha2 principal.process.file.sha256 원시 로그의 file.sha2가 소문자로 변환되고 UDM에 직접 매핑됩니다. actor.file.sha2가 있으면 우선 적용됩니다.
log_time metadata.event_timestamp 원시 로그의 log_time는 다양한 날짜 형식을 사용하여 파싱되고 이벤트 타임스탬프로 사용됩니다.
message security_result.summary 또는 network.ip_protocol 또는 metadata.description 원시 로그의 message 필드가 처리됩니다. 'UDP'가 포함된 경우 network.ip_protocol이 'UDP'로 설정됩니다. 'IP'가 포함된 경우 network.ip_protocol은 'IP6IN4'로 설정됩니다. 'ICMP'가 포함된 경우 network.ip_protocol이 'ICMP'로 설정됩니다. 그렇지 않으면 security_result.summary에 매핑됩니다. description 필드가 있으면 message 필드가 metadata.description에 매핑됩니다.
parent.cmd_line principal.process.parent_process.command_line 원시 로그의 parent.cmd_line가 UDM에 직접 매핑됩니다.
parent.pid principal.process.parent_process.pid 원시 로그의 parent.pid이 문자열로 변환되고 UDM에 직접 매핑됩니다.
policy.name security_result.rule_name 원시 로그의 policy.name가 UDM에 직접 매핑됩니다.
policy.rule_name security_result.description 원시 로그의 policy.rule_name가 UDM에 직접 매핑됩니다.
policy.rule_uid security_result.rule_id 원시 로그의 policy.rule_uid가 UDM에 직접 매핑됩니다. policy.uid가 있으면 우선 적용됩니다.
policy.uid security_result.rule_id 원시 로그의 policy.uid가 UDM에 직접 매핑됩니다.
product_name metadata.product_name 원시 로그의 product_name가 UDM에 직접 매핑됩니다.
product_uid metadata.product_log_id 원시 로그의 product_uid가 UDM에 직접 매핑됩니다.
product_ver metadata.product_version 원시 로그의 product_ver가 UDM에 직접 매핑됩니다.
severity_id security_result.severity severity_id이 1, 2 또는 3이면 security_result.severityINFORMATIONAL로 설정됩니다. 4인 경우 ERROR로 설정됩니다. 5인 경우 CRITICAL로 설정됩니다.
threat.id security_result.threat_id 원시 로그의 threat.id이 문자열로 변환되고 UDM에 직접 매핑됩니다.
threat.name security_result.threat_name 원시 로그의 threat.name가 UDM에 직접 매핑됩니다.
type_id metadata.event_type, metadata.product_event_type 적절한 metadata.event_typemetadata.product_event_type를 결정하기 위해 다른 필드와 함께 사용됩니다.
user_email principal.user.email_addresses 원시 로그의 user_email이 UDM으로 병합됩니다.
user_name principal.user.user_display_name 원시 로그의 user_name가 UDM에 직접 매핑됩니다.
uuid target.process.pid 원시 로그의 uuid가 파싱되어 프로세스 ID가 추출되고 target.process.pid에 매핑됩니다.
해당 사항 없음 metadata.vendor_name 'SYMANTEC'으로 설정됩니다.
해당 사항 없음 metadata.log_type 'SYMANTEC_EVENT_EXPORT'로 설정합니다.
해당 사항 없음 principal.resource.resource_type connection.direction_id이 1이 아니거나 비어 있는 경우 'DEVICE'로 설정됩니다.
해당 사항 없음 target.resource.resource_type connection.direction_id이 1인 경우 'DEVICE'로 설정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.