Esta página foi traduzida pela API Cloud Translation.

Recolha registos de exportação de eventos da Symantec

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos de exportação de eventos da Symantec configurando um feed do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com as seguintes etiquetas de carregamento: SYMANTEC_EVENT_EXPORT e SEP.

Configure a exportação de eventos do Symantec

Inicie sessão na consola do SEP 15/14.2.
Selecione Integração.
Clique em Aplicação cliente e copie o ID de cliente e o ID do domínio, que são usados quando cria um feed do Google Security Operations.
Clique em + Adicionar e indique um nome da aplicação.
Clique em Adicionar.
Aceda à página Detalhes e execute as seguintes ações:
- Na secção Gestão de grupos de dispositivos, selecione Ver.
- Na secção Gestão de regras de alertas e eventos, selecione Ver.
- Na secção Incidente de investigação, selecione Ver.
Clique em Guardar.
Clique no menu (reticências verticais) localizado no final do nome da aplicação e clique em Segredo do cliente.
Copie o ID do cliente e o segredo do cliente, que são necessários quando configura o feed do Google Security Operations.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de exportação de eventos da Symantec.
Selecione Google Cloud Storage como Tipo de origem.
Selecione Exportação de eventos da Symantec como o Tipo de registo.
Clique em Obter uma conta de serviço. O Google Security Operations fornece uma conta de serviço exclusiva que o Google Security Operations usa para carregar dados.
Configure o acesso da conta de serviço aos objetos do Cloud Storage. Para mais informações, consulte o artigo Conceda acesso à conta de serviço do Google Security Operations.
Clicar em Seguinte.
Configure os seguintes parâmetros de entrada obrigatórios:
- URI do contentor de armazenamento: especifique o URI do contentor de armazenamento.
- URI é um: especifique o URI.
- Opção de eliminação da origem: especifique a opção de eliminação da origem.
Clique em Seguinte e, de seguida, em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations.

Para obter informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo.

Se tiver problemas ao criar feeds, contacte o apoio técnico das operações de segurança da Google.

Referência de mapeamento de campos

Este analisador extrai campos dos registos de exportação de eventos da Symantec no formato JSON ou SYSLOG, normalizando-os e mapeando-os para o UDM. Processa várias estruturas de registos, usando padrões grok para SYSLOG e análise de JSON para registos formatados em JSON, e mapeia campos para entidades UDM, como principal, target, network e security_result.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`actor.cmd_line`	`principal.process.command_line`	O `actor.cmd_line` do registo não processado é mapeado diretamente para o UDM.
`actor.file.full_path`	`principal.process.file.full_path`	O `actor.file.path` ou o `file.path` do registo não processado é mapeado diretamente para o UDM.
`actor.file.md5`	`principal.process.file.md5`	O `actor.file.md5` do registo não processado é convertido em minúsculas e mapeado diretamente para o UDM.
`actor.file.sha1`	`principal.process.file.sha1`	O `actor.file.sha1` do registo não processado é convertido em minúsculas e mapeado diretamente para o UDM.
`actor.file.sha2`	`principal.process.file.sha256`	O `actor.file.sha2` ou o `file.sha2` do registo não processado é convertido em minúsculas e mapeado diretamente para a UDM.
`actor.file.size`	`principal.process.file.size`	O `actor.file.size` do registo não processado é convertido numa string e, em seguida, num número inteiro não assinado e mapeado diretamente para os dados do utilizador unificados.
`actor.pid`	`principal.process.pid`	O `actor.pid` do registo não processado é convertido numa string e mapeado diretamente para o UDM.
`actor.user.domain`	`principal.administrative_domain`	O `actor.user.domain` do registo não processado é mapeado diretamente para o UDM. Se `connection.direction_id` for 1, é mapeado para `target.administrative_domain`.
`actor.user.name`	`principal.user.user_display_name`	O `actor.user.name` do registo não processado é mapeado diretamente para o UDM. Se `user_name` existir, tem prioridade.
`actor.user.sid`	`principal.user.windows_sid`	O `actor.user.sid` do registo não processado é mapeado diretamente para o UDM.
`connection.direction_id`	`network.direction`	Se `connection.direction_id` for 1 e `connection.dst_ip` existir, `network.direction` é definido como `INBOUND`. Se `connection.direction_id` for 2 e `connection.dst_ip` existir, `network.direction` é definido como `OUTBOUND`.
`connection.dst_ip`	`target.ip`	O `connection.dst_ip` do registo não processado é mapeado diretamente para o UDM.
`connection.dst_port`	`target.port`	O `connection.dst_port` do registo não processado é convertido num número inteiro e mapeado diretamente para o UDM.
`connection.src_ip`	`principal.ip`	O `connection.src_ip` do registo não processado é mapeado diretamente para o UDM.
`connection.src_port`	`principal.port`	O `connection.src_port` do registo não processado é convertido num número inteiro e mapeado diretamente para o UDM. Processa casos em que `connection.src_port` é uma matriz.
`device_domain`	`principal.administrative_domain` ou `target.administrative_domain`	O `device_domain` do registo não processado está mapeado para `principal.administrative_domain` se `connection.direction_id` não for 1. Se `connection.direction_id` for 1, é mapeado para `target.administrative_domain`.
`device_group`	`principal.group.group_display_name` ou `target.group.group_display_name`	O `device_group` do registo não processado está mapeado para `principal.group.group_display_name` se `connection.direction_id` não for 1. Se `connection.direction_id` for 1, é mapeado para `target.group.group_display_name`.
`device_ip`	`src.ip`	O `device_ip` do registo não processado é mapeado diretamente para o UDM.
`device_name`	`principal.hostname` ou `target.hostname`	O `device_name` do registo não processado está mapeado para `principal.hostname` se `connection.direction_id` não for 1. Se `connection.direction_id` for 1, é mapeado para `target.hostname`.
`device_networks`	`intermediary.ip`, `intermediary.mac`	A matriz `device_networks` do registo não processado é processada. Os endereços IPv4 e IPv6 são unidos em `intermediary.ip`. Os endereços MAC são convertidos em minúsculas, os hífenes são substituídos por dois pontos e, em seguida, são unidos em `intermediary.mac`.
`device_os_name`	`principal.platform_version` ou `target.platform_version`	O `device_os_name` do registo não processado está mapeado para `principal.platform_version` se `connection.direction_id` não for 1. Se `connection.direction_id` for 1, é mapeado para `target.platform_version`.
`device_public_ip`	`principal.ip`	O `device_public_ip` do registo não processado é mapeado diretamente para o UDM.
`device_uid`	`principal.resource.id` ou `target.resource.id`	O `device_uid` do registo não processado está mapeado para `principal.resource.id` se `connection.direction_id` não for 1. Se `connection.direction_id` for 1, é mapeado para `target.resource.id`.
`feature_name`	`security_result.category_details`	O `feature_name` do registo não processado é mapeado diretamente para o UDM.
`file.path`	`principal.process.file.full_path`	O `file.path` do registo não processado é mapeado diretamente para o UDM. Se `actor.file.path` existir, tem prioridade.
`file.sha2`	`principal.process.file.sha256`	O `file.sha2` do registo não processado é convertido em minúsculas e mapeado diretamente para o UDM. Se `actor.file.sha2` existir, tem prioridade.
`log_time`	`metadata.event_timestamp`	O `log_time` do registo não processado é analisado através de vários formatos de data e usado como a data/hora do evento.
`message`	`security_result.summary` ou `network.ip_protocol` ou `metadata.description`	O campo `message` do registo não processado é processado. Se contiver "UDP", `network.ip_protocol` é definido como "UDP". Se contiver "IP", `network.ip_protocol` é definido como "IP6IN4". Se contiver "ICMP", `network.ip_protocol` é definido como "ICMP". Caso contrário, é mapeado para `security_result.summary`. Se o campo `description` existir, o campo `message` é mapeado para `metadata.description`.
`parent.cmd_line`	`principal.process.parent_process.command_line`	O `parent.cmd_line` do registo não processado é mapeado diretamente para o UDM.
`parent.pid`	`principal.process.parent_process.pid`	O `parent.pid` do registo não processado é convertido numa string e mapeado diretamente para o UDM.
`policy.name`	`security_result.rule_name`	O `policy.name` do registo não processado é mapeado diretamente para o UDM.
`policy.rule_name`	`security_result.description`	O `policy.rule_name` do registo não processado é mapeado diretamente para o UDM.
`policy.rule_uid`	`security_result.rule_id`	O `policy.rule_uid` do registo não processado é mapeado diretamente para o UDM. Se `policy.uid` existir, tem prioridade.
`policy.uid`	`security_result.rule_id`	O `policy.uid` do registo não processado é mapeado diretamente para o UDM.
`product_name`	`metadata.product_name`	O `product_name` do registo não processado é mapeado diretamente para o UDM.
`product_uid`	`metadata.product_log_id`	O `product_uid` do registo não processado é mapeado diretamente para o UDM.
`product_ver`	`metadata.product_version`	O `product_ver` do registo não processado é mapeado diretamente para o UDM.
`severity_id`	`security_result.severity`	Se `severity_id` for 1, 2 ou 3, `security_result.severity` é definido como `INFORMATIONAL`. Se for 4, está definido como `ERROR`. Se for 5, está definido como `CRITICAL`.
`threat.id`	`security_result.threat_id`	O `threat.id` do registo não processado é convertido numa string e mapeado diretamente para o UDM.
`threat.name`	`security_result.threat_name`	O `threat.name` do registo não processado é mapeado diretamente para o UDM.
`type_id`	`metadata.event_type`, `metadata.product_event_type`	Usado em conjunto com outros campos para determinar o `metadata.event_type` e o `metadata.product_event_type` adequados.
`user_email`	`principal.user.email_addresses`	O `user_email` do registo não processado é unido no UDM.
`user_name`	`principal.user.user_display_name`	O `user_name` do registo não processado é mapeado diretamente para o UDM.
`uuid`	`target.process.pid`	O `uuid` do registo não processado é analisado para extrair o ID do processo, que é mapeado para `target.process.pid`.
N/A	`metadata.vendor_name`	Definido como "SYMANTEC".
N/A	`metadata.log_type`	Definido como "SYMANTEC_EVENT_EXPORT".
N/A	`principal.resource.resource_type`	Definido como "DEVICE" quando `connection.direction_id` não é 1 ou está vazio.
N/A	`target.resource.resource_type`	Definido como "DEVICE" quando `connection.direction_id` é 1.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.