Coletar logs de exportação de eventos da Symantec

Compatível com:

Neste documento, descrevemos como coletar registros de exportação de eventos da Symantec configurando um feed de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de ingestão identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com os seguintes rótulos de transferência: SYMANTEC_EVENT_EXPORT e SEP.

Configurar a exportação de eventos da Symantec

  1. Faça login no console do SEP 15/14.2.
  2. Selecione Integration.
  3. Clique em Aplicativo do cliente e copie o ID do cliente e o ID do domínio, que são usados ao criar um feed do Google Security Operations.
  4. Clique em + Adicionar e informe o nome do aplicativo.
  5. Clique em Adicionar.
  6. Acesse a página Detalhes e realize as seguintes ações:
    • Na seção Gerenciamento de grupos de dispositivos, selecione Visualizar.
    • Na seção Gerenciamento de regras de alertas e eventos, selecione Visualizar.
    • Na seção Investigation Incident, selecione View.
  7. Clique em Salvar.
  8. Clique no menu (reticências verticais) localizado no final do nome do aplicativo e em Client Secret.
  9. Copie o ID e a chave secreta do cliente, que são necessários para configurar o feed do Google Security Operations.

Configurar um feed no Google Security Operations para processar os registros de exportação de eventos da Symantec

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. Insira um nome exclusivo para o Nome do campo.
  4. Selecione Google Cloud Storage como o Tipo de origem.
  5. Selecione Exportação de eventos da Symantec como o Tipo de registro.
  6. Clique em Conseguir uma conta de serviço. O Google Security Operations fornece uma conta de serviço exclusiva que ele usa para ingerir dados.
  7. Configure o acesso da conta de serviço aos objetos do Cloud Storage. Para mais informações, consulte Conceder acesso à conta de serviço do Google Security Operations.
  8. Clique em Próxima.
  9. Configure os seguintes parâmetros de entrada obrigatórios:
    • URI do bucket do Storage: especifique o URI do bucket do Storage.
    • URI é um: especifique o URI.
    • Opção de exclusão de origem: especifique a opção de exclusão de origem.
  10. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations.

Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador extrai campos dos registros de exportação de eventos da Symantec em formato JSON ou SYSLOG, normalizando e mapeando-os para o UDM. Ele processa várias estruturas de registro, usando padrões grok para SYSLOG e análise JSON para registros formatados em JSON, e mapeia campos para entidades do UDM, como principal, target, network e security_result.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
actor.cmd_line principal.process.command_line O actor.cmd_line do registro bruto é associado diretamente ao UDM.
actor.file.full_path principal.process.file.full_path O actor.file.path ou file.path do registro bruto é associado diretamente ao UDM.
actor.file.md5 principal.process.file.md5 O actor.file.md5 do registro bruto é convertido em letras minúsculas e mapeado diretamente para o UDM.
actor.file.sha1 principal.process.file.sha1 O actor.file.sha1 do registro bruto é convertido em letras minúsculas e mapeado diretamente para o UDM.
actor.file.sha2 principal.process.file.sha256 O actor.file.sha2 ou file.sha2 do registro bruto é convertido para letras minúsculas e mapeado diretamente para o UDM.
actor.file.size principal.process.file.size O actor.file.size do registro bruto é convertido em uma string e, em seguida, em um número inteiro sem sinal e mapeado diretamente para o UDM.
actor.pid principal.process.pid O actor.pid do registro bruto é convertido em uma string e mapeado diretamente para a UDM.
actor.user.domain principal.administrative_domain O actor.user.domain do registro bruto é associado diretamente ao UDM. Se connection.direction_id for 1, ele será mapeado para target.administrative_domain.
actor.user.name principal.user.user_display_name O actor.user.name do registro bruto é associado diretamente ao UDM. Se user_name existir, ele terá precedência.
actor.user.sid principal.user.windows_sid O actor.user.sid do registro bruto é associado diretamente ao UDM.
connection.direction_id network.direction Se connection.direction_id for 1 e connection.dst_ip existir, network.direction será definido como INBOUND. Se connection.direction_id for 2 e connection.dst_ip existir, network.direction será definido como OUTBOUND.
connection.dst_ip target.ip O connection.dst_ip do registro bruto é associado diretamente ao UDM.
connection.dst_port target.port O connection.dst_port do registro bruto é convertido em um número inteiro e mapeado diretamente para o UDM.
connection.src_ip principal.ip O connection.src_ip do registro bruto é associado diretamente ao UDM.
connection.src_port principal.port O connection.src_port do registro bruto é convertido em um número inteiro e mapeado diretamente para o UDM. Processa casos em que connection.src_port é uma matriz.
device_domain principal.administrative_domain ou target.administrative_domain O device_domain do registro bruto é mapeado para principal.administrative_domain se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.administrative_domain.
device_group principal.group.group_display_name ou target.group.group_display_name O device_group do registro bruto é mapeado para principal.group.group_display_name se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.group.group_display_name.
device_ip src.ip O device_ip do registro bruto é associado diretamente ao UDM.
device_name principal.hostname ou target.hostname O device_name do registro bruto é mapeado para principal.hostname se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.hostname.
device_networks intermediary.ip, intermediary.mac A matriz device_networks do registro bruto é processada. Os endereços IPv4 e IPv6 são mesclados em intermediary.ip. Os endereços MAC são convertidos em letras minúsculas, os hifens são substituídos por dois-pontos e, em seguida, são mesclados em intermediary.mac.
device_os_name principal.platform_version ou target.platform_version O device_os_name do registro bruto é mapeado para principal.platform_version se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.platform_version.
device_public_ip principal.ip O device_public_ip do registro bruto é associado diretamente ao UDM.
device_uid principal.resource.id ou target.resource.id O device_uid do registro bruto é mapeado para principal.resource.id se connection.direction_id não for 1. Se connection.direction_id for 1, ele será mapeado para target.resource.id.
feature_name security_result.category_details O feature_name do registro bruto é associado diretamente ao UDM.
file.path principal.process.file.full_path O file.path do registro bruto é associado diretamente ao UDM. Se actor.file.path existir, ele terá precedência.
file.sha2 principal.process.file.sha256 O file.sha2 do registro bruto é convertido em letras minúsculas e mapeado diretamente para o UDM. Se actor.file.sha2 existir, ele terá precedência.
log_time metadata.event_timestamp O log_time do registro bruto é analisado usando vários formatos de data e usado como o carimbo de data/hora do evento.
message security_result.summary, network.ip_protocol ou metadata.description O campo message do registro bruto é processado. Se ele contiver "UDP", network.ip_protocol será definido como "UDP". Se ele contiver "IP", network.ip_protocol será definido como "IP6IN4". Se ele contiver "ICMP", network.ip_protocol será definido como "ICMP". Caso contrário, ele será mapeado para security_result.summary. Se o campo description existir, o campo message será mapeado para metadata.description.
parent.cmd_line principal.process.parent_process.command_line O parent.cmd_line do registro bruto é associado diretamente ao UDM.
parent.pid principal.process.parent_process.pid O parent.pid do registro bruto é convertido em uma string e mapeado diretamente para a UDM.
policy.name security_result.rule_name O policy.name do registro bruto é associado diretamente ao UDM.
policy.rule_name security_result.description O policy.rule_name do registro bruto é associado diretamente ao UDM.
policy.rule_uid security_result.rule_id O policy.rule_uid do registro bruto é associado diretamente ao UDM. Se policy.uid existir, ele terá precedência.
policy.uid security_result.rule_id O policy.uid do registro bruto é associado diretamente ao UDM.
product_name metadata.product_name O product_name do registro bruto é associado diretamente ao UDM.
product_uid metadata.product_log_id O product_uid do registro bruto é associado diretamente ao UDM.
product_ver metadata.product_version O product_ver do registro bruto é associado diretamente ao UDM.
severity_id security_result.severity Se severity_id for 1, 2 ou 3, security_result.severity será definido como INFORMATIONAL. Se for 4, será definido como ERROR. Se for 5, será definido como CRITICAL.
threat.id security_result.threat_id O threat.id do registro bruto é convertido em uma string e mapeado diretamente para a UDM.
threat.name security_result.threat_name O threat.name do registro bruto é associado diretamente ao UDM.
type_id metadata.event_type, metadata.product_event_type Usado com outros campos para determinar o metadata.event_type e o metadata.product_event_type apropriados.
user_email principal.user.email_addresses O user_email do registro bruto é mesclado ao UDM.
user_name principal.user.user_display_name O user_name do registro bruto é associado diretamente ao UDM.
uuid target.process.pid O uuid do registro bruto é analisado para extrair o ID do processo, que é mapeado para target.process.pid.
N/A metadata.vendor_name Defina como "SYMANTEC".
N/A metadata.log_type Defina como "SYMANTEC_EVENT_EXPORT".
N/A principal.resource.resource_type Defina como "DEVICE" quando connection.direction_id não for 1 ou estiver vazio.
N/A target.resource.resource_type Defina como "DEVICE" quando connection.direction_id for 1.

Alterações

2023-11-07

  • Adicionamos suporte a registros no formato SYSLOG.
  • Foram adicionadas verificações "not null" a "parent.cmd_line", "parent.pid", "actor.pid", "actor.cmd_line", "device_name", "device_group", "device_os_name", "device_group", "device_domain", "device_uid" antes do mapeamento para o UDM.
  • "device_name" foi mapeado para "principal.hostname".
  • "user_name" foi associado a "principal.user.user_display_name".
  • Mapeamos "actor.user.name" para "principal.user.user_display_name".
  • Mapeamos "actor.user.domain" para "principal.administrative_domain".
  • "actor.user.sid" foi associado a "principal.user.windows_sid".
  • "actor.file.size" foi associado a "principal.process.file.size".
  • "device_public_ip" foi mapeado para "principal.ip".
  • "device_networks.ipv6" foi mapeado para "intermediary.ip".
  • "user_email" foi associado a "principal.user.email_addresses".

2022-08-19

  • melhoria: redução da porcentagem de eventos genéricos.
  • "type_id" foi mapeado para event.idm.read_only_udm.metadata.event_type
  • Registros analisados para type_id = 21