此页面由 Cloud Translation API 翻译。

收集 Symantec Event Export 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何通过设置 Google 安全运营 Feed 来收集 Symantec 事件导出日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有以下提取标签的解析器：SYMANTEC_EVENT_EXPORT 和 SEP。

配置 Symantec Event Export

登录 9 月 15 日/14.2 版控制台。
选择集成。
点击客户端应用，然后复制客户 ID 和网域 ID，这些信息将在您创建 Google Security Operations Feed 时使用。
点击 + 添加，然后提供应用名称。
点击添加。
前往详情页面，然后执行以下操作：
- 在设备组管理部分，选择查看。
- 在提醒和事件规则管理部分中，选择查看。
- 在调查事件部分中，选择查看。
点击保存。
点击应用名称末尾的菜单（垂直省略号），然后点击客户端密钥。
复制客户端 ID 和客户端密钥，您在配置 Google Security Operations Feed 时需要用到这些信息。

在 Google Security Operations 中配置 Feed 以提取 Symantec Event Export 日志

依次前往 SIEM 设置 > Feed。
点击 Add New（新增）。
在字段名称中输入一个具有唯一性的名称。
选择 Google Cloud Storage 作为来源类型。
选择 Symantec Event export 作为日志类型
点击获取服务账号。Google 安全运营团队会提供一个唯一的服务账号，Google 安全运营团队会使用该账号提取数据。
为服务账号配置访问 Cloud Storage 对象的权限。如需了解详情，请参阅向 Google 安全运营服务账号授予访问权限。
点击下一步。
配置以下必需的输入参数：
- 存储分区 URI：指定存储分区 URI。
- URI 是：指定 URI。
- 来源删除选项：指定来源删除选项。
点击下一步，然后点击提交。

如需详细了解 Google Security Operations Feed，请参阅 Google Security Operations Feed 文档。

如需了解每种 Feed 类型的要求，请参阅按类型配置 Feed。

如果您在创建 Feed 时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会从 JSON 或 SYSLOG 格式的 Symantec 事件导出日志中提取字段，并对其进行标准化处理，然后将其映射到 UDM。它会处理各种日志结构，使用 grok 模式处理 SYSLOG，并使用 JSON 解析处理 JSON 格式日志，还会将字段映射到 principal、target、network 和 security_result 等 UDM 实体。

UDM 映射表

日志字段	UDM 映射	逻辑
`actor.cmd_line`	`principal.process.command_line`	原始日志的 `actor.cmd_line` 会直接映射到 UDM。
`actor.file.full_path`	`principal.process.file.full_path`	原始日志的 `actor.file.path` 或 `file.path` 会直接映射到 UDM。
`actor.file.md5`	`principal.process.file.md5`	原始日志的 `actor.file.md5` 会转换为小写，并直接映射到 UDM。
`actor.file.sha1`	`principal.process.file.sha1`	原始日志的 `actor.file.sha1` 会转换为小写，并直接映射到 UDM。
`actor.file.sha2`	`principal.process.file.sha256`	原始日志的 `actor.file.sha2` 或 `file.sha2` 会转换为小写，并直接映射到 UDM。
`actor.file.size`	`principal.process.file.size`	原始日志的 `actor.file.size` 会转换为字符串，然后转换为无符号整数，并直接映射到 UDM。
`actor.pid`	`principal.process.pid`	原始日志的 `actor.pid` 会转换为字符串，并直接映射到 UDM。
`actor.user.domain`	`principal.administrative_domain`	原始日志的 `actor.user.domain` 会直接映射到 UDM。如果 `connection.direction_id` 为 1，则会映射到 `target.administrative_domain`。
`actor.user.name`	`principal.user.user_display_name`	原始日志的 `actor.user.name` 会直接映射到 UDM。如果存在 `user_name`，则它优先。
`actor.user.sid`	`principal.user.windows_sid`	原始日志的 `actor.user.sid` 会直接映射到 UDM。
`connection.direction_id`	`network.direction`	如果 `connection.direction_id` 为 1 且 `connection.dst_ip` 存在，则 `network.direction` 会设置为 `INBOUND`。如果 `connection.direction_id` 为 2 且 `connection.dst_ip` 存在，则 `network.direction` 会设置为 `OUTBOUND`。
`connection.dst_ip`	`target.ip`	原始日志的 `connection.dst_ip` 会直接映射到 UDM。
`connection.dst_port`	`target.port`	原始日志的 `connection.dst_port` 会转换为整数，并直接映射到 UDM。
`connection.src_ip`	`principal.ip`	原始日志的 `connection.src_ip` 会直接映射到 UDM。
`connection.src_port`	`principal.port`	原始日志的 `connection.src_port` 会转换为整数，并直接映射到 UDM。处理 `connection.src_port` 为数组的情况。
`device_domain`	`principal.administrative_domain` 或 `target.administrative_domain`	如果 `connection.direction_id` 不等于 1，则原始日志的 `device_domain` 会映射到 `principal.administrative_domain`。如果 `connection.direction_id` 为 1，则会映射到 `target.administrative_domain`。
`device_group`	`principal.group.group_display_name` 或 `target.group.group_display_name`	如果 `connection.direction_id` 不等于 1，则原始日志的 `device_group` 会映射到 `principal.group.group_display_name`。如果 `connection.direction_id` 为 1，则会映射到 `target.group.group_display_name`。
`device_ip`	`src.ip`	原始日志的 `device_ip` 会直接映射到 UDM。
`device_name`	`principal.hostname` 或 `target.hostname`	如果 `connection.direction_id` 不等于 1，则原始日志的 `device_name` 会映射到 `principal.hostname`。如果 `connection.direction_id` 为 1，则会映射到 `target.hostname`。
`device_networks`	`intermediary.ip`，`intermediary.mac`	系统会处理原始日志的 `device_networks` 数组。IPv4 和 IPv6 地址会合并到 `intermediary.ip`。MAC 地址会转换为小写形式，连字符会替换为英文冒号，然后合并到 `intermediary.mac`。
`device_os_name`	`principal.platform_version` 或 `target.platform_version`	如果 `connection.direction_id` 不等于 1，则原始日志的 `device_os_name` 会映射到 `principal.platform_version`。如果 `connection.direction_id` 为 1，则会映射到 `target.platform_version`。
`device_public_ip`	`principal.ip`	原始日志的 `device_public_ip` 会直接映射到 UDM。
`device_uid`	`principal.resource.id` 或 `target.resource.id`	如果 `connection.direction_id` 不为 1，则原始日志的 `device_uid` 会映射到 `principal.resource.id`。如果 `connection.direction_id` 为 1，则会映射到 `target.resource.id`。
`feature_name`	`security_result.category_details`	原始日志的 `feature_name` 会直接映射到 UDM。
`file.path`	`principal.process.file.full_path`	原始日志的 `file.path` 会直接映射到 UDM。如果存在 `actor.file.path`，则它优先。
`file.sha2`	`principal.process.file.sha256`	原始日志的 `file.sha2` 会转换为小写，并直接映射到 UDM。如果存在 `actor.file.sha2`，则它优先。
`log_time`	`metadata.event_timestamp`	系统会使用各种日期格式解析原始日志的 `log_time`，并将其用作事件时间戳。
`message`	`security_result.summary`、`network.ip_protocol` 或 `metadata.description`	系统会处理原始日志的 `message` 字段。如果它包含“UDP”，则 `network.ip_protocol` 会设置为“UDP”。如果它包含“IP”，`network.ip_protocol` 会设置为“IP6IN4”。如果它包含“ICMP”，则 `network.ip_protocol` 会设置为“ICMP”。否则，它会映射到 `security_result.summary`。如果存在 `description` 字段，则 `message` 字段会映射到 `metadata.description`。
`parent.cmd_line`	`principal.process.parent_process.command_line`	原始日志的 `parent.cmd_line` 会直接映射到 UDM。
`parent.pid`	`principal.process.parent_process.pid`	原始日志的 `parent.pid` 会转换为字符串，并直接映射到 UDM。
`policy.name`	`security_result.rule_name`	原始日志的 `policy.name` 会直接映射到 UDM。
`policy.rule_name`	`security_result.description`	原始日志的 `policy.rule_name` 会直接映射到 UDM。
`policy.rule_uid`	`security_result.rule_id`	原始日志的 `policy.rule_uid` 会直接映射到 UDM。如果存在 `policy.uid`，则它优先。
`policy.uid`	`security_result.rule_id`	原始日志的 `policy.uid` 会直接映射到 UDM。
`product_name`	`metadata.product_name`	原始日志的 `product_name` 会直接映射到 UDM。
`product_uid`	`metadata.product_log_id`	原始日志的 `product_uid` 会直接映射到 UDM。
`product_ver`	`metadata.product_version`	原始日志的 `product_ver` 会直接映射到 UDM。
`severity_id`	`security_result.severity`	如果 `severity_id` 为 1、2 或 3，则 `security_result.severity` 会设置为 `INFORMATIONAL`。如果为 4，则设置为 `ERROR`。如果为 5，则设置为 `CRITICAL`。
`threat.id`	`security_result.threat_id`	原始日志的 `threat.id` 会转换为字符串，并直接映射到 UDM。
`threat.name`	`security_result.threat_name`	原始日志的 `threat.name` 会直接映射到 UDM。
`type_id`	`metadata.event_type`，`metadata.product_event_type`	与其他字段结合使用，以确定适当的 `metadata.event_type` 和 `metadata.product_event_type`。
`user_email`	`principal.user.email_addresses`	原始日志的 `user_email` 会合并到 UDM 中。
`user_name`	`principal.user.user_display_name`	原始日志的 `user_name` 会直接映射到 UDM。
`uuid`	`target.process.pid`	系统会解析原始日志的 `uuid` 以提取进程 ID，该 ID 会映射到 `target.process.pid`。
不适用	`metadata.vendor_name`	设置为“SYMANTEC”。
不适用	`metadata.log_type`	设置为“SYMANTEC_EVENT_EXPORT”。
不适用	`principal.resource.resource_type`	如果 `connection.direction_id` 不为 1 或为空，则设置为“DEVICE”。
不适用	`target.resource.resource_type`	当 `connection.direction_id` 为 1 时，设置为“DEVICE”。

变化

2023 年 11 月 7 日

添加了对 SYSLOG 格式日志的支持。
在映射到 UDM 之前，向“parent.cmd_line”“parent.pid”“actor.pid”“actor.cmd_line”“device_name”“device_group”“device_os_name”“device_group”“device_domain”“device_uid”添加了“不为 null”检查。
将“device_name”映射到“principal.hostname”。
将“user_name”映射到“principal.user.user_display_name”。
将“actor.user.name”映射到“principal.user.user_display_name”。
将“actor.user.domain”映射到“principal.administrative_domain”。
将“actor.user.sid”映射到“principal.user.windows_sid”。
将“actor.file.size”映射到“principal.process.file.size”。
将“device_public_ip”映射到“principal.ip”。
将“device_networks.ipv6”映射到“intermediary.ip”。
将“user_email”映射到“principal.user.email_addresses”。

2022-08-19

改进 - 降低了通用事件百分比。
将“type_id”映射到 event.idm.read_only_udm.metadata.event_type
已解析的 type_id = 21 的日志