Esta página se ha traducido con Cloud Translation API.

Recopilar registros de Symantec Web Isolation

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de Symantec Web Isolation en Google Security Operations mediante Bindplane. El analizador gestiona dos tipos principales de mensajes de Symantec Web Isolation: mensajes de seguimiento de datos y mensajes de dispositivos. Extrae campos de registros con formato JSON, realiza transformaciones de datos, como el análisis de fechas y la conversión de user-agents, y asigna los datos extraídos al modelo de datos unificado (UDM), que gestiona diferentes estructuras de registro en función de los campos traceId y event_type.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o una versión posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a la plataforma Symantec Web Isolation

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog en la plataforma de aislamiento web de Symantec

Inicia sesión en la interfaz web de Symantec Web Isolation.
Ve a Configuración del sistema > Servidor de registro externo > Nuevo servidor de registro externo > Servidor Syslog.
Proporcione los siguientes detalles de configuración:
- Estado: marca la casilla para Habilitar.
- Host: introduce la dirección IP del agente de Bindplane.
- Puerto: introduce el número de puerto del agente Bindplane (por ejemplo, 514 para UDP).
- Protocolo: selecciona UDP.
- Nombre de la aplicación: introduzca una etiqueta para identificar la plataforma de aislamiento web.
- Instalación: nombre de la instalación de Syslog relacionada con los registros de aislamiento web.
Haz clic en Crear.
Vaya a Informes > Reenvío de registros.
Haz clic en Editar.
Proporcione los siguientes detalles de configuración:
- Registros de actividad: selecciona el servidor de Bindplane que acabas de añadir.
- Registros de auditoría de gestión: selecciona el servidor de Bindplane que acabas de añadir.
- Registros de auditoría de la puerta de enlace: selecciona el servidor de Bindplane que acabas de añadir.
Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.summary`	Se concatena con `action_reason` para formar el resumen.
`action_reason`	`security_result.summary`	Se concatena con `action` para formar el resumen.
`content_action`	`security_result.action_details`	Asignación directa.
`createdAt`	`metadata.event_timestamp`	Convertido a marca de tiempo con el formato UNIX_MS.
`creationDate`	`metadata.event_timestamp`	Convertido a marca de tiempo con el formato UNIX_MS.
`data.level`	`security_result.severity`	Se asigna a INFORMATIONAL, LOW o HIGH en función del valor.
`data.properties.environment.str`	`intermediary.location.name`	Asignación directa.
`data.properties.hostname.str`	`intermediary.hostname`	Asignación directa.
`destination_ip`	`target.ip`	Asignación directa.
`destination_ip_country_name`	`target.location.country_or_region`	Asignación directa.
`device.current_risk_warnings`	`security_result.category_details`	Asignación directa.
`device.identifier`	`target.asset.product_object_id`	Asignación directa.
`device.model`	`hardware.model`	Asignación directa.
`device.os_version`	`target.asset.platform_software.platform_version`	Asignación directa.
`device.serial_number`	`hardware.serial_number`	Asignación directa.
`device.udid`	`target.asset.asset_id`	Tiene el prefijo "UDID:" antes de la asignación.
`device.user.email`	`target.user.email_addresses`	Asignación directa.
`device.user.id`	`target.user.userid`	Asignación directa.
`device.user.name`	`target.user.user_display_name`	Asignación directa.
`device.user.organization.id`	`target.user.groupid`	Asignación directa.
`device.user.organization.name`	`target.user.group_identifiers`	Asignación directa.
`event`	`metadata.product_event_type`	Asignación directa.
`event_type`	`metadata.event_type`	Se asigna el valor "GENERIC_EVENT" o "NETWORK_HTTP" en función de los datos de registro.
`file_name`	`target.file.names`	Asignación directa.
`file_type`	`about.labels`, `about.resource.attribute.labels`	Se ha añadido como etiqueta con la clave "file_type".
`id`	`metadata.product_log_id`	Asignación directa.
`isolation_session_id`	`network.parent_session_id`	Asignación directa.
`level`	`security_result.severity`	Se asigna a INFORMATIONAL, LOW o HIGH en función del valor.
`original_source_ip`	`principal.ip`	Asignación directa.
`policy_version`	`security_result.rule_version`	Asignación directa.
`properties.environment`	`intermediary.location.name`	Asignación directa.
`properties.hostname`	`intermediary.hostname`	Asignación directa.
`referer_url`	`network.http.referral_url`	Asignación directa.
`request_method`	`network.http.method`	Asignación directa.
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	Asignación directa.
`response_status_code`	`network.http.response_code`	Asignación directa.
`rule_id`	`security_result.rule_id`	Asignación directa.
`rule_name_at_log_time`	`security_result.rule_name`	Asignación directa.
`rule_type`	`security_result.rule_type`	Asignación directa.
`service`	`principal.application`	Asignación directa.
`session_id`	`network.session_id`	Asignación directa.
`severity`	`security_result.severity`	Se asigna a los valores BAJO, MEDIO o ALTO en función del valor.
`source_ip`	`principal.ip`	Asignación directa.
`source_ip_country_name`	`principal.location.country_or_region`	Asignación directa.
`source_port`	`principal.port`	Asignación directa.
`sub_type`	`security_result.summary`	Asignación directa.
`target.asset.type`	`target.asset.type`	Se asigna el valor "MOBILE" si `device.model` contiene "ipad" o "iphone".
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	Se asigna el valor "MAC" si `device.model` contiene "ipad" o "iphone".
`timestamp`	`metadata.event_timestamp`	Analizado con el formato `yyyy-MM-dd HH:mm:ss.SSS Z`.
`total_bytes`	`network.received_bytes`	Asignación directa si es mayor que 0.
`traceId`	`metadata.product_log_id`	Asignación directa.
`type`	`metadata.product_event_type`	Asignación directa.
`url`	`target.url`	Asignación directa.
`url_host`	`principal.hostname`	Asignación directa.
`user_download_usage_bytes`	`network.received_bytes`	Asignación directa.
`user_total_usage_bytes`	`about.labels`, `about.resource.attribute.labels`	Se ha añadido como etiqueta con la clave "user_total_usage_bytes".
`user_upload_usage_bytes`	`network.sent_bytes`	Asignación directa.
`username`	`principal.user.user_display_name`	Asignación directa.
`vendor_name`	`metadata.vendor_name`	Se ha asignado el valor "Broadcom Inc.".
`product_name`	`metadata.product_name`	Selecciona "Symantec Web Isolation".
`log_type`	`metadata.log_type`	Se ha definido como "SYMANTEC_WEB_ISOLATION".
`sandbox`	`about.labels`, `about.resource.attribute.labels`	Se añade como una etiqueta con la clave "Sandbox" y el valor extraído de la URL.
`utub`	`about.labels`, `about.resource.attribute.labels`	Se ha añadido como etiqueta con la clave "user_total_usage_bytes".
`userid`	`target.user.userid`	Extraído de la URL.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.