Symantec Web Isolation 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Symantec Web Isolation 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 Symantec Web Isolation의 두 가지 기본 메시지 유형인 데이터 추적 메시지와 기기 메시지를 처리합니다. JSON 형식 로그에서 필드를 추출하고, 날짜 파싱 및 사용자 에이전트 변환과 같은 데이터 변환을 실행하며, traceIdevent_type 필드에 따라 다양한 로그 구조를 처리하는 통합 데이터 모델 (UDM)에 추출된 데이터를 매핑합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
  • Symantec Web Isolation 플랫폼에 대한 권한이 있는 액세스

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

        receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Symantec Web Isolation 플랫폼에서 Syslog 구성

  1. Symantec Web Isolation 웹 UI에 로그인합니다.
  2. 시스템 구성 > 외부 로그 서버 > 새 외부 로그 서버 > Syslog 서버로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 상태: 체크박스를 선택하여 사용 설정합니다.
    • 호스트: Bindplane 에이전트 IP 주소를 입력합니다.
    • 포트: Bindplane 에이전트 포트 번호를 입력합니다 (예: UDP의 경우 514).
    • 프로토콜: UDP를 선택합니다.
    • Appname: 웹 격리 플랫폼을 식별할 태그를 입력합니다.
    • 시설: 웹 격리 로그와 관련된 Syslog 시설 이름입니다.
  4. 만들기를 클릭합니다.
  5. 보고서 > 로그 전달로 이동합니다.
  6. 수정을 클릭합니다.
  7. 다음 구성 세부정보를 제공합니다.
    • 활동 로그: 새로 추가된 Bindplane 서버를 선택합니다.
    • 관리 감사 로그: 새로 추가된 Bindplane 서버를 선택합니다.
    • 게이트웨이 감사 로그: 새로 추가된 Bindplane 서버를 선택합니다.
  8. 업데이트를 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
action security_result.summary action_reason와 연결되어 요약을 구성합니다.
action_reason security_result.summary action와 연결되어 요약을 구성합니다.
content_action security_result.action_details 직접 매핑
createdAt metadata.event_timestamp UNIX_MS 형식을 사용하여 타임스탬프로 변환되었습니다.
creationDate metadata.event_timestamp UNIX_MS 형식을 사용하여 타임스탬프로 변환되었습니다.
data.level security_result.severity 값에 따라 INFORMATIONAL, LOW 또는 HIGH에 매핑됩니다.
data.properties.environment.str intermediary.location.name 직접 매핑
data.properties.hostname.str intermediary.hostname 직접 매핑
destination_ip target.ip 직접 매핑
destination_ip_country_name target.location.country_or_region 직접 매핑
device.current_risk_warnings security_result.category_details 직접 매핑
device.identifier target.asset.product_object_id 직접 매핑
device.model hardware.model 직접 매핑
device.os_version target.asset.platform_software.platform_version 직접 매핑
device.serial_number hardware.serial_number 직접 매핑
device.udid target.asset.asset_id 매핑 전에 'UDID:'가 접두사로 붙습니다.
device.user.email target.user.email_addresses 직접 매핑
device.user.id target.user.userid 직접 매핑
device.user.name target.user.user_display_name 직접 매핑
device.user.organization.id target.user.groupid 직접 매핑
device.user.organization.name target.user.group_identifiers 직접 매핑
event metadata.product_event_type 직접 매핑
event_type metadata.event_type 로그 데이터를 기반으로 'GENERIC_EVENT' 또는 'NETWORK_HTTP'로 설정됩니다.
file_name target.file.names 직접 매핑
file_type about.labels, about.resource.attribute.labels 'file_type' 키가 있는 라벨로 추가되었습니다.
id metadata.product_log_id 직접 매핑
isolation_session_id network.parent_session_id 직접 매핑
level security_result.severity 값에 따라 INFORMATIONAL, LOW 또는 HIGH에 매핑됩니다.
original_source_ip principal.ip 직접 매핑
policy_version security_result.rule_version 직접 매핑
properties.environment intermediary.location.name 직접 매핑
properties.hostname intermediary.hostname 직접 매핑
referer_url network.http.referral_url 직접 매핑
request_method network.http.method 직접 매핑
resource_response_headers.x-nauthilus-traceid network.community_id 직접 매핑
response_status_code network.http.response_code 직접 매핑
rule_id security_result.rule_id 직접 매핑
rule_name_at_log_time security_result.rule_name 직접 매핑
rule_type security_result.rule_type 직접 매핑
service principal.application 직접 매핑
session_id network.session_id 직접 매핑
severity security_result.severity 값에 따라 LOW, MEDIUM 또는 HIGH에 매핑됩니다.
source_ip principal.ip 직접 매핑
source_ip_country_name principal.location.country_or_region 직접 매핑
source_port principal.port 직접 매핑
sub_type security_result.summary 직접 매핑
target.asset.type target.asset.type device.model에 'ipad' 또는 'iphone'이 포함된 경우 'MOBILE'로 설정합니다.
target.asset.platform_software.platform target.asset.platform_software.platform device.model에 'ipad' 또는 'iphone'이 포함된 경우 'MAC'으로 설정합니다.
timestamp metadata.event_timestamp yyyy-MM-dd HH:mm:ss.SSS Z 형식을 사용하여 파싱됩니다.
total_bytes network.received_bytes 0보다 큰 경우 직접 매핑
traceId metadata.product_log_id 직접 매핑
type metadata.product_event_type 직접 매핑
url target.url 직접 매핑
url_host principal.hostname 직접 매핑
user_download_usage_bytes network.received_bytes 직접 매핑
user_total_usage_bytes about.labels, about.resource.attribute.labels 'user_total_usage_bytes' 키가 있는 라벨로 추가됩니다.
user_upload_usage_bytes network.sent_bytes 직접 매핑
username principal.user.user_display_name 직접 매핑
vendor_name metadata.vendor_name 'Broadcom Inc.'로 설정됩니다.
product_name metadata.product_name 'Symantec Web Isolation'으로 설정합니다.
log_type metadata.log_type 'SYMANTEC_WEB_ISOLATION'으로 설정합니다.
sandbox about.labels, about.resource.attribute.labels 키가 'Sandbox'이고 URL에서 추출한 값이 있는 라벨로 추가됩니다.
utub about.labels, about.resource.attribute.labels 'user_total_usage_bytes' 키가 있는 라벨로 추가됩니다.
userid target.user.userid URL에서 추출됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.