Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Symantec Web Isolation

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Symantec Web Isolation para o Google Security Operations através do Bindplane. O analisador processa dois tipos de mensagens principais do Symantec Web Isolation: mensagens de rastreio de dados e mensagens de dispositivos. Extrai campos de registos formatados em JSON, realiza transformações de dados, como a análise de datas e a conversão de agentes do utilizador, e mapeia os dados extraídos para o modelo de dados unificado (UDM) que processa diferentes estruturas de registos com base nos campos traceId e event_type.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado à plataforma Symantec Web Isolation

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog na plataforma Symantec Web Isolation

Inicie sessão na IU Web do Symantec Web Isolation.
Aceda a Configuração do sistema > Servidor de registo externo > Novo servidor de registo externo > Servidor Syslog.
Indique os seguintes detalhes de configuração:
- Estado: selecione a caixa de verificação para ativar.
- Anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP.
- Appname: introduza uma etiqueta para identificar a plataforma de isolamento Web.
- Facility: nome da funcionalidade Syslog relacionado com os registos de isolamento da Web.
Clique em Criar.
Aceda a Relatórios > Encaminhamento de registos.
Clique em Edit.
Indique os seguintes detalhes de configuração:
- Registos de atividade: selecione o servidor do Bindplane adicionado recentemente.
- Registos de auditoria de gestão: selecione o servidor do Bindplane adicionado recentemente.
- Registos de auditoria do gateway: selecione o servidor do Bindplane adicionado recentemente.
Clique em Atualizar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`action`	`security_result.summary`	Concatenado com `action_reason` para formar o resumo.
`action_reason`	`security_result.summary`	Concatenado com `action` para formar o resumo.
`content_action`	`security_result.action_details`	Mapeamento direto.
`createdAt`	`metadata.event_timestamp`	Convertido em data/hora com o formato UNIX_MS.
`creationDate`	`metadata.event_timestamp`	Convertido em data/hora com o formato UNIX_MS.
`data.level`	`security_result.severity`	Mapeada para INFORMATIONAL, LOW ou HIGH com base no valor.
`data.properties.environment.str`	`intermediary.location.name`	Mapeamento direto.
`data.properties.hostname.str`	`intermediary.hostname`	Mapeamento direto.
`destination_ip`	`target.ip`	Mapeamento direto.
`destination_ip_country_name`	`target.location.country_or_region`	Mapeamento direto.
`device.current_risk_warnings`	`security_result.category_details`	Mapeamento direto.
`device.identifier`	`target.asset.product_object_id`	Mapeamento direto.
`device.model`	`hardware.model`	Mapeamento direto.
`device.os_version`	`target.asset.platform_software.platform_version`	Mapeamento direto.
`device.serial_number`	`hardware.serial_number`	Mapeamento direto.
`device.udid`	`target.asset.asset_id`	Com o prefixo "UDID:" antes do mapeamento.
`device.user.email`	`target.user.email_addresses`	Mapeamento direto.
`device.user.id`	`target.user.userid`	Mapeamento direto.
`device.user.name`	`target.user.user_display_name`	Mapeamento direto.
`device.user.organization.id`	`target.user.groupid`	Mapeamento direto.
`device.user.organization.name`	`target.user.group_identifiers`	Mapeamento direto.
`event`	`metadata.product_event_type`	Mapeamento direto.
`event_type`	`metadata.event_type`	Definido como "GENERIC_EVENT" ou "NETWORK_HTTP" com base nos dados de registo.
`file_name`	`target.file.names`	Mapeamento direto.
`file_type`	`about.labels`, `about.resource.attribute.labels`	Adicionado como uma etiqueta com a chave "file_type".
`id`	`metadata.product_log_id`	Mapeamento direto.
`isolation_session_id`	`network.parent_session_id`	Mapeamento direto.
`level`	`security_result.severity`	Mapeada para INFORMATIONAL, LOW ou HIGH com base no valor.
`original_source_ip`	`principal.ip`	Mapeamento direto.
`policy_version`	`security_result.rule_version`	Mapeamento direto.
`properties.environment`	`intermediary.location.name`	Mapeamento direto.
`properties.hostname`	`intermediary.hostname`	Mapeamento direto.
`referer_url`	`network.http.referral_url`	Mapeamento direto.
`request_method`	`network.http.method`	Mapeamento direto.
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	Mapeamento direto.
`response_status_code`	`network.http.response_code`	Mapeamento direto.
`rule_id`	`security_result.rule_id`	Mapeamento direto.
`rule_name_at_log_time`	`security_result.rule_name`	Mapeamento direto.
`rule_type`	`security_result.rule_type`	Mapeamento direto.
`service`	`principal.application`	Mapeamento direto.
`session_id`	`network.session_id`	Mapeamento direto.
`severity`	`security_result.severity`	Mapeado como BAIXO, MÉDIO ou ALTO com base no valor.
`source_ip`	`principal.ip`	Mapeamento direto.
`source_ip_country_name`	`principal.location.country_or_region`	Mapeamento direto.
`source_port`	`principal.port`	Mapeamento direto.
`sub_type`	`security_result.summary`	Mapeamento direto.
`target.asset.type`	`target.asset.type`	Definido como "MOBILE" se `device.model` contiver "ipad" ou "iphone".
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	Definido como "MAC" se `device.model` contiver "ipad" ou "iphone".
`timestamp`	`metadata.event_timestamp`	Analisado com o formato `yyyy-MM-dd HH:mm:ss.SSS Z`.
`total_bytes`	`network.received_bytes`	Mapeamento direto se for superior a 0.
`traceId`	`metadata.product_log_id`	Mapeamento direto.
`type`	`metadata.product_event_type`	Mapeamento direto.
`url`	`target.url`	Mapeamento direto.
`url_host`	`principal.hostname`	Mapeamento direto.
`user_download_usage_bytes`	`network.received_bytes`	Mapeamento direto.
`user_total_usage_bytes`	`about.labels`, `about.resource.attribute.labels`	Adicionado como uma etiqueta com a chave "user_total_usage_bytes".
`user_upload_usage_bytes`	`network.sent_bytes`	Mapeamento direto.
`username`	`principal.user.user_display_name`	Mapeamento direto.
`vendor_name`	`metadata.vendor_name`	Definido como "Broadcom Inc.".
`product_name`	`metadata.product_name`	Definido como "Symantec Web Isolation".
`log_type`	`metadata.log_type`	Definido como "SYMANTEC_WEB_ISOLATION".
`sandbox`	`about.labels`, `about.resource.attribute.labels`	Adicionada como uma etiqueta com a chave "Sandbox" e o valor extraído do URL.
`utub`	`about.labels`, `about.resource.attribute.labels`	Adicionado como uma etiqueta com a chave "user_total_usage_bytes".
`userid`	`target.user.userid`	Extraído do URL.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.