Diese Seite wurde von der Cloud Translation API übersetzt.

Symantec Web Isolation-Protokolle erfassen

Unterstützt in:

Google secops Siem

In diesem Dokument wird beschrieben, wie Sie Symantec Web Isolation-Logs mithilfe von Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet zwei Hauptnachrichtentypen von Symantec Web Isolation: Daten-Trace-Nachrichten und Gerätenachrichten. Es werden Felder aus JSON-formatierten Protokollen extrahiert, Datentransformationen wie Datums-Parsing und User-Agent-Konvertierung durchgeführt und die extrahierten Daten dem Unified Data Model (UDM) zugeordnet, das verschiedene Protokollstrukturen basierend auf den Feldern traceId und event_type verarbeitet.

Hinweise

Folgende Voraussetzungen müssen erfüllt sein:

Google SecOps-Instanz
Windows 2016 oder höher oder Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Berechtigter Zugriff auf die Symantec Web Isolation-Plattform

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Unter Linux befindet es sich normalerweise im Verzeichnis /etc/bindplane-agent/, unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in der Symantec Web Isolation-Plattform konfigurieren

Melden Sie sich in der Web-UI von Symantec Web Isolation an.
Gehen Sie zu Systemkonfiguration > Externer Protokollserver > Neuer externer Protokollserver > Syslog-Server.
Geben Sie die folgenden Konfigurationsdetails an:
- Status: Klicken Sie das Kästchen Aktivieren an.
- Host: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein (z. B. 514 für UDP).
- Protokoll: Wählen Sie UDP aus.
- Appname: Geben Sie ein Tag ein, um die Web Isolation-Plattform anzugeben.
- Facility: Syslog-Facility-Name, der mit Web Isolation-Logs verknüpft ist.
Klicken Sie auf Erstellen.
Klicken Sie auf Berichte > Protokollweiterleitung.
Klicken Sie auf Bearbeiten.
Geben Sie die folgenden Konfigurationsdetails an:
- Aktivitätsprotokolle: Wählen Sie den neu hinzugefügten Bindplane-Server aus.
- Audit-Logs für die Verwaltung: Wählen Sie den neu hinzugefügten Bindplane-Server aus.
- Gateway-Audit-Protokolle: Wählen Sie den neu hinzugefügten Bindplane-Server aus.
Klicken Sie auf Aktualisieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.summary`	Wird mit `action_reason` verknüpft, um die Zusammenfassung zu bilden.
`action_reason`	`security_result.summary`	Wird mit `action` verknüpft, um die Zusammenfassung zu bilden.
`content_action`	`security_result.action_details`	Direkte Zuordnung.
`createdAt`	`metadata.event_timestamp`	Im UNIX_MS-Format in einen Zeitstempel konvertiert.
`creationDate`	`metadata.event_timestamp`	Im UNIX_MS-Format in einen Zeitstempel konvertiert.
`data.level`	`security_result.severity`	Wird basierend auf dem Wert den Kategorien „INFORMATIONSWEISEND“, „NIEDRIG“ oder „HOCH“ zugeordnet.
`data.properties.environment.str`	`intermediary.location.name`	Direkte Zuordnung.
`data.properties.hostname.str`	`intermediary.hostname`	Direkte Zuordnung.
`destination_ip`	`target.ip`	Direkte Zuordnung.
`destination_ip_country_name`	`target.location.country_or_region`	Direkte Zuordnung.
`device.current_risk_warnings`	`security_result.category_details`	Direkte Zuordnung.
`device.identifier`	`target.asset.product_object_id`	Direkte Zuordnung.
`device.model`	`hardware.model`	Direkte Zuordnung.
`device.os_version`	`target.asset.platform_software.platform_version`	Direkte Zuordnung.
`device.serial_number`	`hardware.serial_number`	Direkte Zuordnung.
`device.udid`	`target.asset.asset_id`	Muss vor der Zuordnung mit „UDID:“ beginnen.
`device.user.email`	`target.user.email_addresses`	Direkte Zuordnung.
`device.user.id`	`target.user.userid`	Direkte Zuordnung.
`device.user.name`	`target.user.user_display_name`	Direkte Zuordnung.
`device.user.organization.id`	`target.user.groupid`	Direkte Zuordnung.
`device.user.organization.name`	`target.user.group_identifiers`	Direkte Zuordnung.
`event`	`metadata.product_event_type`	Direkte Zuordnung.
`event_type`	`metadata.event_type`	Legen Sie anhand der Protokolldaten „GENERIC_EVENT“ oder „NETWORK_HTTP“ fest.
`file_name`	`target.file.names`	Direkte Zuordnung.
`file_type`	`about.labels`, `about.resource.attribute.labels`	Als Label mit dem Schlüssel „file_type“ hinzugefügt.
`id`	`metadata.product_log_id`	Direkte Zuordnung.
`isolation_session_id`	`network.parent_session_id`	Direkte Zuordnung.
`level`	`security_result.severity`	Wird basierend auf dem Wert den Kategorien „INFORMATIONSWEISEND“, „NIEDRIG“ oder „HOCH“ zugeordnet.
`original_source_ip`	`principal.ip`	Direkte Zuordnung.
`policy_version`	`security_result.rule_version`	Direkte Zuordnung.
`properties.environment`	`intermediary.location.name`	Direkte Zuordnung.
`properties.hostname`	`intermediary.hostname`	Direkte Zuordnung.
`referer_url`	`network.http.referral_url`	Direkte Zuordnung.
`request_method`	`network.http.method`	Direkte Zuordnung.
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	Direkte Zuordnung.
`response_status_code`	`network.http.response_code`	Direkte Zuordnung.
`rule_id`	`security_result.rule_id`	Direkte Zuordnung.
`rule_name_at_log_time`	`security_result.rule_name`	Direkte Zuordnung.
`rule_type`	`security_result.rule_type`	Direkte Zuordnung.
`service`	`principal.application`	Direkte Zuordnung.
`session_id`	`network.session_id`	Direkte Zuordnung.
`severity`	`security_result.severity`	Wird basierend auf dem Wert den Stufen „LOW“, „MEDIUM“ oder „HIGH“ zugeordnet.
`source_ip`	`principal.ip`	Direkte Zuordnung.
`source_ip_country_name`	`principal.location.country_or_region`	Direkte Zuordnung.
`source_port`	`principal.port`	Direkte Zuordnung.
`sub_type`	`security_result.summary`	Direkte Zuordnung.
`target.asset.type`	`target.asset.type`	Legen Sie „MOBILE“ fest, wenn `device.model` „ipad“ oder „iphone“ enthält.
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	Legen Sie „MAC“ fest, wenn `device.model` „ipad“ oder „iphone“ enthält.
`timestamp`	`metadata.event_timestamp`	Wird im Format `yyyy-MM-dd HH:mm:ss.SSS Z` geparst.
`total_bytes`	`network.received_bytes`	Direkte Zuordnung, wenn der Wert größer als 0 ist.
`traceId`	`metadata.product_log_id`	Direkte Zuordnung.
`type`	`metadata.product_event_type`	Direkte Zuordnung.
`url`	`target.url`	Direkte Zuordnung.
`url_host`	`principal.hostname`	Direkte Zuordnung.
`user_download_usage_bytes`	`network.received_bytes`	Direkte Zuordnung.
`user_total_usage_bytes`	`about.labels`, `about.resource.attribute.labels`	Als Label mit dem Schlüssel „user_total_usage_bytes“ hinzugefügt.
`user_upload_usage_bytes`	`network.sent_bytes`	Direkte Zuordnung.
`username`	`principal.user.user_display_name`	Direkte Zuordnung.
`vendor_name`	`metadata.vendor_name`	Legen Sie „Broadcom Inc.“ fest.
`product_name`	`metadata.product_name`	Legen Sie „Symantec Web Isolation“ fest.
`log_type`	`metadata.log_type`	Legen Sie diesen Wert auf „SYMANTEC_WEB_ISOLATION“ fest.
`sandbox`	`about.labels`, `about.resource.attribute.labels`	Als Label mit dem Schlüssel „Sandbox“ und dem aus der URL extrahierten Wert hinzugefügt.
`utub`	`about.labels`, `about.resource.attribute.labels`	Als Label mit dem Schlüssel „user_total_usage_bytes“ hinzugefügt.
`userid`	`target.user.userid`	Aus der URL extrahiert.

Änderungen

2022-07-08

Optimierung:

Die Zuordnung für device.user.organization.id wurde von target.user.groupid zu target.user.group_identifiers geändert.
Die Zuordnung für device.user.organization.name wurde von target.user.group_identifiers zu target.user.department geändert.

2022-06-20

Optimierung:

Der Name des UDM-Felds wurde von metada.product_name in metadata.product_name geändert.
Bedingte Prüfungen für die Felder original_source_ip, url_host und destination_ip wurden hinzugefügt.
Die Protokolle mit ungültigem JSON-Format wurden verworfen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten