Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de aislamiento web de Symantec

Compatible con:

Google secops Siem

En este documento, se explica cómo transferir registros de aislamiento web de Symantec a Google Security Operations con Bindplane. El analizador controla dos tipos de mensajes principales de Symantec Web Isolation: mensajes de seguimiento de datos y mensajes de dispositivos. Extrae campos de registros con formato JSON, realiza transformaciones de datos, como el análisis de fechas y la conversión de usuario-agente, y asigna los datos extraídos al modelo de datos unificado (UDM) que controla diferentes estructuras de registro según los campos traceId y event_type.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o versiones posteriores, o host de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
Acceso con privilegios a la plataforma de aislamiento web de Symantec

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'SYMANTEC_WEB_ISOLATION'
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cómo configurar Syslog en la plataforma de aislamiento web de Symantec

Accede a la IU web de Symantec Web Isolation.
Ve a Configuración del sistema > Servidor de registro externo > Nuevo servidor de registro externo > Servidor Syslog.
Proporciona los siguientes detalles de configuración:
- Estado: Selecciona la casilla de verificación para Habilitar.
- Host: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (por ejemplo, 514 para UDP).
- Protocolo: Selecciona UDP.
- Appname: Ingresa una etiqueta para identificar la plataforma de aislamiento web.
- Facility: Es el nombre de la facilidad de Syslog relacionado con los registros de aislamiento web.
Haz clic en Crear.
Ve a Informes > Reenvío de registros.
Haz clic en Editar.
Proporciona los siguientes detalles de configuración:
- Registros de actividad: Selecciona el servidor de Bindplane que acabas de agregar.
- Registros de auditoría de administración: Selecciona el servidor de Bindplane que se agregó recientemente.
- Registros de auditoría de la puerta de enlace: Selecciona el servidor de Bindplane que acabas de agregar.
Haz clic en Actualizar.

Tabla de asignación de la UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.summary`	Se concatena con `action_reason` para formar el resumen.
`action_reason`	`security_result.summary`	Se concatena con `action` para formar el resumen.
`content_action`	`security_result.action_details`	Asignación directa
`createdAt`	`metadata.event_timestamp`	Se convirtió en una marca de tiempo con el formato UNIX_MS.
`creationDate`	`metadata.event_timestamp`	Se convirtió en una marca de tiempo con el formato UNIX_MS.
`data.level`	`security_result.severity`	Se asigna a INFORMACIÓN, BAJO o ALTO según el valor.
`data.properties.environment.str`	`intermediary.location.name`	Asignación directa
`data.properties.hostname.str`	`intermediary.hostname`	Asignación directa
`destination_ip`	`target.ip`	Asignación directa
`destination_ip_country_name`	`target.location.country_or_region`	Asignación directa
`device.current_risk_warnings`	`security_result.category_details`	Asignación directa
`device.identifier`	`target.asset.product_object_id`	Asignación directa
`device.model`	`hardware.model`	Asignación directa
`device.os_version`	`target.asset.platform_software.platform_version`	Asignación directa
`device.serial_number`	`hardware.serial_number`	Asignación directa
`device.udid`	`target.asset.asset_id`	Lleva el prefijo "UDID:" antes de la asignación.
`device.user.email`	`target.user.email_addresses`	Asignación directa
`device.user.id`	`target.user.userid`	Asignación directa
`device.user.name`	`target.user.user_display_name`	Asignación directa
`device.user.organization.id`	`target.user.groupid`	Asignación directa
`device.user.organization.name`	`target.user.group_identifiers`	Asignación directa
`event`	`metadata.product_event_type`	Asignación directa
`event_type`	`metadata.event_type`	Se establece en "GENERIC_EVENT" o "NETWORK_HTTP" según los datos de registro.
`file_name`	`target.file.names`	Asignación directa
`file_type`	`about.labels`, `about.resource.attribute.labels`	Se agregó como etiqueta con la clave "file_type".
`id`	`metadata.product_log_id`	Asignación directa
`isolation_session_id`	`network.parent_session_id`	Asignación directa
`level`	`security_result.severity`	Se asigna a INFORMACIÓN, BAJO o ALTO según el valor.
`original_source_ip`	`principal.ip`	Asignación directa
`policy_version`	`security_result.rule_version`	Asignación directa
`properties.environment`	`intermediary.location.name`	Asignación directa
`properties.hostname`	`intermediary.hostname`	Asignación directa
`referer_url`	`network.http.referral_url`	Asignación directa
`request_method`	`network.http.method`	Asignación directa
`resource_response_headers.x-nauthilus-traceid`	`network.community_id`	Asignación directa
`response_status_code`	`network.http.response_code`	Asignación directa
`rule_id`	`security_result.rule_id`	Asignación directa
`rule_name_at_log_time`	`security_result.rule_name`	Asignación directa
`rule_type`	`security_result.rule_type`	Asignación directa
`service`	`principal.application`	Asignación directa
`session_id`	`network.session_id`	Asignación directa
`severity`	`security_result.severity`	Se asigna a LOW, MEDIUM o HIGH según el valor.
`source_ip`	`principal.ip`	Asignación directa
`source_ip_country_name`	`principal.location.country_or_region`	Asignación directa
`source_port`	`principal.port`	Asignación directa
`sub_type`	`security_result.summary`	Asignación directa
`target.asset.type`	`target.asset.type`	Se establece en "MOBILE" si `device.model` contiene "ipad" o "iphone".
`target.asset.platform_software.platform`	`target.asset.platform_software.platform`	Se establece en "MAC" si `device.model` contiene "ipad" o "iphone".
`timestamp`	`metadata.event_timestamp`	Se analiza con el formato `yyyy-MM-dd HH:mm:ss.SSS Z`.
`total_bytes`	`network.received_bytes`	Asignación directa si es mayor que 0.
`traceId`	`metadata.product_log_id`	Asignación directa
`type`	`metadata.product_event_type`	Asignación directa
`url`	`target.url`	Asignación directa
`url_host`	`principal.hostname`	Asignación directa
`user_download_usage_bytes`	`network.received_bytes`	Asignación directa
`user_total_usage_bytes`	`about.labels`, `about.resource.attribute.labels`	Se agregó como una etiqueta con la clave "user_total_usage_bytes".
`user_upload_usage_bytes`	`network.sent_bytes`	Asignación directa
`username`	`principal.user.user_display_name`	Asignación directa
`vendor_name`	`metadata.vendor_name`	Se establece en "Broadcom Inc.".
`product_name`	`metadata.product_name`	Establece la opción en “Symantec Web Isolation”.
`log_type`	`metadata.log_type`	Se establece en "SYMANTEC_WEB_ISOLATION".
`sandbox`	`about.labels`, `about.resource.attribute.labels`	Se agregó como una etiqueta con la clave "Sandbox" y el valor extraído de la URL.
`utub`	`about.labels`, `about.resource.attribute.labels`	Se agregó como una etiqueta con la clave "user_total_usage_bytes".
`userid`	`target.user.userid`	Se extrae de la URL.

Cambios

2022-07-08

Mejora:

Se modificó la asignación de device.user.organization.id de target.user.groupid a target.user.group_identifiers.
Se modificó la asignación de device.user.organization.name de target.user.group_identifiers a target.user.department.

2022-06-20

Mejora:

Se cambió el nombre del campo de la UDM de metada.product_name a metadata.product_name.
Se agregaron verificaciones condicionales para los campos original_source_ip, url_host y destination_ip.
Se descartaron los registros que tenían un formato JSON no válido.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.