Recopila registros de Symantec Endpoint Protection

Compatible con:

En este documento, se explica cómo transferir registros de Symantec Endpoint Protection a Google Security Operations con Bindplane. El analizador procesa registros en formato SYSLOG o KV. Primero, extrae marcas de tiempo de varios formatos dentro de los datos de registro. Luego, usa un archivo de configuración independiente (sep_pt2.include) para analizar y estructurar aún más los eventos de registro, lo que garantiza un procesamiento exitoso solo si la extracción de la marca de tiempo inicial se realiza correctamente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
  • Acceso con privilegios a la plataforma de Symantec Endpoint Protection

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Cómo configurar Syslog en Symantec Endpoint Protection

  1. Accede a la IU web de Symantec Endpoint Protection Manager.
  2. Haz clic en el ícono de Administrador.
  3. Busca la sección Ver servidores y haz clic en Servidores.
  4. Haz clic en Sitio local > Configurar registro externo.
  5. Selecciona la casilla de verificación Habilitar la transmisión de registros a un servidor Syslog.
  6. Proporciona los siguientes detalles de configuración:
    • Servidor de Syslog: Ingresa la dirección IP de Bindplane.
    • Puerto de destino UDP: Ingresa el número de puerto de Bindplane (por ejemplo, 514 para UDP).
    • Log Facility: Ingresa Local6.
    • Selecciona la casilla de verificación Registros de auditoría.
    • Selecciona la casilla de verificación Registros de seguridad.
    • Selecciona la casilla de verificación Riesgos.
  7. Haz clic en OK.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
Acción security_result.action El valor se toma del campo Action en el registro sin procesar y se asigna a una acción de la AUA.
Tipo de acción security_result.action_details El valor se toma del campo Action Type en el registro sin procesar.
Administrador
Motivo por el que se permitió la aplicación security_result.action_details El valor se toma del campo Allowed application reason en el registro sin procesar.
Aplicación principal.process.command_line El valor se toma del campo Application en el registro sin procesar.
Hash de la aplicación target.file.sha256 El valor se toma del campo Application hash en el registro sin procesar.
Nombre de la aplicación target.application El valor se toma del campo Application name en el registro sin procesar.
Tipo de aplicación target.resource.attribute.labels.value El valor se toma del campo Application type en el registro sin procesar. La clave está codificada en Application Type.
Versión de la aplicación target.application.version El valor se toma del campo Application version en el registro sin procesar.
Comenzar
Hora de inicio extensions.vulns.vulnerabilities.scan_start_time El valor se toma del campo Begin Time en el registro sin procesar.
Inicio: extensions.vulns.vulnerabilities.scan_start_time El valor se toma del campo Begin: en el registro sin procesar.
Categoría principal.resource.attribute.labels.value El valor se toma del campo Category en el registro sin procesar. La clave está codificada en Category.
Conjunto de categorías security_result.category El valor se toma del campo Category set en el registro sin procesar y se asigna a una categoría de la AUA.
Tipo de categoría security_result.category_details El valor se toma del campo Category type en el registro sin procesar.
ID de firma de CIDS
Cadena de firma de CIDS security_result.summary El valor se toma del campo CIDS Signature string en el registro sin procesar.
Sub-ID de firma de CIDS
Política de cliente
Comando
Computadora target.hostname El valor se toma del campo Computer en el registro sin procesar.
Nombre de la computadora principal.hostname El valor se toma del campo Computer name en el registro sin procesar.
Confianza security_result.confidence_details El valor se toma del campo Confidence en el registro sin procesar.
datos
Descripción security_result.action_details El valor se toma del campo Description en el registro sin procesar.
Descripción: security_result.action_details El valor se toma del campo Description: en el registro sin procesar.
Puntuación de detección
No hay envíos de detección
Tipo de detección security_result.summary El valor se toma del campo Detection type en el registro sin procesar.
ID de dispositivo target.asset.hostname El valor se toma del campo Device ID en el registro sin procesar.
Disposición security_result.action El valor se toma del campo Disposition en el registro sin procesar y se asigna a una acción de la AUA.
Dominio principal.administrative_domain El valor se toma del campo Domain en el registro sin procesar.
Nombre de dominio principal.administrative_domain El valor se toma del campo Domain Name en el registro sin procesar.
Nombre de dominio: principal.administrative_domain El valor se toma del campo Domain Name: en el registro sin procesar.
Descargado por principal.process.file.full_path El valor se toma del campo Downloaded by en el registro sin procesar.
Sitio de descarga
Duración (segundos) extensions.vulns.vulnerabilities.scan_end_time El valor se toma del campo Duration (seconds) en el registro sin procesar y se agrega a la hora de inicio del análisis.
Fin
Hora de finalización extensions.vulns.vulnerabilities.scan_end_time El valor se toma del campo End Time en el registro sin procesar.
Hora de finalización: extensions.vulns.vulnerabilities.scan_end_time El valor se toma del campo End Time: en el registro sin procesar.
Fin: extensions.vulns.vulnerabilities.scan_end_time El valor se toma del campo End: en el registro sin procesar.
Descripción del evento metadata.description El valor se toma del campo Event Description en el registro sin procesar.
Descripción del evento: metadata.description El valor se toma del campo Event Description: en el registro sin procesar.
Hora de inserción del evento
Hora del evento metadata.event_timestamp El valor se toma del campo Event time en el registro sin procesar.
Hora del evento: metadata.event_timestamp El valor se toma del campo Event time: en el registro sin procesar.
Tipo de evento metadata.product_event_type El valor se toma del campo Event Type en el registro sin procesar.
Tipo de evento: metadata.product_event_type El valor se toma del campo Event Type: en el registro sin procesar.
Ruta de acceso al archivo target.file.full_path El valor se toma del campo File path en el registro sin procesar.
Ruta de acceso al archivo: target.file.full_path El valor se toma del campo File path: en el registro sin procesar.
Tamaño del archivo (bytes) target.file.size El valor se toma del campo File size (bytes) en el registro sin procesar.
Visto por primera vez security_result.action_details El valor se toma del campo First Seen en el registro sin procesar.
Visto por primera vez: security_result.action_details El valor se toma del campo First Seen: en el registro sin procesar.
Grupo principal.group.group_display_name El valor se toma del campo Group en el registro sin procesar.
Nombre del grupo principal.group.group_display_name El valor se toma del campo Group Name en el registro sin procesar.
Nombre del grupo: principal.group.group_display_name El valor se toma del campo Group Name: en el registro sin procesar.
Tipo de hash target.resource.attribute.labels.value El valor se toma del campo Hash type en el registro sin procesar. La clave está codificada en Hash Type.
Nivel de protección intensivo
ID de intrusión
URL de la carga útil de intrusión
URL de intrusión
Dirección IP principal.ip El valor se toma del campo IP Address en el registro sin procesar.
Dirección IP: principal.ip El valor se toma del campo IP Address: en el registro sin procesar.
Fecha de la última actualización
Host local principal.ip El valor se toma del campo Local Host en el registro sin procesar.
IP del host local principal.ip El valor se toma del campo Local Host IP en el registro sin procesar.
MAC del host local principal.mac El valor se toma del campo Local Host MAC en el registro sin procesar.
Puerto local principal.port El valor se toma del campo Local Port en el registro sin procesar.
Ubicación
MD-5
Casos security_result.about.resource.attribute.labels.value El valor se toma del campo Occurrences en el registro sin procesar. La clave está codificada en Occurrences.
Motivo permitido para la aplicación security_result.action_details El valor se toma del campo Permitted application reason en el registro sin procesar.
Prevalencia security_result.description El valor se toma del campo Prevalence en el registro sin procesar.
Ruta remota target.file.full_path El valor se toma del campo Remote file path en el registro sin procesar.
IP del host remoto target.ip El valor se toma del campo Remote Host IP en el registro sin procesar.
Dirección MAC del host remoto target.mac El valor se toma del campo Remote Host MAC en el registro sin procesar.
Nombre de host remoto target.hostname El valor se toma del campo Remote Host Name en el registro sin procesar.
Puerto remoto target.port El valor se toma del campo Remote Port en el registro sin procesar.
Acción solicitada security_result.action El valor se toma del campo Requested action en el registro sin procesar y se asigna a una acción de la AUA.
Nivel de riesgo security_result.severity El valor se toma del campo Risk Level en el registro sin procesar y se asigna a una gravedad de la UDM.
Nombre del riesgo security_result.threat_name El valor se toma del campo Risk name en el registro sin procesar.
Tipo de riesgo security_result.detection_fields.value El valor se toma del campo Risk type en el registro sin procesar. La clave está codificada en Risk Type.
Regla principal.resource.name El valor se toma del campo Rule en el registro sin procesar.
Regla: principal.resource.name El valor se toma del campo Rule: en el registro sin procesar.
ID de análisis extensions.vulns.vulnerabilities.name El valor se toma del campo Scan ID en el registro sin procesar.
ID de análisis: extensions.vulns.vulnerabilities.name El valor se toma del campo Scan ID: en el registro sin procesar.
Tipo de escaneo
Acción secundaria target.resource.attribute.labels.value El valor se toma del campo Secondary action en el registro sin procesar. La clave está codificada en Secondary action.
Se encontró un riesgo de seguridad metadata.description El valor se toma del campo Security risk found en el registro sin procesar.
Servidor intermediary.hostname El valor se toma del campo Server en el registro sin procesar.
Nombre del servidor intermediary.hostname El valor se toma del campo Server Name en el registro sin procesar.
Nombre del servidor: intermediary.hostname El valor se toma del campo Server Name: en el registro sin procesar.
SHA-256 principal.process.file.sha256 El valor se toma del campo SHA-256 en el registro sin procesar.
Sitio additional.fields.value.string_value El valor se toma del campo Site en el registro sin procesar. La clave está codificada en Site Name.
Nombre del sitio additional.fields.value.string_value El valor se toma del campo Site Name en el registro sin procesar. La clave está codificada en Site Name.
Sitio: additional.fields.value.string_value El valor se toma del campo Site: en el registro sin procesar. La clave está codificada en Site Name.
Fuente metadata.product_event_type El valor se toma del campo Source en el registro sin procesar y se agrega a la cadena hard-coded Security risk found -.
Computadora de origen
Computadora de origen:
IP de origen
IP de origen:
Fuente: metadata.product_event_type El valor se toma del campo Source: en el registro sin procesar y se agrega a la cadena hard-coded Security risk found -.
ts metadata.event_timestamp El valor se toma del campo ts en el registro sin procesar.
Estado del seguimiento de URLs
Usuario principal.user.userid El valor se toma del campo User en el registro sin procesar.
Nombre del usuario principal.user.userid El valor se toma del campo User Name en el registro sin procesar.
Nombre de usuario: principal.user.userid El valor se toma del campo User Name: en el registro sin procesar.
Dominio web
metadata.description Si el registro sin procesar contiene la cadena The client has downloaded, la descripción se establece en The client has downloaded {target file name}. Si el registro sin procesar contiene la cadena The management server received, la descripción se establece en The management server received the client log successfully. De lo contrario, la descripción se establece en el valor del campo Event Description en el registro sin procesar.
metadata.event_type La lógica del analizador determina el tipo de evento en función del contenido del registro sin procesar.
metadata.log_type El tipo de registro está codificado en SEP.
metadata.product_name El nombre del producto está codificado en SEP.
metadata.vendor_name El nombre del proveedor está codificado en Symantec.

Cambios

2025-01-09

Mejora:

  • Si el valor de Actual action es Left alone, se cambió la asignación de security_result.action de BLOCK a UNKNOWN_ACTION.
  • Se cambió la asignación de computer de intermediary.hostname a principal.hostname y principal.asset.hostname.
  • Se cambió la asignación de syslogServer de principal.hostname a intermediary.hostname.

2024-12-12

Mejora:

  • Se agregó un patrón Grok para analizar el nuevo formato de los registros de syslog.
  • Se asignó anvpap-srv1 a intermediary.hostname.
  • Se asignó SymantecServer a principal.hostname.
  • Se asignó Remote Host Name a target.hostname.
  • Se asignó Remote Port a target.port.
  • Se asignó Remote Host IP a target.ip.
  • Se asignó Local Port a principal.port.
  • Se asignó Remote Host MAC a principal.mac.
  • Se asignó ICMP a network.ip_protocol.
  • Se asignó Inbound a network.direction.
  • Se asignó Application a principal.process.file.full_path.
  • Se asignó Rule a security_result.rule_name.
  • Se asignó Action a security_result.action.
  • Se asignó SHA-256 a principal.process.file.sha256.

2024-11-21

Mejora:

  • Se agregó gsub para analizar un nuevo patrón de registros.
  • Se agregó un patrón Grok a event_description para analizar los campos.
  • Se asignó File a principal.process.file.full_path.
  • Se asignó Size a principal.process.file.size.

2024-11-07

Mejora:

  • Se asignaron SITE_NAME y SOURCE a additional.fields.
  • Se asignó SOURCE a security_result.description.

2024-10-25

Mejora:

  • Se asignaron SCAN_ID, CATEGORY_DESC, CLIENT_TYPE, DETECTION_TYPE, HELP_VIRUS_IDX, HPP_APP_TYPE, IDX, LAST_LOG_SESSION_GUID, SITE_TYPE, UUID, VBIN_ID y VIRUS_TYPE a additional.fields.
  • Se asignó USER_DOMAIN_NAME a target.administrative_domain.
  • Se asignó COMPUTER_DOMAIN_NAME a principal.administrative_domain.
  • Se asignó IP_ADDR1 a src.ip.
  • Se asignó SOURCE_COMPUTER_NAME a src.asset.hostname y src.hostname.
  • Se asignó COMPUTER_NAME a principal.asset.hostname y principal.hostname.
  • Se asignó OPERATION_SYSTEM a principal.asset.platform_software.platform.
  • Se asignó SERVICE_PACK a principal.asset.platform_software.platform_version.
  • Se asignó SOURCE_COMPUTER_IP a principal.ip y principal.asset.ip.
  • Se asignó ALERT a metadata.product_event_type.
  • Se asignó USER_NAME a principal.user.userid.
  • Se asignó BIOS_SERIALNUMBER a principal.asset.hardware.serial_number.
  • Se asignó ACTUALACTION a security_result.action_details.
  • Se asignó VIRUSNAME a security_result.threat_name.
  • Se asignó NOOFVIRUSES a security_result.verdict_info.malicious_count.
  • Se asignaron SOURCE, DESCRIPTION y REQUESTEDACTION a security_result.detection_fields.
  • Se asignó CLIENT_GROUP a principal.group.group_display_name.
  • Se asignó downloader a principal.process.file.full_path.

2024-10-24

Mejora:

  • Se agregó compatibilidad para analizar registros con logType como IPS, Network Intrusion Protection System, REP, Memory Exploit Mitigation System y NTR.

2024-10-08

Mejora:

  • Se agregó compatibilidad con el nuevo formato de registros de syslog.

2024-09-23

Mejora:

  • Se cambió la asignación de rule_name de principal.resource.name a security_result.rule_name.
  • Se quitó la asignación de principal.resource.resource_type como FIREWALL_RULE.
  • Se cambió la asignación de security_result.category de ACL_VIOLATION a UNKNOWN_CATEGORY.

2024-09-11

Mejora:

  • Se agregó compatibilidad con registros de tipo array.

2024-08-08

Mejora:

  • Se asignó REQUESTEDACTION a security_result.action_details.
  • Se asignaron SECONDARYACTION, ACTUALACTION, VIRUSNAME y NOOFVIRUSES a security_result.detection_fields.
  • Se asignó SOURCE a additional.fields.
  • Se asignó HPP_APP_HASH a target.file.sha256.
  • Se asignó HPP_APP_NAME a target.file.names.
  • Se asignó FILEPATH a target.file.full_path.
  • Se asignó CLIENT_GROUP a target.user.group_identifiers.

2024-06-07

Mejora:

  • Se agregó compatibilidad con los registros de formato KV.

2024-05-27

Mejora:

  • Se asignó target_file_name de target.file.full_path a target.file.names.

2023-11-28

Corrección de errores:

  • Cuando event_time está presente, se asigna lo mismo a datetime.

2023-11-08

Corrección de errores:

  • Se quitó la asignación de ServerName a target.asset.hostname y se asignó a intermediary.hostname.
  • Cuando Actualaction es Cleaned, se asigna security_result.action a BLOCK y is_significant a false.
  • Se agregó el patrón Grok para analizar los registros sin analizar con patrones variados.
  • Se asignaron type, utility-sub-type, lang, service-sandbox-type, mojo-platform-channel-handle, field-trial-handle, disable-features a security_result.detection_fields.
  • Se asignó target_arguments a read_only_udm.additional.fields.
  • Se asignó user-data-dir a sec_result.about.file.full_path.
  • Se asignó security-realm a security_result.summary.
  • Se asignó startup-url a principal.url.
  • Se asignó source_ip a target.ip.
  • Se asignó action_word a security_result.action_details.

2023-10-12

Corrección de errores:

  • Se agregó el patrón Grok para analizar los registros sin analizar con patrones variados.

2023-04-21

Corrección de errores:

  • Se cambiaron los nombres de las variables intermedias en los archivos de inclusión.
  • Se asignó security_result.rule_name para los eventos relacionados con File.

2023-04-10

Mejora:

  • Se controlaron los registros descartados con el logType File Read, File Write, File Delete o Registry Write.
  • Se asignó payload.domain_name a principal.administrative_domain.
  • Se agregó la verificación de nulidad para payload.device_id y event_description.

2023-01-21

Mejora:

  • Se agregó una verificación condicional para targetComputerName,event_description1.
  • Se agregó la verificación on_error para file_full_path,GroupName,ServerName.
  • Se asignó Applicationtype a principal.resource.attribute.labels.
  • Se asignó mail a target.user.email_addresses.
  • Se asignó server_name_1 a principal.hostname.
  • Para el tipo de registro SEC:
  • Se asignó computer a principal.hostname.
  • Se asignó syslogServer a intermediary.hostname.
  • Se asignó event_description a metadata.description.
  • Se agregó for loop para el tipo de registro SONAR,CVE,SEC.

2022-11-24

Mejora:

  • Se agregó el patrón Grok para analizar registros que contienen SONAR detection now allowed.

2022-11-15

Mejora:

  • Se agregó el patrón Grok para analizar los registros con errores de tipo Virus Found y SONAR Scan.
  • Se agregó la verificación condicional para Categorytype.

2022-10-25

Mejora:

  • Se asignó EventDescription a metadata.description.
  • Se asignaron LocalHostIP,IPAddress,source_ip a principal.ip.
  • Se asignó LocalHostMAC a principal.mac.
  • Se asignó computer a principal.hostname
  • Se asignó guid a principal.asset.asset_id.
  • Se asignó DeviceID a principal.resource.product_object_id.
  • Se asignó Filesize a target.file.size.
  • Se asignó SHA256 a target.file.sha256.
  • Se asignó User1 a principal.user.userid.
  • Se asignó file_path a target.file.full_path.
  • Se asignó GroupName a principal.group.group_display_name.
  • Se asignó action_word a security_result.action_details.
  • Se asignó Begin a vulnerabilities.scan_start_time.
  • Se asignó EndTime a vulnerabilities.scan_end_time.
  • Se asignó ScanID a principal.process.product_specific_process_id.
  • Se asignó inter_host a intermediary.hostname.
  • Se asignó inter_ip a intermediary.ip.
  • Se asignó ActionType a additional.fields.
  • Se asignó Rule a security_result.rule_name.

2022-10-10

Mejora:

  • Se asignó category a security_result.category_details.
  • Se asignó CIDS Signature ID a target.resource.attribute.labels.
  • Se asignó CIDS Signature SubID a target.resource.attribute.labels.
  • Se asignó CIDS Signature string a target.resource.attribute.labels.
  • Se asignó Intrusion URL a principal.url.
  • Se asignó User Name a principal.user.userid.
  • Se asignó Actual action a security_result.action_details.
  • Se asignó Application hash a target.file.sha256.
  • Se asignó Application name a target.application.
  • Se asignó Application type a target.resource.attribute.labels.
  • Se asignó Certificate issuer a network.tls.server.certificate.issuer.
  • Se asignó Certificate serial number a network.tls.server.certificate.serial.
  • Se asignó Certificate signer a network.tls.server.certificate.subject.
  • Se asignó Certificate thumbprint a network.tls.server.certificate.sha256.
  • Se asignó Secondary action a target.resource.attribute.labels.
  • Se asignó First Seen a security_result.detection_fields.
  • Se asignó Risk Name a security_result.detection_fields.
  • Se asignó Risk Type a security_result.detection_fields.
  • Se asignó Permitted application reason a security_result.detection_fields.
  • Se asignó Company name a target.user.company_name.
  • Se asignó Computer name a principal.hostname.
  • Se asignó Server Name a principal.asset.network_domain.
  • Se asignó Confidence a security_result.description.
  • Se asignó Detection Type a security_result.summary.
  • Se asignó Group Name a principal.group.group_display_name.
  • Se asignó Risk Level a security_result.severity_details.
  • Se asignó File size (bytes) a target.file.size.

2022-09-21

Mejora:

  • Se migraron los analizadores personalizados al analizador predeterminado.

2022-08-12

Mejora:

  • Se modificó el patrón Grok para analizar los registros.
  • Se controlaron los registros que se descartaron y se asignaron a event_types válidos.
  • Los registros descartados tenían el siguiente logType, que ahora se controla: REP, SubmissionsMan, SYLINK, IPS, SONAR, SEC, CVE, LiveUpdate Manager; Messages related to definition updates, Antivirus detection submission.
  • Se controlan las condiciones nuevas msg1 que contienen Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System.
  • event_description que contiene client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully
  • Se agregó un nuevo bloque de código para controlar el tipo de registro REP,SONAR,CVE,GUP,Smc,WSS que los hizo analizar.
  • Se cambió el tipo de evento de GENERIC_EVENT a STATUS_UPDATE, USER_UNCATEGORIZED, NETWORK_CONNECTION y STATUS_UNCATEGORIZED siempre que fue posible.
  • Se asignó eventDescription a metadata.description.
  • Se asignó hostName a principal.hostname.
  • Se asignó machineDomainName a principal.administrative_domain.
  • Se asignó domainName a target.administrative_domain.
  • Se asignó serverName a intermediary.hostname.
  • Se asignó userName a principal.user.userid.
  • Se asignó siteName a read_only_udm.additional.fields.

2022-07-26

Mejora:

  • para los registros que tienen messageTmp como sitio, se asignaron los siguientes campos:
  • Se asignó eventDescription a metadata.description.
  • Se asignó hostName a target.hostname.
  • Se asignó machineDomainName a target.administrative_domain.
  • Se asignó domainName a principal.administrative_domain.
  • Se asignó serverName a principal.hostname.
  • Se asignó userName a principal.user.userid.
  • Se asignó siteName a read_only_udm.additional.fields.

2022-05-11

Mejora:

  • Entradas de registro de marca de tiempo del evento analizadas con el formato yyyy-MM-dd HH:mm:ss.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.