Collecter les journaux Symantec Endpoint Protection

Compatible avec:

Ce document explique comment ingérer les journaux Symantec Endpoint Protection dans Google Security Operations à l'aide de Bindplane. L'analyseur traite les journaux au format SYSLOG ou KV, en commençant par extraire les codes temporels de différents formats dans les données de journal. Ensuite, il utilise un fichier de configuration distinct (sep_pt2.include) pour effectuer une analyse et une structuration supplémentaires des événements de journal, en s'assurant que le traitement n'est réussi que si l'extraction du code temporel initial est réussie.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes:

  • Instance Google SecOps
  • Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si l'exécution se fait derrière un proxy, les ports du pare-feu sont ouverts.
  • Accès privilégié à la plate-forme Symantec Endpoint Protection

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

  1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec des droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

  1. Accédez au fichier de configuration :
    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès du fichier d'authentification enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog dans Symantec Endpoint Protection

  1. Connectez-vous à l'interface utilisateur Web de Symantec Endpoint Protection Manager.
  2. Cliquez sur l'icône Admin.
  3. Recherchez la section Afficher les serveurs, puis cliquez sur Serveurs.
  4. Cliquez sur Site local > Configurer la journalisation externe.
  5. Cochez la case Enable Transmission of Logs to a Syslog Server (Activer la transmission des journaux à un serveur Syslog).
  6. Fournissez les informations de configuration suivantes :
    • Serveur Syslog: saisissez l'adresse IP de Bindplane.
    • Port de destination UDP: saisissez le numéro de port Bindplane (par exemple, 514 pour UDP).
    • Log Facility (Service de journalisation) : saisissez Local6.
    • Cochez la case Journaux d'audit.
    • Cochez la case Journaux de sécurité.
    • Cochez la case Risques.
  7. Cliquez sur OK.

Tableau de mappage UDM

Champ du journal Mappage UDM Logique
Action security_result.action La valeur est extraite du champ Action du journal brut et mappée sur une action UDM.
Type d'action security_result.action_details La valeur est extraite du champ Action Type dans le journal brut.
Administrateur
Motif de l'application autorisée security_result.action_details La valeur est extraite du champ Allowed application reason dans le journal brut.
Application principal.process.command_line La valeur est extraite du champ Application dans le journal brut.
Fonction de hachage de l'application target.file.sha256 La valeur est extraite du champ Application hash dans le journal brut.
Nom de l'application target.application La valeur est extraite du champ Application name dans le journal brut.
Application type (Type d'application) target.resource.attribute.labels.value La valeur est extraite du champ Application type dans le journal brut. La clé est codée en dur sur Application Type.
Version de l'application target.application.version La valeur est extraite du champ Application version dans le journal brut.
Commencer
Heure de début extensions.vulns.vulnerabilities.scan_start_time La valeur est extraite du champ Begin Time dans le journal brut.
Début: extensions.vulns.vulnerabilities.scan_start_time La valeur est extraite du champ Begin: dans le journal brut.
Catégorie principal.resource.attribute.labels.value La valeur est extraite du champ Category dans le journal brut. La clé est codée en dur sur Category.
Ensemble de catégories security_result.category La valeur est extraite du champ Category set du journal brut et mappée sur une catégorie UDM.
Type de catégorie security_result.category_details La valeur est extraite du champ Category type dans le journal brut.
ID de signature CIDS
Chaîne de signature CIDS security_result.summary La valeur est extraite du champ CIDS Signature string dans le journal brut.
ID de sous-signature CIDS
Stratégie de client
Commande
Ordinateur target.hostname La valeur est extraite du champ Computer dans le journal brut.
Nom de l'ordinateur principal.hostname La valeur est extraite du champ Computer name dans le journal brut.
Confiance security_result.confidence_details La valeur est extraite du champ Confidence dans le journal brut.
données
Description security_result.action_details La valeur est extraite du champ Description dans le journal brut.
Description : security_result.action_details La valeur est extraite du champ Description: dans le journal brut.
Score de détection
Envois de détections : non
Type de détection security_result.summary La valeur est extraite du champ Detection type dans le journal brut.
ID de l'appareil target.asset.hostname La valeur est extraite du champ Device ID dans le journal brut.
Disposition security_result.action La valeur est extraite du champ Disposition du journal brut et mappée sur une action UDM.
Domaine principal.administrative_domain La valeur est extraite du champ Domain dans le journal brut.
Nom de domaine principal.administrative_domain La valeur est extraite du champ Domain Name dans le journal brut.
Nom de domaine : principal.administrative_domain La valeur est extraite du champ Domain Name: dans le journal brut.
Téléchargé par principal.process.file.full_path La valeur est extraite du champ Downloaded by dans le journal brut.
Site de téléchargement
Durée (secondes) extensions.vulns.vulnerabilities.scan_end_time La valeur est extraite du champ Duration (seconds) du journal brut et ajoutée à l'heure de début de l'analyse.
Fin
Heure de fin extensions.vulns.vulnerabilities.scan_end_time La valeur est extraite du champ End Time dans le journal brut.
Heure de fin : extensions.vulns.vulnerabilities.scan_end_time La valeur est extraite du champ End Time: dans le journal brut.
Fin : extensions.vulns.vulnerabilities.scan_end_time La valeur est extraite du champ End: dans le journal brut.
Description de l'événement metadata.description La valeur est extraite du champ Event Description dans le journal brut.
Description de l'événement: metadata.description La valeur est extraite du champ Event Description: dans le journal brut.
Heure d'insertion de l'événement
Heure de l'événement metadata.event_timestamp La valeur est extraite du champ Event time dans le journal brut.
Heure de l'événement: metadata.event_timestamp La valeur est extraite du champ Event time: dans le journal brut.
Type d'événement metadata.product_event_type La valeur est extraite du champ Event Type dans le journal brut.
Type d’événement : metadata.product_event_type La valeur est extraite du champ Event Type: dans le journal brut.
Chemin d'accès au fichier target.file.full_path La valeur est extraite du champ File path dans le journal brut.
Chemin d'accès au fichier: target.file.full_path La valeur est extraite du champ File path: dans le journal brut.
Taille du fichier (octets) target.file.size La valeur est extraite du champ File size (bytes) dans le journal brut.
Première occurrence security_result.action_details La valeur est extraite du champ First Seen dans le journal brut.
Première occurrence: security_result.action_details La valeur est extraite du champ First Seen: dans le journal brut.
Groupe principal.group.group_display_name La valeur est extraite du champ Group dans le journal brut.
Nom du groupe principal.group.group_display_name La valeur est extraite du champ Group Name dans le journal brut.
Nom du groupe: principal.group.group_display_name La valeur est extraite du champ Group Name: dans le journal brut.
Type de hachage target.resource.attribute.labels.value La valeur est extraite du champ Hash type dans le journal brut. La clé est codée en dur sur Hash Type.
Niveau de protection intensif
ID de l'intrusion
URL de la charge utile d'intrusion
URL d'intrusion
Adresse IP principal.ip La valeur est extraite du champ IP Address dans le journal brut.
Adresse IP : principal.ip La valeur est extraite du champ IP Address: dans le journal brut.
Heure de la dernière mise à jour
Hôte local principal.ip La valeur est extraite du champ Local Host dans le journal brut.
Adresse IP de l'hôte local principal.ip La valeur est extraite du champ Local Host IP dans le journal brut.
Adresse MAC de l'hôte local principal.mac La valeur est extraite du champ Local Host MAC dans le journal brut.
Port local principal.port La valeur est extraite du champ Local Port dans le journal brut.
Emplacement
MD-5
Occurrences security_result.about.resource.attribute.labels.value La valeur est extraite du champ Occurrences dans le journal brut. La clé est codée en dur sur Occurrences.
Motif de l'application autorisée security_result.action_details La valeur est extraite du champ Permitted application reason dans le journal brut.
Prévalence security_result.description La valeur est extraite du champ Prevalence dans le journal brut.
Chemin d'accès distant target.file.full_path La valeur est extraite du champ Remote file path dans le journal brut.
Adresse IP de l'hôte distant target.ip La valeur est extraite du champ Remote Host IP dans le journal brut.
Adresse MAC de l'hôte distant target.mac La valeur est extraite du champ Remote Host MAC dans le journal brut.
Nom d'hôte distant target.hostname La valeur est extraite du champ Remote Host Name dans le journal brut.
Port distant target.port La valeur est extraite du champ Remote Port dans le journal brut.
Action demandée security_result.action La valeur est extraite du champ Requested action du journal brut et mappée sur une action UDM.
Niveau de risque security_result.severity La valeur est extraite du champ Risk Level du journal brut et mappée sur une gravité UDM.
Nom du risque security_result.threat_name La valeur est extraite du champ Risk name dans le journal brut.
Type de risque security_result.detection_fields.value La valeur est extraite du champ Risk type dans le journal brut. La clé est codée en dur sur Risk Type.
Règle principal.resource.name La valeur est extraite du champ Rule dans le journal brut.
Règle : principal.resource.name La valeur est extraite du champ Rule: dans le journal brut.
ID de l'analyse extensions.vulns.vulnerabilities.name La valeur est extraite du champ Scan ID dans le journal brut.
ID de l'analyse : extensions.vulns.vulnerabilities.name La valeur est extraite du champ Scan ID: dans le journal brut.
Type d'analyse
Action secondaire target.resource.attribute.labels.value La valeur est extraite du champ Secondary action dans le journal brut. La clé est codée en dur sur Secondary action.
Risque de sécurité détecté metadata.description La valeur est extraite du champ Security risk found dans le journal brut.
Serveur intermediary.hostname La valeur est extraite du champ Server dans le journal brut.
Nom du serveur intermediary.hostname La valeur est extraite du champ Server Name dans le journal brut.
Nom du serveur: intermediary.hostname La valeur est extraite du champ Server Name: dans le journal brut.
SHA-256 principal.process.file.sha256 La valeur est extraite du champ SHA-256 dans le journal brut.
Site additional.fields.value.string_value La valeur est extraite du champ Site dans le journal brut. La clé est codée en dur sur Site Name.
Nom du site additional.fields.value.string_value La valeur est extraite du champ Site Name dans le journal brut. La clé est codée en dur sur Site Name.
Site : additional.fields.value.string_value La valeur est extraite du champ Site: dans le journal brut. La clé est codée en dur sur Site Name.
Source metadata.product_event_type La valeur est extraite du champ Source du journal brut et ajoutée à la chaîne codée en dur Security risk found -.
Ordinateur source
Ordinateur source:
Adresse IP source
Adresse IP source :
Source : metadata.product_event_type La valeur est extraite du champ Source: du journal brut et ajoutée à la chaîne codée en dur Security risk found -.
ts metadata.event_timestamp La valeur est extraite du champ ts dans le journal brut.
État du suivi des URL
Utilisateur principal.user.userid La valeur est extraite du champ User dans le journal brut.
Nom de l’utilisateur principal.user.userid La valeur est extraite du champ User Name dans le journal brut.
Nom d'utilisateur : principal.user.userid La valeur est extraite du champ User Name: dans le journal brut.
Domaine Web
metadata.description Si le journal brut contient la chaîne The client has downloaded, la description est définie sur The client has downloaded {target file name}. Si le journal brut contient la chaîne The management server received, la description est définie sur The management server received the client log successfully. Sinon, la description est définie sur la valeur du champ Event Description dans le journal brut.
metadata.event_type Le type d'événement est déterminé par la logique de l'analyseur en fonction du contenu du journal brut.
metadata.log_type Le type de journal est codé en dur sur SEP.
metadata.product_name Le nom du produit est codé en dur pour être SEP.
metadata.vendor_name Le nom du fournisseur est codé en dur sur Symantec.

Modifications

2025-01-09

Amélioration :

  • Si la valeur de Actual action est Left alone, le mappage de security_result.action est modifié de BLOCK à UNKNOWN_ACTION.
  • Modification de la mise en correspondance de computer de intermediary.hostname à principal.hostname et principal.asset.hostname.
  • Modification de la mise en correspondance de syslogServer de principal.hostname à intermediary.hostname.

2024-12-12

Amélioration :

  • Ajout d'un format Grok pour analyser le nouveau format des journaux syslog.
  • Mappage de anvpap-srv1 sur intermediary.hostname.
  • Mappage de SymantecServer sur principal.hostname.
  • Mappage de Remote Host Name sur target.hostname.
  • Mappage de Remote Port sur target.port.
  • Mappage de Remote Host IP sur target.ip.
  • Mappage de Local Port sur principal.port.
  • Mappage de Remote Host MAC sur principal.mac.
  • Mappage de ICMP sur network.ip_protocol.
  • Mappage de Inbound sur network.direction.
  • Mappage de Application sur principal.process.file.full_path.
  • Mappage de Rule sur security_result.rule_name.
  • Mappage de Action sur security_result.action.
  • Mappage de SHA-256 sur principal.process.file.sha256.

2024-11-21

Amélioration :

  • Ajout de gsub pour analyser le nouveau format de journaux.
  • Ajout d'un modèle Grok à event_description pour analyser les champs.
  • Mappage de File sur principal.process.file.full_path.
  • Mappage de Size sur principal.process.file.size.

2024-11-07

Amélioration :

  • Mappage de SITE_NAME et SOURCE sur additional.fields.
  • Mappage de SOURCE sur security_result.description.

2024-10-25

Amélioration :

  • Mappage de SCAN_ID, CATEGORY_DESC, CLIENT_TYPE, DETECTION_TYPE, HELP_VIRUS_IDX, HPP_APP_TYPE, IDX, LAST_LOG_SESSION_GUID, SITE_TYPE, UUID, VBIN_ID et VIRUS_TYPE sur additional.fields.
  • Mappage de USER_DOMAIN_NAME sur target.administrative_domain.
  • Mappage de COMPUTER_DOMAIN_NAME sur principal.administrative_domain.
  • Mappage de IP_ADDR1 sur src.ip.
  • Mappage de SOURCE_COMPUTER_NAME sur src.asset.hostname et src.hostname.
  • Mappage de COMPUTER_NAME sur principal.asset.hostname et principal.hostname.
  • Mappage de OPERATION_SYSTEM sur principal.asset.platform_software.platform.
  • Mappage de SERVICE_PACK sur principal.asset.platform_software.platform_version.
  • Mappage de SOURCE_COMPUTER_IP sur principal.ip et principal.asset.ip.
  • Mappage de ALERT sur metadata.product_event_type.
  • Mappage de USER_NAME sur principal.user.userid.
  • Mappage de BIOS_SERIALNUMBER sur principal.asset.hardware.serial_number.
  • Mappage de ACTUALACTION sur security_result.action_details.
  • Mappage de VIRUSNAME sur security_result.threat_name.
  • Mappage de NOOFVIRUSES sur security_result.verdict_info.malicious_count.
  • SOURCE, DESCRIPTION et REQUESTEDACTION ont été mappés sur security_result.detection_fields.
  • Mappage de CLIENT_GROUP sur principal.group.group_display_name.
  • Mappage de downloader sur principal.process.file.full_path.

2024-10-24

Amélioration :

  • Ajout de la possibilité d'analyser les journaux avec logType en tant que IPS, Network Intrusion Protection System, REP, Memory Exploit Mitigation System et NTR.

2024-10-08

Amélioration :

  • Prise en charge du nouveau format des journaux syslog.

2024-09-23

Amélioration :

  • Modification de la mise en correspondance de rule_name de principal.resource.name à security_result.rule_name.
  • Suppression du mappage de principal.resource.resource_type en tant que FIREWALL_RULE.
  • Modification de la mise en correspondance de security_result.category de ACL_VIOLATION à UNKNOWN_CATEGORY.

2024-09-11

Amélioration :

  • Ajout de la compatibilité avec les journaux de type tableau.

2024-08-08

Amélioration :

  • Mappage de REQUESTEDACTION sur security_result.action_details.
  • SECONDARYACTION, ACTUALACTION, VIRUSNAME et NOOFVIRUSES ont été mappés sur security_result.detection_fields.
  • Mappage de SOURCE sur additional.fields.
  • Mappage de HPP_APP_HASH sur target.file.sha256.
  • Mappage de HPP_APP_NAME sur target.file.names.
  • Mappage de FILEPATH sur target.file.full_path.
  • Mappage de CLIENT_GROUP sur target.user.group_identifiers.

2024-06-07

Amélioration :

  • Ajout de la prise en charge des journaux au format KV.

2024-05-27

Amélioration :

  • target_file_name mappé de target.file.full_path à target.file.names.

2023-11-28

Correction de bug:

  • Lorsque event_time est présent, il est mappé sur datetime.

2023-11-08

Correction de bug:

  • Suppression du mappage de ServerName sur target.asset.hostname et mappage sur intermediary.hostname.
  • Lorsque Actualaction est Cleaned, security_result.action est mappé sur BLOCK et is_significant sur false.
  • Ajout d'un format Grok pour analyser les journaux non analysés avec différents formats.
  • Mappage de type, utility-sub-type, lang, service-sandbox-type, mojo-platform-channel-handle, field-trial-handle et disable-features sur security_result.detection_fields.
  • Mappage de target_arguments sur read_only_udm.additional.fields.
  • Mappage de user-data-dir sur sec_result.about.file.full_path.
  • Mappage de security-realm sur security_result.summary.
  • Mappage de startup-url sur principal.url.
  • Mappage de source_ip sur target.ip.
  • Mappage de action_word sur security_result.action_details.

2023-10-12

Correction de bug:

  • Ajout d'un format Grok pour analyser les journaux non analysés avec différents formats.

2023-04-21

Correction de bug:

  • Modification des noms des variables intermédiaires dans les fichiers d'inclusion.
  • security_result.rule_name mappé pour les événements associés à File.

2023-04-10

Amélioration :

  • Gérer les journaux abandonnés avec le type de journal File Read, File Write, File Delete ou Registry Write.
  • Mappage de payload.domain_name sur principal.administrative_domain.
  • Ajout d'une vérification de valeur nulle pour payload.device_id et event_description.

2023-01-21

Amélioration :

  • Ajout d'une vérification conditionnelle pour targetComputerName,event_description1.
  • Ajout d'une vérification on_error pour file_full_path,GroupName,ServerName.
  • Mappage de Applicationtype sur principal.resource.attribute.labels.
  • Mappage de mail sur target.user.email_addresses.
  • Mappage de server_name_1 sur principal.hostname.
  • Pour le type de journal SEC:
  • Mappage de computer sur principal.hostname.
  • Mappage de syslogServer sur intermediary.hostname.
  • Mappage de event_description sur metadata.description.
  • Ajout de for loop pour le type de journal SONAR,CVE,SEC.

2022-11-24

Amélioration :

  • Ajout d'un modèle Grok pour analyser les journaux contenant SONAR detection now allowed.

2022-11-15

Amélioration :

  • Ajout d'un format Grok pour analyser les journaux d'échec de type Virus Found et SONAR Scan.
  • Ajout d'une vérification conditionnelle pour Categorytype.

2022-10-25

Amélioration :

  • Mappage de EventDescription sur metadata.description.
  • LocalHostIP,IPAddress,source_ip mappés sur principal.ip.
  • Mappage de LocalHostMAC sur principal.mac.
  • computer mappé sur principal.hostname
  • Mappage de guid sur principal.asset.asset_id.
  • Mappage de DeviceID sur principal.resource.product_object_id.
  • Mappage de Filesize sur target.file.size.
  • Mappage de SHA256 sur target.file.sha256.
  • Mappage de User1 sur principal.user.userid.
  • Mappage de file_path sur target.file.full_path.
  • Mappage de GroupName sur principal.group.group_display_name.
  • Mappage de action_word sur security_result.action_details.
  • Mappage de Begin sur vulnerabilities.scan_start_time.
  • Mappage de EndTime sur vulnerabilities.scan_end_time.
  • Mappage de ScanID sur principal.process.product_specific_process_id.
  • Mappage de inter_host sur intermediary.hostname.
  • Mappage de inter_ip sur intermediary.ip.
  • Mappage de ActionType sur additional.fields.
  • Mappage de Rule sur security_result.rule_name.

2022-10-10

Amélioration :

  • Mappage de category sur security_result.category_details.
  • Mappage de CIDS Signature ID sur target.resource.attribute.labels.
  • Mappage de CIDS Signature SubID sur target.resource.attribute.labels.
  • Mappage de CIDS Signature string sur target.resource.attribute.labels.
  • Mappage de Intrusion URL sur principal.url.
  • Mappage de User Name sur principal.user.userid.
  • Mappage de Actual action sur security_result.action_details.
  • Mappage de Application hash sur target.file.sha256.
  • Mappage de Application name sur target.application.
  • Mappage de Application type sur target.resource.attribute.labels.
  • Mappage de Certificate issuer sur network.tls.server.certificate.issuer.
  • Mappage de Certificate serial number sur network.tls.server.certificate.serial.
  • Mappage de Certificate signer sur network.tls.server.certificate.subject.
  • Mappage de Certificate thumbprint sur network.tls.server.certificate.sha256.
  • Mappage de Secondary action sur target.resource.attribute.labels.
  • Mappage de First Seen sur security_result.detection_fields.
  • Mappage de Risk Name sur security_result.detection_fields.
  • Mappage de Risk Type sur security_result.detection_fields.
  • Mappage de Permitted application reason sur security_result.detection_fields.
  • Mappage de Company name sur target.user.company_name.
  • Mappage de Computer name sur principal.hostname.
  • Mappage de Server Name sur principal.asset.network_domain.
  • Mappage de Confidence sur security_result.description.
  • Mappage de Detection Type sur security_result.summary.
  • Mappage de Group Name sur principal.group.group_display_name.
  • Mappage de Risk Level sur security_result.severity_details.
  • Mappage de File size (bytes) sur target.file.size.

2022-09-21

Amélioration :

  • Migration des analyseurs personnalisés vers l'analyseur par défaut.

2022-08-12

Amélioration :

  • Modèle Grok modifié pour analyser les journaux.
  • Gérer les journaux abandonnés et les mapper sur des types d'événements valides.
  • Les journaux supprimés avaient les valeurs de logType suivantes, qui sont désormais gérées: REP, SubmissionsMan, SYLINK, IPS, SONAR, SEC, CVE, LiveUpdate Manager; Messages related to definition updates, Antivirus detection submission.
  • Les nouvelles conditions msg1 contenant Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System sont gérées.
  • "event_description" contenant client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully
  • Ajout d'un nouveau bloc de code pour gérer le type de journal REP,SONAR,CVE,GUP,Smc,WSS qui les a analysés.
  • Type d'événement modifié de GENERIC_EVENT en STATUS_UPDATE, USER_UNCATEGORIZED, NETWORK_CONNECTION ou STATUS_UNCATEGORIZED dans la mesure du possible.
  • Mappage de eventDescription sur metadata.description.
  • Mappage de hostName sur principal.hostname.
  • Mappage de machineDomainName sur principal.administrative_domain.
  • Mappage de domainName sur target.administrative_domain.
  • Mappage de serverName sur intermediary.hostname.
  • Mappage de userName sur principal.user.userid.
  • Mappage de siteName sur read_only_udm.additional.fields.

2022-07-26

Amélioration :

  • Pour les journaux dont le site est défini sur messageTmp, les champs suivants ont été mappés:
  • Mappage de eventDescription sur metadata.description.
  • Mappage de hostName sur target.hostname.
  • Mappage de machineDomainName sur target.administrative_domain.
  • Mappage de domainName sur principal.administrative_domain.
  • Mappage de serverName sur principal.hostname.
  • Mappage de userName sur principal.user.userid.
  • Mappage de siteName sur read_only_udm.additional.fields.

2022-05-11

Amélioration :

  • Entrées de journal d'horodatage d'événement analysées au format yyyy-MM-dd HH:mm:ss.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.