Raccogliere i log di Symantec Endpoint Protection

Supportato in:

Questo documento spiega come importare i log di Symantec Endpoint Protection in Google Security Operations utilizzando Bindplane. Il parser elabora i log in formato SYSLOG o KV, estraendo innanzitutto i timestamp da vari formati all'interno dei dati dei log. Successivamente, utilizza un file di configurazione separato (sep_pt2.include) per eseguire un'ulteriore analisi e strutturazione degli eventi dei log, garantendo l'elaborazione solo se l'estrazione del timestamp iniziale è riuscita.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive o host Linux con systemd
  • Se il servizio viene eseguito dietro un proxy, le porte del firewall sono aperte
  • Accesso con privilegi alla piattaforma Symantec Endpoint Protection

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CES'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Syslog in Symantec Endpoint Protection

  1. Accedi all'interfaccia utente web di Symantec Endpoint Protection Manager.
  2. Fai clic sull'icona Amministrazione.
  3. Individua la sezione Visualizza server e fai clic su Server.
  4. Fai clic su Sito locale > Configura il logging esterno.
  5. Seleziona la casella di controllo Attiva la trasmissione dei log a un server Syslog.
  6. Fornisci i seguenti dettagli di configurazione:
    • Server Syslog: inserisci l'indirizzo IP di Bindplane.
    • Porta di destinazione UDP: inserisci il numero di porta di Bindplane (ad esempio 514 per UDP).
    • Log Facility: inserisci Local6.
    • Seleziona la casella di controllo Log di controllo.
    • Seleziona la casella di controllo Log di sicurezza.
    • Seleziona la casella di controllo Rischi.
  7. Fai clic su OK.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
Azione security_result.action Il valore viene preso dal campo Action nel log non elaborato e mappato a un'azione UDM.
Tipo di azione security_result.action_details Il valore viene preso dal campo Action Type nel log non elaborato.
Amministratore
Motivo dell'applicazione consentita security_result.action_details Il valore viene preso dal campo Allowed application reason nel log non elaborato.
Applicazione principal.process.command_line Il valore viene preso dal campo Application nel log non elaborato.
Hash dell'applicazione target.file.sha256 Il valore viene preso dal campo Application hash nel log non elaborato.
Nome applicazione target.application Il valore viene preso dal campo Application name nel log non elaborato.
Tipo di applicazione target.resource.attribute.labels.value Il valore viene preso dal campo Application type nel log non elaborato. La chiave è impostata come hardcoded su Application Type.
Versione dell'applicazione target.application.version Il valore viene preso dal campo Application version nel log non elaborato.
Inizia
Ora di inizio extensions.vulns.vulnerabilities.scan_start_time Il valore viene preso dal campo Begin Time nel log non elaborato.
Inizia: extensions.vulns.vulnerabilities.scan_start_time Il valore viene preso dal campo Begin: nel log non elaborato.
Categoria principal.resource.attribute.labels.value Il valore viene preso dal campo Category nel log non elaborato. La chiave è impostata come hardcoded su Category.
Set di categorie security_result.category Il valore viene preso dal campo Category set nel log non elaborato e mappato a una categoria UDM.
Tipo di categoria security_result.category_details Il valore viene preso dal campo Category type nel log non elaborato.
ID firma CIDS
Stringa della firma CIDS security_result.summary Il valore viene preso dal campo CIDS Signature string nel log non elaborato.
ID secondario della firma CIDS
Norme relative ai clienti
Comando
Computer target.hostname Il valore viene preso dal campo Computer nel log non elaborato.
Nome computer principal.hostname Il valore viene preso dal campo Computer name nel log non elaborato.
Affidabilità security_result.confidence_details Il valore viene preso dal campo Confidence nel log non elaborato.
dati
Descrizione security_result.action_details Il valore viene preso dal campo Description nel log non elaborato.
Descrizione: security_result.action_details Il valore viene preso dal campo Description: nel log non elaborato.
Punteggio di rilevamento
Invio di rilevamenti No
Tipo di rilevamento security_result.summary Il valore viene preso dal campo Detection type nel log non elaborato.
ID dispositivo target.asset.hostname Il valore viene preso dal campo Device ID nel log non elaborato.
Disposizione security_result.action Il valore viene preso dal campo Disposition nel log non elaborato e mappato a un'azione UDM.
Dominio principal.administrative_domain Il valore viene preso dal campo Domain nel log non elaborato.
Nome di dominio principal.administrative_domain Il valore viene preso dal campo Domain Name nel log non elaborato.
Nome del dominio: principal.administrative_domain Il valore viene preso dal campo Domain Name: nel log non elaborato.
Scaricati da principal.process.file.full_path Il valore viene preso dal campo Downloaded by nel log non elaborato.
Sito di download
Durata (secondi) extensions.vulns.vulnerabilities.scan_end_time Il valore viene preso dal campo Duration (seconds) nel log non elaborato e aggiunto all'ora di inizio della scansione.
Fine
Ora di fine extensions.vulns.vulnerabilities.scan_end_time Il valore viene preso dal campo End Time nel log non elaborato.
Ora di fine: extensions.vulns.vulnerabilities.scan_end_time Il valore viene preso dal campo End Time: nel log non elaborato.
Fine: extensions.vulns.vulnerabilities.scan_end_time Il valore viene preso dal campo End: nel log non elaborato.
Descrizione evento metadata.description Il valore viene preso dal campo Event Description nel log non elaborato.
Descrizione evento: metadata.description Il valore viene preso dal campo Event Description: nel log non elaborato.
Ora di inserimento evento
Ora evento metadata.event_timestamp Il valore viene preso dal campo Event time nel log non elaborato.
Ora evento: metadata.event_timestamp Il valore viene preso dal campo Event time: nel log non elaborato.
Tipo di evento metadata.product_event_type Il valore viene preso dal campo Event Type nel log non elaborato.
Tipo di evento: metadata.product_event_type Il valore viene preso dal campo Event Type: nel log non elaborato.
Percorso file target.file.full_path Il valore viene preso dal campo File path nel log non elaborato.
Percorso file: target.file.full_path Il valore viene preso dal campo File path: nel log non elaborato.
Dimensioni del file (byte) target.file.size Il valore viene preso dal campo File size (bytes) nel log non elaborato.
Prima visualizzazione security_result.action_details Il valore viene preso dal campo First Seen nel log non elaborato.
Prima visualizzazione: security_result.action_details Il valore viene preso dal campo First Seen: nel log non elaborato.
Gruppo principal.group.group_display_name Il valore viene preso dal campo Group nel log non elaborato.
Nome gruppo principal.group.group_display_name Il valore viene preso dal campo Group Name nel log non elaborato.
Nome gruppo: principal.group.group_display_name Il valore viene preso dal campo Group Name: nel log non elaborato.
Tipo di hash target.resource.attribute.labels.value Il valore viene preso dal campo Hash type nel log non elaborato. La chiave è impostata come hardcoded su Hash Type.
Livello di protezione intensivo
ID intrusione
URL del payload di intrusione
URL di intrusione
Indirizzo IP principal.ip Il valore viene preso dal campo IP Address nel log non elaborato.
Indirizzo IP: principal.ip Il valore viene preso dal campo IP Address: nel log non elaborato.
Data/ora ultimo aggiornamento
Host locale principal.ip Il valore viene preso dal campo Local Host nel log non elaborato.
IP host locale principal.ip Il valore viene preso dal campo Local Host IP nel log non elaborato.
Indirizzo MAC dell'host locale principal.mac Il valore viene preso dal campo Local Host MAC nel log non elaborato.
Porta locale principal.port Il valore viene preso dal campo Local Port nel log non elaborato.
Località
MD-5
Occorrenze security_result.about.resource.attribute.labels.value Il valore viene preso dal campo Occurrences nel log non elaborato. La chiave è impostata come hardcoded su Occurrences.
Motivo dell'applicazione consentita security_result.action_details Il valore viene preso dal campo Permitted application reason nel log non elaborato.
Prevalenza security_result.description Il valore viene preso dal campo Prevalence nel log non elaborato.
Percorso remoto target.file.full_path Il valore viene preso dal campo Remote file path nel log non elaborato.
IP host remoto target.ip Il valore viene preso dal campo Remote Host IP nel log non elaborato.
Indirizzo MAC dell'host remoto target.mac Il valore viene preso dal campo Remote Host MAC nel log non elaborato.
Nome host remoto target.hostname Il valore viene preso dal campo Remote Host Name nel log non elaborato.
Porta remota target.port Il valore viene preso dal campo Remote Port nel log non elaborato.
Azione richiesta security_result.action Il valore viene preso dal campo Requested action nel log non elaborato e mappato a un'azione UDM.
Livello di rischio security_result.severity Il valore viene preso dal campo Risk Level nel log non elaborato e mappato a una gravità UDM.
Nome del rischio security_result.threat_name Il valore viene preso dal campo Risk name nel log non elaborato.
Tipo di rischio security_result.detection_fields.value Il valore viene preso dal campo Risk type nel log non elaborato. La chiave è impostata come hardcoded su Risk Type.
Regola principal.resource.name Il valore viene preso dal campo Rule nel log non elaborato.
Regola: principal.resource.name Il valore viene preso dal campo Rule: nel log non elaborato.
ID scansione extensions.vulns.vulnerabilities.name Il valore viene preso dal campo Scan ID nel log non elaborato.
ID scansione: extensions.vulns.vulnerabilities.name Il valore viene preso dal campo Scan ID: nel log non elaborato.
Tipo di scansione
Azione secondaria target.resource.attribute.labels.value Il valore viene preso dal campo Secondary action nel log non elaborato. La chiave è impostata come hardcoded su Secondary action.
Rischio per la sicurezza rilevato metadata.description Il valore viene preso dal campo Security risk found nel log non elaborato.
Server intermediary.hostname Il valore viene preso dal campo Server nel log non elaborato.
Nome server intermediary.hostname Il valore viene preso dal campo Server Name nel log non elaborato.
Nome server: intermediary.hostname Il valore viene preso dal campo Server Name: nel log non elaborato.
SHA-256 principal.process.file.sha256 Il valore viene preso dal campo SHA-256 nel log non elaborato.
Sito additional.fields.value.string_value Il valore viene preso dal campo Site nel log non elaborato. La chiave è impostata come hardcoded su Site Name.
Nome del sito additional.fields.value.string_value Il valore viene preso dal campo Site Name nel log non elaborato. La chiave è impostata come hardcoded su Site Name.
Sito: additional.fields.value.string_value Il valore viene preso dal campo Site: nel log non elaborato. La chiave è impostata come hardcoded su Site Name.
Origine metadata.product_event_type Il valore viene preso dal campo Source nel log non elaborato e aggiunto alla stringa hardcoded Security risk found -.
Computer di origine
Computer di origine:
IP di origine
IP di origine:
Fonte: metadata.product_event_type Il valore viene preso dal campo Source: nel log non elaborato e aggiunto alla stringa hardcoded Security risk found -.
ts metadata.event_timestamp Il valore viene preso dal campo ts nel log non elaborato.
Stato del monitoraggio degli URL
Utente principal.user.userid Il valore viene preso dal campo User nel log non elaborato.
Nome utente principal.user.userid Il valore viene preso dal campo User Name nel log non elaborato.
Nome utente: principal.user.userid Il valore viene preso dal campo User Name: nel log non elaborato.
Dominio web
metadata.description Se il log non elaborato contiene la stringa The client has downloaded, la descrizione viene impostata su The client has downloaded {target file name}. Se il log non elaborato contiene la stringa The management server received, la descrizione viene impostata su The management server received the client log successfully. In caso contrario, la descrizione viene impostata sul valore del campo Event Description nel log non elaborato.
metadata.event_type Il tipo di evento viene determinato dalla logica dell'analizzatore in base ai contenuti del log non elaborato.
metadata.log_type Il tipo di log è hardcoded su SEP.
metadata.product_name Il nome del prodotto è hardcoded su SEP.
metadata.vendor_name Il nome del fornitore è hardcoded su Symantec.

Modifiche

2025-01-09

Miglioramento:

  • Se il valore di Actual action è Left alone, la mappatura di security_result.action è stata modificata da BLOCK a UNKNOWN_ACTION.
  • La mappatura di computer è passata da intermediary.hostname a principal.hostname e principal.asset.hostname.
  • La mappatura di syslogServer è cambiata da principal.hostname a intermediary.hostname.

2024-12-12

Miglioramento:

  • È stato aggiunto un pattern Grok per analizzare il nuovo formato dei log syslog.
  • anvpap-srv1 è stato mappato a intermediary.hostname.
  • SymantecServer è stato mappato a principal.hostname.
  • Remote Host Name è stato mappato a target.hostname.
  • Remote Port è stato mappato a target.port.
  • Remote Host IP è stato mappato a target.ip.
  • Local Port è stato mappato a principal.port.
  • Remote Host MAC è stato mappato a principal.mac.
  • ICMP è stato mappato a network.ip_protocol.
  • Inbound è stato mappato a network.direction.
  • Application è stato mappato a principal.process.file.full_path.
  • Rule è stato mappato a security_result.rule_name.
  • Action è stato mappato a security_result.action.
  • SHA-256 è stato mappato a principal.process.file.sha256.

2024-11-21

Miglioramento:

  • È stato aggiunto gsub per analizzare il nuovo pattern dei log.
  • È stato aggiunto un pattern Grok a event_description per analizzare i campi.
  • File è stato mappato a principal.process.file.full_path.
  • Size è stato mappato a principal.process.file.size.

2024-11-07

Miglioramento:

  • SITE_NAME e SOURCE sono stati mappati a additional.fields.
  • SOURCE è stato mappato a security_result.description.

2024-10-25

Miglioramento:

  • Sono stati mappati SCAN_ID, CATEGORY_DESC, CLIENT_TYPE, DETECTION_TYPE, HELP_VIRUS_IDX, HPP_APP_TYPE, IDX, LAST_LOG_SESSION_GUID, SITE_TYPE, UUID, VBIN_ID e VIRUS_TYPE a additional.fields.
  • USER_DOMAIN_NAME è stato mappato a target.administrative_domain.
  • COMPUTER_DOMAIN_NAME è stato mappato a principal.administrative_domain.
  • IP_ADDR1 è stato mappato a src.ip.
  • SOURCE_COMPUTER_NAME è stato mappato a src.asset.hostname e src.hostname.
  • COMPUTER_NAME è stato mappato a principal.asset.hostname e principal.hostname.
  • OPERATION_SYSTEM è stato mappato a principal.asset.platform_software.platform.
  • SERVICE_PACK è stato mappato a principal.asset.platform_software.platform_version.
  • SOURCE_COMPUTER_IP è stato mappato a principal.ip e principal.asset.ip.
  • ALERT è stato mappato a metadata.product_event_type.
  • USER_NAME è stato mappato a principal.user.userid.
  • BIOS_SERIALNUMBER è stato mappato a principal.asset.hardware.serial_number.
  • ACTUALACTION è stato mappato a security_result.action_details.
  • VIRUSNAME è stato mappato a security_result.threat_name.
  • NOOFVIRUSES è stato mappato a security_result.verdict_info.malicious_count.
  • SOURCE, DESCRIPTION, REQUESTEDACTION mappati a security_result.detection_fields.
  • CLIENT_GROUP è stato mappato a principal.group.group_display_name.
  • downloader è stato mappato a principal.process.file.full_path.

2024-10-24

Miglioramento:

  • È stato aggiunto il supporto per l'analisi dei log con logType come IPS, Network Intrusion Protection System, REP, Memory Exploit Mitigation System e NTR.

2024-10-08

Miglioramento:

  • È stato aggiunto il supporto per il nuovo formato dei log syslog.

2024-09-23

Miglioramento:

  • La mappatura di rule_name è cambiata da principal.resource.name a security_result.rule_name.
  • È stata rimossa la mappatura di principal.resource.resource_type come FIREWALL_RULE.
  • La mappatura di security_result.category è cambiata da ACL_VIOLATION a UNKNOWN_CATEGORY.

2024-09-11

Miglioramento:

  • È stato aggiunto il supporto per i log di tipo array.

2024-08-08

Miglioramento:

  • REQUESTEDACTION è stato mappato a security_result.action_details.
  • Sono stati mappati SECONDARYACTION, ACTUALACTION, VIRUSNAME e NOOFVIRUSES a security_result.detection_fields.
  • SOURCE è stato mappato a additional.fields.
  • HPP_APP_HASH è stato mappato a target.file.sha256.
  • HPP_APP_NAME è stato mappato a target.file.names.
  • FILEPATH è stato mappato a target.file.full_path.
  • CLIENT_GROUP è stato mappato a target.user.group_identifiers.

2024-06-07

Miglioramento:

  • È stato aggiunto il supporto per i log nel formato KV.

2024-05-27

Miglioramento:

  • target_file_name mappato da target.file.full_path a target.file.names.

2023-11-28

Correzione di bug:

  • Se presente, event_time viene mappato a datetime.

2023-11-08

Correzione di bug:

  • È stata rimossa la mappatura di ServerName a target.asset.hostname e mappata a intermediary.hostname.
  • Quando Actualaction è Cleaned, security_result.action è mappato a BLOCK e is_significant a false.
  • È stato aggiunto il pattern Grok per analizzare i log non analizzati con pattern diversi.
  • Sono stati mappati type, utility-sub-type, lang, service-sandbox-type, mojo-platform-channel-handle, field-trial-handle, disable-features a security_result.detection_fields.
  • target_arguments è stato mappato a read_only_udm.additional.fields.
  • user-data-dir è stato mappato a sec_result.about.file.full_path.
  • security-realm è stato mappato a security_result.summary.
  • startup-url è stato mappato a principal.url.
  • source_ip è stato mappato a target.ip.
  • action_word è stato mappato a security_result.action_details.

2023-10-12

Correzione di bug:

  • È stato aggiunto il pattern Grok per analizzare i log non analizzati con pattern diversi.

2023-04-21

Correzione di bug:

  • Sono stati modificati i nomi delle variabili intermedie nei file include.
  • security_result.rule_name mappato per gli eventi correlati a File.

2023-04-10

Miglioramento:

  • Sono stati gestiti i log eliminati con logType File Read, File Write, File Delete o Registry Write.
  • payload.domain_name è stato mappato a principal.administrative_domain.
  • È stato aggiunto il controllo null per payload.device_id e event_description.

2023-01-21

Miglioramento:

  • È stato aggiunto un controllo condizionale per targetComputerName,event_description1.
  • È stato aggiunto il controllo on_error per file_full_path,GroupName,ServerName.
  • Applicationtype è stato mappato a principal.resource.attribute.labels.
  • mail è stato mappato a target.user.email_addresses.
  • server_name_1 è stato mappato a principal.hostname.
  • Per il tipo di log SEC:
  • computer è stato mappato a principal.hostname.
  • syslogServer è stato mappato a intermediary.hostname.
  • event_description è stato mappato a metadata.description.
  • for loop aggiunto per il tipo di log SONAR,CVE,SEC.

2022-11-24

Miglioramento:

  • È stato aggiunto il pattern Grok per analizzare i log contenenti SONAR detection now allowed.

2022-11-15

Miglioramento:

  • È stato aggiunto il pattern Grok per analizzare i log con errori di tipo Virus Found e SONAR Scan.
  • È stato aggiunto un controllo condizionale per Categorytype.

2022-10-25

Miglioramento:

  • EventDescription è stato mappato a metadata.description.
  • LocalHostIP,IPAddress,source_ip mappati a principal.ip.
  • LocalHostMAC è stato mappato a principal.mac.
  • computer mappato a principal.hostname
  • guid è stato mappato a principal.asset.asset_id.
  • DeviceID è stato mappato a principal.resource.product_object_id.
  • Filesize è stato mappato a target.file.size.
  • SHA256 è stato mappato a target.file.sha256.
  • User1 è stato mappato a principal.user.userid.
  • file_path è stato mappato a target.file.full_path.
  • GroupName è stato mappato a principal.group.group_display_name.
  • action_word è stato mappato a security_result.action_details.
  • Begin è stato mappato a vulnerabilities.scan_start_time.
  • EndTime è stato mappato a vulnerabilities.scan_end_time.
  • ScanID è stato mappato a principal.process.product_specific_process_id.
  • inter_host è stato mappato a intermediary.hostname.
  • inter_ip è stato mappato a intermediary.ip.
  • ActionType è stato mappato a additional.fields.
  • Rule è stato mappato a security_result.rule_name.

2022-10-10

Miglioramento:

  • category è stato mappato a security_result.category_details.
  • CIDS Signature ID è stato mappato a target.resource.attribute.labels.
  • CIDS Signature SubID è stato mappato a target.resource.attribute.labels.
  • CIDS Signature string è stato mappato a target.resource.attribute.labels.
  • Intrusion URL è stato mappato a principal.url.
  • User Name è stato mappato a principal.user.userid.
  • Actual action è stato mappato a security_result.action_details.
  • Application hash è stato mappato a target.file.sha256.
  • Application name è stato mappato a target.application.
  • Application type è stato mappato a target.resource.attribute.labels.
  • Certificate issuer è stato mappato a network.tls.server.certificate.issuer.
  • Certificate serial number è stato mappato a network.tls.server.certificate.serial.
  • Certificate signer è stato mappato a network.tls.server.certificate.subject.
  • Certificate thumbprint è stato mappato a network.tls.server.certificate.sha256.
  • Secondary action è stato mappato a target.resource.attribute.labels.
  • First Seen è stato mappato a security_result.detection_fields.
  • Risk Name è stato mappato a security_result.detection_fields.
  • Risk Type è stato mappato a security_result.detection_fields.
  • Permitted application reason è stato mappato a security_result.detection_fields.
  • Company name è stato mappato a target.user.company_name.
  • Computer name è stato mappato a principal.hostname.
  • Server Name è stato mappato a principal.asset.network_domain.
  • Confidence è stato mappato a security_result.description.
  • Detection Type è stato mappato a security_result.summary.
  • Group Name è stato mappato a principal.group.group_display_name.
  • Risk Level è stato mappato a security_result.severity_details.
  • File size (bytes) è stato mappato a target.file.size.

2022-09-21

Miglioramento:

  • È stata eseguita la migrazione degli analizzatori sintattici personalizzati all'analizzatore sintattico predefinito.

2022-08-12

Miglioramento:

  • Pattern Grok modificato per analizzare i log.
  • Sono stati gestiti i log eliminati e sono stati mappati a tipi di evento validi.
  • I log eliminati avevano il seguente logType, che ora viene gestito: REP, SubmissionsMan, SYLINK, IPS, SONAR, SEC, CVE, LiveUpdate Manager; Messages related to definition updates, Antivirus detection submission.
  • Vengono gestite le nuove condizioni msg1 contenenti Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System.
  • event_description contenente client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully.
  • È stato aggiunto un nuovo blocco di codice per gestire il tipo di log REP,SONAR,CVE,GUP,SMC,WSS che li ha analizzati.
  • Ove possibile, il tipo di evento è stato modificato da GENERIC_EVENT in STATUS_UPDATE, USER_UNCATEGORIZED, NETWORK_CONNECTION, STATUS_UNCATEGORIZED.
  • eventDescription è stato mappato a metadata.description.
  • hostName è stato mappato a principal.hostname.
  • machineDomainName è stato mappato a principal.administrative_domain.
  • domainName è stato mappato a target.administrative_domain.
  • serverName è stato mappato a intermediary.hostname.
  • userName è stato mappato a principal.user.userid.
  • siteName è stato mappato a read_only_udm.additional.fields.

2022-07-26

Miglioramento:

  • Per i log in cui messageTmp è impostato come sito, sono stati mappati i seguenti campi:
  • eventDescription è stato mappato a metadata.description.
  • hostName è stato mappato a target.hostname.
  • machineDomainName è stato mappato a target.administrative_domain.
  • domainName è stato mappato a principal.administrative_domain.
  • serverName è stato mappato a principal.hostname.
  • userName è stato mappato a principal.user.userid.
  • siteName è stato mappato a read_only_udm.additional.fields.

2022-05-11

Miglioramento:

  • Voci di log del timestamp dell'evento analizzate con il formato yyyy-MM-dd HH:mm:ss.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.