Symantec Endpoint Protection のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Symantec Endpoint Protection のログを Google Security Operations に取り込む方法について説明します。パーサーは、SYSLOG 形式または KV 形式でログを処理し、まずログデータ内のさまざまな形式からタイムスタンプを抽出します。次に、別の構成ファイル(sep_pt2.include)を使用してログイベントの詳細な解析と構造化を行い、最初のタイムスタンプの抽出が成功した場合にのみ処理が成功するようにします。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Symantec Endpoint Protection プラットフォームに対する特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: `0.0.0.0:514`
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'CES'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent
    
  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Symantec Endpoint Protection で Syslog を構成する

  1. Symantec Endpoint Protection Manager のウェブ UI にログインします。
  2. [管理] アイコンをクリックします。
  3. [View Servers] セクションを見つけて、[Servers] をクリックします。
  4. [ローカルサイト] > [外部ロギングの構成] をクリックします。
  5. [Enable Transmission of Logs to a Syslog Server] チェックボックスをオンにします。
  6. 次の構成情報を提供してください。
    • Syslog サーバー: Bindplane の IP アドレスを入力します。
    • UDP 宛先ポート: Bindplane ポート番号を入力します(UDP の場合は 514 など)。
    • Log Facility: [Local6] と入力します。
    • [Audit Logs] チェックボックスをオンにします。
    • [セキュリティ ログ] チェックボックスをオンにします。
    • [リスク] チェックボックスをオンにします。
  7. [OK] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
アクション security_result.action この値は、未加工ログの Action フィールドから取得され、UDM アクションにマッピングされます。
アクションの種類 security_result.action_details この値は、未加工ログの Action Type フィールドから取得されます。
管理者
許可された申請理由 security_result.action_details この値は、未加工ログの Allowed application reason フィールドから取得されます。
アプリケーション principal.process.command_line この値は、未加工ログの Application フィールドから取得されます。
アプリケーション ハッシュ target.file.sha256 この値は、未加工ログの Application hash フィールドから取得されます。
アプリケーション名 target.application この値は、未加工ログの Application name フィールドから取得されます。
アプリケーションの種類 target.resource.attribute.labels.value この値は、未加工ログの Application type フィールドから取得されます。キーは Application Type にハードコードされています。
アプリケーションのバージョン target.application.version この値は、未加工ログの Application version フィールドから取得されます。
開始
開始時間 extensions.vulns.vulnerabilities.scan_start_time この値は、未加工ログの Begin Time フィールドから取得されます。
開始: extensions.vulns.vulnerabilities.scan_start_time この値は、未加工ログの Begin: フィールドから取得されます。
カテゴリ principal.resource.attribute.labels.value この値は、未加工ログの Category フィールドから取得されます。キーは Category にハードコードされています。
カテゴリセット security_result.category この値は、未加工ログの Category set フィールドから取得され、UDM カテゴリにマッピングされます。
カテゴリタイプ security_result.category_details この値は、未加工ログの Category type フィールドから取得されます。
CIDS 署名 ID
CIDS シグネチャ文字列 security_result.summary この値は、未加工ログの CIDS Signature string フィールドから取得されます。
CIDS 署名サブ ID
クライアント ポリシー
コマンド
パソコン target.hostname この値は、未加工ログの Computer フィールドから取得されます。
コンピュータ名 principal.hostname この値は、未加工ログの Computer name フィールドから取得されます。
信頼度 security_result.confidence_details この値は、未加工ログの Confidence フィールドから取得されます。
データ
説明 security_result.action_details この値は、未加工ログの Description フィールドから取得されます。
説明: security_result.action_details この値は、未加工ログの Description: フィールドから取得されます。
検出スコア
検出の送信なし
検出タイプ security_result.summary この値は、未加工ログの Detection type フィールドから取得されます。
デバイス ID target.asset.hostname この値は、未加工ログの Device ID フィールドから取得されます。
処理 security_result.action この値は、未加工ログの Disposition フィールドから取得され、UDM アクションにマッピングされます。
ドメイン principal.administrative_domain この値は、未加工ログの Domain フィールドから取得されます。
ドメイン名 principal.administrative_domain この値は、未加工ログの Domain Name フィールドから取得されます。
Domain Name: principal.administrative_domain この値は、未加工ログの Domain Name: フィールドから取得されます。
ダウンロードしたユーザー principal.process.file.full_path この値は、未加工ログの Downloaded by フィールドから取得されます。
ダウンロード サイト
期間(秒) extensions.vulns.vulnerabilities.scan_end_time この値は、未加工ログの Duration (seconds) フィールドから取得され、スキャン開始時間に追加されます。
終了
終了時刻 extensions.vulns.vulnerabilities.scan_end_time この値は、未加工ログの End Time フィールドから取得されます。
終了時間: extensions.vulns.vulnerabilities.scan_end_time この値は、未加工ログの End Time: フィールドから取得されます。
終了: extensions.vulns.vulnerabilities.scan_end_time この値は、未加工ログの End: フィールドから取得されます。
イベントの説明 metadata.description この値は、未加工ログの Event Description フィールドから取得されます。
イベントの説明: metadata.description この値は、未加工ログの Event Description: フィールドから取得されます。
イベントの挿入時間
イベント時間 metadata.event_timestamp この値は、未加工ログの Event time フィールドから取得されます。
イベントの時間: metadata.event_timestamp この値は、未加工ログの Event time: フィールドから取得されます。
イベントタイプ metadata.product_event_type この値は、未加工ログの Event Type フィールドから取得されます。
イベント タイプ: metadata.product_event_type この値は、未加工ログの Event Type: フィールドから取得されます。
ファイルパス target.file.full_path この値は、未加工ログの File path フィールドから取得されます。
ファイルパス: target.file.full_path この値は、未加工ログの File path: フィールドから取得されます。
ファイルサイズ(バイト) target.file.size この値は、未加工ログの File size (bytes) フィールドから取得されます。
初回検知 security_result.action_details この値は、未加工ログの First Seen フィールドから取得されます。
初回検知: security_result.action_details この値は、未加工ログの First Seen: フィールドから取得されます。
グループ principal.group.group_display_name この値は、未加工ログの Group フィールドから取得されます。
グループ名 principal.group.group_display_name この値は、未加工ログの Group Name フィールドから取得されます。
グループ名: principal.group.group_display_name この値は、未加工ログの Group Name: フィールドから取得されます。
ハッシュタイプ target.resource.attribute.labels.value この値は、未加工ログの Hash type フィールドから取得されます。キーは Hash Type にハードコードされています。
集中保護レベル
侵入 ID
侵入ペイロードの URL
侵入 URL
IP アドレス principal.ip この値は、未加工ログの IP Address フィールドから取得されます。
IP アドレス: principal.ip この値は、未加工ログの IP Address: フィールドから取得されます。
最終更新時刻
ローカルホスト principal.ip この値は、未加工ログの Local Host フィールドから取得されます。
ローカルホストの IP principal.ip この値は、未加工ログの Local Host IP フィールドから取得されます。
ローカルホストの MAC principal.mac この値は、未加工ログの Local Host MAC フィールドから取得されます。
ローカルポート principal.port この値は、未加工ログの Local Port フィールドから取得されます。
場所
MD-5
発生回数 security_result.about.resource.attribute.labels.value この値は、未加工ログの Occurrences フィールドから取得されます。キーは Occurrences にハードコードされています。
許可される申請理由 security_result.action_details この値は、未加工ログの Permitted application reason フィールドから取得されます。
普及率 security_result.description この値は、未加工ログの Prevalence フィールドから取得されます。
リモートパス target.file.full_path この値は、未加工ログの Remote file path フィールドから取得されます。
リモートホストの IP target.ip この値は、未加工ログの Remote Host IP フィールドから取得されます。
リモートホストの MAC target.mac この値は、未加工ログの Remote Host MAC フィールドから取得されます。
リモート ホスト名 target.hostname この値は、未加工ログの Remote Host Name フィールドから取得されます。
リモートポート target.port この値は、未加工ログの Remote Port フィールドから取得されます。
リクエストされた対応 security_result.action この値は、未加工ログの Requested action フィールドから取得され、UDM アクションにマッピングされます。
リスクレベル security_result.severity この値は、未加工ログの Risk Level フィールドから取得され、UDM の重大度にマッピングされます。
リスク名 security_result.threat_name この値は、未加工ログの Risk name フィールドから取得されます。
リスクの種類 security_result.detection_fields.value この値は、未加工ログの Risk type フィールドから取得されます。キーは Risk Type にハードコードされています。
ルール principal.resource.name この値は、未加工ログの Rule フィールドから取得されます。
ルール: principal.resource.name この値は、未加工ログの Rule: フィールドから取得されます。
スキャン ID extensions.vulns.vulnerabilities.name この値は、未加工ログの Scan ID フィールドから取得されます。
スキャン ID: extensions.vulns.vulnerabilities.name この値は、未加工ログの Scan ID: フィールドから取得されます。
Scan Type
サブアクション target.resource.attribute.labels.value この値は、未加工ログの Secondary action フィールドから取得されます。キーは Secondary action にハードコードされています。
セキュリティ リスクが検出されました metadata.description この値は、未加工ログの Security risk found フィールドから取得されます。
サーバー intermediary.hostname この値は、未加工ログの Server フィールドから取得されます。
サーバー名 intermediary.hostname この値は、未加工ログの Server Name フィールドから取得されます。
サーバー名: intermediary.hostname この値は、未加工ログの Server Name: フィールドから取得されます。
SHA-256 principal.process.file.sha256 この値は、未加工ログの SHA-256 フィールドから取得されます。
サイト additional.fields.value.string_value この値は、未加工ログの Site フィールドから取得されます。キーは Site Name にハードコードされています。
サイト名 additional.fields.value.string_value この値は、未加工ログの Site Name フィールドから取得されます。キーは Site Name にハードコードされています。
サイト: additional.fields.value.string_value この値は、未加工ログの Site: フィールドから取得されます。キーは Site Name にハードコードされています。
ソース metadata.product_event_type この値は、未加工ログの Source フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。
移行元のパソコン
移行元のパソコン:
ソース IP
送信元 IP:
出典: metadata.product_event_type この値は、未加工ログの Source: フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。
ts metadata.event_timestamp この値は、未加工ログの ts フィールドから取得されます。
URL トラッキング ステータス
ユーザー principal.user.userid この値は、未加工ログの User フィールドから取得されます。
ユーザー名 principal.user.userid この値は、未加工ログの User Name フィールドから取得されます。
ユーザー名: principal.user.userid この値は、未加工ログの User Name: フィールドから取得されます。
ウェブドメイン
metadata.description 未加工ログに文字列 The client has downloaded が含まれている場合、説明は The client has downloaded {target file name} に設定されます。未加工ログに文字列 The management server received が含まれている場合、説明は The management server received the client log successfully に設定されます。それ以外の場合、説明は未加工ログの Event Description フィールドの値に設定されます。
metadata.event_type イベントタイプは、未加工ログの内容に基づいてパーサー ロジックによって決定されます。
metadata.log_type ログタイプは SEP にハードコードされています。
metadata.product_name プロダクト名は SEP にハードコードされています。
metadata.vendor_name ベンダー名は Symantec にハードコードされています。

変更点

2025-01-09

機能強化:

  • Actual action の値が Left alone の場合、security_result.action のマッピングを BLOCK から UNKNOWN_ACTION に変更しました。
  • computer のマッピングを intermediary.hostname から principal.hostnameprincipal.asset.hostname に変更しました。
  • syslogServer のマッピングを principal.hostname から intermediary.hostname に変更しました。

2024-12-12

機能強化:

  • 新しい形式の syslog ログを解析するための Grok パターンを追加しました。
  • anvpap-srv1intermediary.hostname にマッピングしました。
  • SymantecServerprincipal.hostname にマッピングしました。
  • Remote Host Nametarget.hostname にマッピングしました。
  • Remote Porttarget.port にマッピングしました。
  • Remote Host IPtarget.ip にマッピングしました。
  • Local Portprincipal.port にマッピングしました。
  • Remote Host MACprincipal.mac にマッピングしました。
  • ICMPnetwork.ip_protocol にマッピングしました。
  • Inboundnetwork.direction にマッピングしました。
  • Applicationprincipal.process.file.full_path にマッピングしました。
  • Rulesecurity_result.rule_name にマッピングしました。
  • Actionsecurity_result.action にマッピングしました。
  • SHA-256principal.process.file.sha256 にマッピングしました。

2024-11-21

機能強化:

  • 新しいログパターンを解析するために gsub を追加しました。
  • フィールドを解析するための Grok パターンを event_description に追加しました。
  • Fileprincipal.process.file.full_path にマッピングしました。
  • Sizeprincipal.process.file.size にマッピングしました。

2024-11-07

機能強化:

  • SITE_NAMESOURCEadditional.fields にマッピングしました。
  • SOURCEsecurity_result.description にマッピングしました。

2024-10-25

機能強化:

  • SCAN_IDCATEGORY_DESCCLIENT_TYPEDETECTION_TYPEHELP_VIRUS_IDXHPP_APP_TYPEIDXLAST_LOG_SESSION_GUIDSITE_TYPEUUIDVBIN_IDVIRUS_TYPEadditional.fields にマッピングしました。
  • USER_DOMAIN_NAMEtarget.administrative_domain にマッピングしました。
  • COMPUTER_DOMAIN_NAMEprincipal.administrative_domain にマッピングしました。
  • IP_ADDR1src.ip にマッピングしました。
  • SOURCE_COMPUTER_NAMEsrc.asset.hostnamesrc.hostname にマッピングしました。
  • COMPUTER_NAMEprincipal.asset.hostnameprincipal.hostname にマッピングしました。
  • OPERATION_SYSTEMprincipal.asset.platform_software.platform にマッピングしました。
  • SERVICE_PACKprincipal.asset.platform_software.platform_version にマッピングしました。
  • SOURCE_COMPUTER_IPprincipal.ipprincipal.asset.ip にマッピングしました。
  • ALERTmetadata.product_event_type にマッピングしました。
  • USER_NAMEprincipal.user.userid にマッピングしました。
  • BIOS_SERIALNUMBERprincipal.asset.hardware.serial_number にマッピングしました。
  • ACTUALACTIONsecurity_result.action_details にマッピングしました。
  • VIRUSNAMEsecurity_result.threat_name にマッピングしました。
  • NOOFVIRUSESsecurity_result.verdict_info.malicious_count にマッピングしました。
  • SOURCEDESCRIPTIONREQUESTEDACTIONsecurity_result.detection_fields にマッピングしました。
  • CLIENT_GROUPprincipal.group.group_display_name にマッピングしました。
  • downloaderprincipal.process.file.full_path にマッピングしました。

2024-10-24

機能強化:

  • logTypeIPSNetwork Intrusion Protection SystemREPMemory Exploit Mitigation SystemNTR としてログを解析するサポートを追加しました。

2024-10-08

機能強化:

  • 新しい形式の Syslog ログのサポートを追加しました。

2024-09-23

機能強化:

  • rule_name のマッピングを principal.resource.name から security_result.rule_name に変更しました。
  • principal.resource.resource_typeFIREWALL_RULE としてマッピングから削除しました。
  • security_result.category のマッピングを ACL_VIOLATION から UNKNOWN_CATEGORY に変更しました。

2024-09-11

機能強化:

  • 配列タイプのログのサポートを追加しました。

2024-08-08

機能強化:

  • REQUESTEDACTIONsecurity_result.action_details にマッピングしました。
  • SECONDARYACTIONACTUALACTIONVIRUSNAMENOOFVIRUSESsecurity_result.detection_fields にマッピングしました。
  • SOURCEadditional.fields にマッピングしました。
  • HPP_APP_HASHtarget.file.sha256 にマッピングしました。
  • HPP_APP_NAMEtarget.file.names にマッピングしました。
  • FILEPATHtarget.file.full_path にマッピングしました。
  • CLIENT_GROUPtarget.user.group_identifiers にマッピングしました。

2024-06-07

機能強化:

  • KV 形式のログのサポートを追加しました。

2024-05-27

機能強化:

  • target_file_nametarget.file.full_path から target.file.names にマッピングしました。

2023-11-28

バグの修正:

  • event_time が存在する場合、同じ値を datetime にマッピングしました。

2023-11-08

バグの修正:

  • ServerName から target.asset.hostname へのマッピングを削除し、intermediary.hostname にマッピングしました。
  • ActualactionCleaned の場合、security_result.actionBLOCK に、is_significantfalse にマッピングしました。
  • さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。
  • typeutility-sub-typelangservice-sandbox-typemojo-platform-channel-handlefield-trial-handledisable-featuressecurity_result.detection_fields にマッピングしました。
  • target_argumentsread_only_udm.additional.fields にマッピングしました。
  • user-data-dirsec_result.about.file.full_path にマッピングしました。
  • security-realmsecurity_result.summary にマッピングしました。
  • startup-urlprincipal.url にマッピングしました。
  • source_iptarget.ip にマッピングしました。
  • action_wordsecurity_result.action_details にマッピングしました。

2023-10-12

バグの修正:

  • さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。

2023-04-21

バグの修正:

  • インクルード ファイルの中間変数名を変更しました。
  • File 関連イベントの security_result.rule_name をマッピングしました。

2023-04-10

機能強化:

  • logType が File ReadFile WriteFile Delete、または Registry Write のドロップされたログを処理しました。
  • payload.domain_nameprincipal.administrative_domain にマッピングしました。
  • payload.device_idevent_description の null チェックを追加しました。

2023-01-21

機能強化:

  • targetComputerNameevent_description1 の条件付きチェックを追加しました。
  • file_full_pathGroupNameServerName の on_error チェックを追加しました。
  • Applicationtypeprincipal.resource.attribute.labels にマッピングしました。
  • mailtarget.user.email_addresses にマッピングしました。
  • server_name_1principal.hostname にマッピングしました。
  • logtype SEC の場合:
  • computerprincipal.hostname にマッピングしました。
  • syslogServerintermediary.hostname にマッピングしました。
  • event_descriptionmetadata.description にマッピングしました。
  • ログタイプ SONARCVESECfor loop を追加しました。

2022-11-24

機能強化:

  • SONAR detection now allowed を含むログを解析するための Grok パターンを追加しました。

2022-11-15

機能強化:

  • Virus Found 型と SONAR Scan 型の失敗したログを解析するための Grok パターンを追加しました。
  • Categorytype の条件付きチェックを追加しました。

2022-10-25

機能強化:

  • EventDescriptionmetadata.description にマッピングしました。
  • LocalHostIPIPAddresssource_ipprincipal.ip にマッピングしました。
  • LocalHostMACprincipal.mac にマッピングしました。
  • computerprincipal.hostname にマッピングしました
  • guidprincipal.asset.asset_id にマッピングしました。
  • DeviceIDprincipal.resource.product_object_id にマッピングしました。
  • Filesizetarget.file.size にマッピングしました。
  • SHA256target.file.sha256 にマッピングしました。
  • User1principal.user.userid にマッピングしました。
  • file_pathtarget.file.full_path にマッピングしました。
  • GroupNameprincipal.group.group_display_name にマッピングしました。
  • action_wordsecurity_result.action_details にマッピングしました。
  • Beginvulnerabilities.scan_start_time にマッピングしました。
  • EndTimevulnerabilities.scan_end_time にマッピングしました。
  • ScanIDprincipal.process.product_specific_process_id にマッピングしました。
  • inter_hostintermediary.hostname にマッピングしました。
  • inter_ipintermediary.ip にマッピングしました。
  • ActionTypeadditional.fields にマッピングしました。
  • Rulesecurity_result.rule_name にマッピングしました。

2022-10-10

機能強化:

  • categorysecurity_result.category_details にマッピングしました。
  • CIDS Signature IDtarget.resource.attribute.labels にマッピングしました。
  • CIDS Signature SubIDtarget.resource.attribute.labels にマッピングしました。
  • CIDS Signature stringtarget.resource.attribute.labels にマッピングしました。
  • Intrusion URLprincipal.url にマッピングしました。
  • User Nameprincipal.user.userid にマッピングしました。
  • Actual actionsecurity_result.action_details にマッピングしました。
  • Application hashtarget.file.sha256 にマッピングしました。
  • Application nametarget.application にマッピングしました。
  • Application typetarget.resource.attribute.labels にマッピングしました。
  • Certificate issuernetwork.tls.server.certificate.issuer にマッピングしました。
  • Certificate serial numbernetwork.tls.server.certificate.serial にマッピングしました。
  • Certificate signernetwork.tls.server.certificate.subject にマッピングしました。
  • Certificate thumbprintnetwork.tls.server.certificate.sha256 にマッピングしました。
  • Secondary actiontarget.resource.attribute.labels にマッピングしました。
  • First Seensecurity_result.detection_fields にマッピングしました。
  • Risk Namesecurity_result.detection_fields にマッピングしました。
  • Risk Typesecurity_result.detection_fields にマッピングしました。
  • Permitted application reasonsecurity_result.detection_fields にマッピングしました。
  • Company nametarget.user.company_name にマッピングしました。
  • Computer nameprincipal.hostname にマッピングしました。
  • Server Nameprincipal.asset.network_domain にマッピングしました。
  • Confidencesecurity_result.description にマッピングしました。
  • Detection Typesecurity_result.summary にマッピングしました。
  • Group Nameprincipal.group.group_display_name にマッピングしました。
  • Risk Levelsecurity_result.severity_details にマッピングしました。
  • File size (bytes)target.file.size にマッピングしました。

2022-09-21

機能強化:

  • カスタム パーサーをデフォルトのパーサーに移行しました。

2022-08-12

機能強化:

  • ログを解析するように Grok パターンを変更しました。
  • 廃棄されたログを処理し、有効な event_types にマッピングしました。
  • 破棄されたログの logType は、REPSubmissionsManSYLINKIPSSONARSECCVELiveUpdate Manager; Messages related to definition updatesAntivirus detection submission でした。これらの logType は現在処理されています。
  • Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System を含む新しい条件 msg1 が処理されます。
  • client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully を含む event_description。
  • logType REP、SONAR、CVE、GUP、Smc、WSS を処理する新しいコードブロックを追加し、解析できるようにしました。
  • イベントタイプを GENERIC_EVENT から STATUS_UPDATEUSER_UNCATEGORIZEDNETWORK_CONNECTIONSTATUS_UNCATEGORIZED に可能な限り変更しました。
  • eventDescriptionmetadata.description にマッピングしました。
  • hostNameprincipal.hostname にマッピングしました。
  • machineDomainNameprincipal.administrative_domain にマッピングしました。
  • domainNametarget.administrative_domain にマッピングしました。
  • serverNameintermediary.hostname にマッピングしました。
  • userNameprincipal.user.userid にマッピングしました。
  • siteNameread_only_udm.additional.fields にマッピングしました。

2022-07-26

機能強化:

  • サイトとして messageTmp があるログの場合、次のフィールドをマッピングしました。
  • eventDescriptionmetadata.description にマッピングしました。
  • hostNametarget.hostname にマッピングしました。
  • machineDomainNametarget.administrative_domain にマッピングしました。
  • domainNameprincipal.administrative_domain にマッピングしました。
  • serverNameprincipal.hostname にマッピングしました。
  • userNameprincipal.user.userid にマッピングしました。
  • siteNameread_only_udm.additional.fields にマッピングしました。

2022-05-11

機能強化:

  • yyyy-MM-dd HH:mm:ss 形式の解析されたイベント タイムスタンプ ログエントリ。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。