Symantec Endpoint Protection のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Symantec Endpoint Protection のログを Google Security Operations に取り込む方法について説明します。パーサーは、SYSLOG 形式または KV 形式でログを処理し、まずログデータ内のさまざまな形式からタイムスタンプを抽出します。次に、別の構成ファイル(sep_pt2.include)を使用してログイベントの詳細な解析と構造化を行い、最初のタイムスタンプの抽出が成功した場合にのみ処理が成功するようにします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Windows 2016 以降、または systemd を使用する Linux ホスト
- プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Symantec Endpoint Protection プラットフォームに対する特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Symantec Endpoint Protection で Syslog を構成する
- Symantec Endpoint Protection Manager のウェブ UI にログインします。
- [管理] アイコンをクリックします。
- [View Servers] セクションを見つけて、[Servers] をクリックします。
- [ローカルサイト] > [外部ロギングの構成] をクリックします。
- [Enable Transmission of Logs to a Syslog Server] チェックボックスをオンにします。
- 次の構成情報を提供してください。
- Syslog サーバー: Bindplane の IP アドレスを入力します。
- UDP 宛先ポート: Bindplane ポート番号を入力します(UDP の場合は
514など)。 - Log Facility: [Local6] と入力します。
- [Audit Logs] チェックボックスをオンにします。
- [セキュリティ ログ] チェックボックスをオンにします。
- [リスク] チェックボックスをオンにします。
- [OK] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | security_result.action | この値は、未加工ログの Action フィールドから取得され、UDM アクションにマッピングされます。 |
| アクションの種類 | security_result.action_details | この値は、未加工ログの Action Type フィールドから取得されます。 |
| 管理者 | ||
| 許可された申請理由 | security_result.action_details | この値は、未加工ログの Allowed application reason フィールドから取得されます。 |
| アプリケーション | principal.process.command_line | この値は、未加工ログの Application フィールドから取得されます。 |
| アプリケーション ハッシュ | target.file.sha256 | この値は、未加工ログの Application hash フィールドから取得されます。 |
| アプリケーション名 | target.application | この値は、未加工ログの Application name フィールドから取得されます。 |
| アプリケーションの種類 | target.resource.attribute.labels.value | この値は、未加工ログの Application type フィールドから取得されます。キーは Application Type にハードコードされています。 |
| アプリケーションのバージョン | target.application.version | この値は、未加工ログの Application version フィールドから取得されます。 |
| 開始 | ||
| 開始時間 | extensions.vulns.vulnerabilities.scan_start_time | この値は、未加工ログの Begin Time フィールドから取得されます。 |
| 開始: | extensions.vulns.vulnerabilities.scan_start_time | この値は、未加工ログの Begin: フィールドから取得されます。 |
| カテゴリ | principal.resource.attribute.labels.value | この値は、未加工ログの Category フィールドから取得されます。キーは Category にハードコードされています。 |
| カテゴリセット | security_result.category | この値は、未加工ログの Category set フィールドから取得され、UDM カテゴリにマッピングされます。 |
| カテゴリタイプ | security_result.category_details | この値は、未加工ログの Category type フィールドから取得されます。 |
| CIDS 署名 ID | ||
| CIDS シグネチャ文字列 | security_result.summary | この値は、未加工ログの CIDS Signature string フィールドから取得されます。 |
| CIDS 署名サブ ID | ||
| クライアント ポリシー | ||
| コマンド | ||
| パソコン | target.hostname | この値は、未加工ログの Computer フィールドから取得されます。 |
| コンピュータ名 | principal.hostname | この値は、未加工ログの Computer name フィールドから取得されます。 |
| 信頼度 | security_result.confidence_details | この値は、未加工ログの Confidence フィールドから取得されます。 |
| データ | ||
| 説明 | security_result.action_details | この値は、未加工ログの Description フィールドから取得されます。 |
| 説明: | security_result.action_details | この値は、未加工ログの Description: フィールドから取得されます。 |
| 検出スコア | ||
| 検出の送信なし | ||
| 検出タイプ | security_result.summary | この値は、未加工ログの Detection type フィールドから取得されます。 |
| デバイス ID | target.asset.hostname | この値は、未加工ログの Device ID フィールドから取得されます。 |
| 処理 | security_result.action | この値は、未加工ログの Disposition フィールドから取得され、UDM アクションにマッピングされます。 |
| ドメイン | principal.administrative_domain | この値は、未加工ログの Domain フィールドから取得されます。 |
| ドメイン名 | principal.administrative_domain | この値は、未加工ログの Domain Name フィールドから取得されます。 |
| Domain Name: | principal.administrative_domain | この値は、未加工ログの Domain Name: フィールドから取得されます。 |
| ダウンロードしたユーザー | principal.process.file.full_path | この値は、未加工ログの Downloaded by フィールドから取得されます。 |
| ダウンロード サイト | ||
| 期間(秒) | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの Duration (seconds) フィールドから取得され、スキャン開始時間に追加されます。 |
| 終了 | ||
| 終了時刻 | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End Time フィールドから取得されます。 |
| 終了時間: | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End Time: フィールドから取得されます。 |
| 終了: | extensions.vulns.vulnerabilities.scan_end_time | この値は、未加工ログの End: フィールドから取得されます。 |
| イベントの説明 | metadata.description | この値は、未加工ログの Event Description フィールドから取得されます。 |
| イベントの説明: | metadata.description | この値は、未加工ログの Event Description: フィールドから取得されます。 |
| イベントの挿入時間 | ||
| イベント時間 | metadata.event_timestamp | この値は、未加工ログの Event time フィールドから取得されます。 |
| イベントの時間: | metadata.event_timestamp | この値は、未加工ログの Event time: フィールドから取得されます。 |
| イベントタイプ | metadata.product_event_type | この値は、未加工ログの Event Type フィールドから取得されます。 |
| イベント タイプ: | metadata.product_event_type | この値は、未加工ログの Event Type: フィールドから取得されます。 |
| ファイルパス | target.file.full_path | この値は、未加工ログの File path フィールドから取得されます。 |
| ファイルパス: | target.file.full_path | この値は、未加工ログの File path: フィールドから取得されます。 |
| ファイルサイズ(バイト) | target.file.size | この値は、未加工ログの File size (bytes) フィールドから取得されます。 |
| 初回検知 | security_result.action_details | この値は、未加工ログの First Seen フィールドから取得されます。 |
| 初回検知: | security_result.action_details | この値は、未加工ログの First Seen: フィールドから取得されます。 |
| グループ | principal.group.group_display_name | この値は、未加工ログの Group フィールドから取得されます。 |
| グループ名 | principal.group.group_display_name | この値は、未加工ログの Group Name フィールドから取得されます。 |
| グループ名: | principal.group.group_display_name | この値は、未加工ログの Group Name: フィールドから取得されます。 |
| ハッシュタイプ | target.resource.attribute.labels.value | この値は、未加工ログの Hash type フィールドから取得されます。キーは Hash Type にハードコードされています。 |
| 集中保護レベル | ||
| 侵入 ID | ||
| 侵入ペイロードの URL | ||
| 侵入 URL | ||
| IP アドレス | principal.ip | この値は、未加工ログの IP Address フィールドから取得されます。 |
| IP アドレス: | principal.ip | この値は、未加工ログの IP Address: フィールドから取得されます。 |
| 最終更新時刻 | ||
| ローカルホスト | principal.ip | この値は、未加工ログの Local Host フィールドから取得されます。 |
| ローカルホストの IP | principal.ip | この値は、未加工ログの Local Host IP フィールドから取得されます。 |
| ローカルホストの MAC | principal.mac | この値は、未加工ログの Local Host MAC フィールドから取得されます。 |
| ローカルポート | principal.port | この値は、未加工ログの Local Port フィールドから取得されます。 |
| 場所 | ||
| MD-5 | ||
| 発生回数 | security_result.about.resource.attribute.labels.value | この値は、未加工ログの Occurrences フィールドから取得されます。キーは Occurrences にハードコードされています。 |
| 許可される申請理由 | security_result.action_details | この値は、未加工ログの Permitted application reason フィールドから取得されます。 |
| 普及率 | security_result.description | この値は、未加工ログの Prevalence フィールドから取得されます。 |
| リモートパス | target.file.full_path | この値は、未加工ログの Remote file path フィールドから取得されます。 |
| リモートホストの IP | target.ip | この値は、未加工ログの Remote Host IP フィールドから取得されます。 |
| リモートホストの MAC | target.mac | この値は、未加工ログの Remote Host MAC フィールドから取得されます。 |
| リモート ホスト名 | target.hostname | この値は、未加工ログの Remote Host Name フィールドから取得されます。 |
| リモートポート | target.port | この値は、未加工ログの Remote Port フィールドから取得されます。 |
| リクエストされた対応 | security_result.action | この値は、未加工ログの Requested action フィールドから取得され、UDM アクションにマッピングされます。 |
| リスクレベル | security_result.severity | この値は、未加工ログの Risk Level フィールドから取得され、UDM の重大度にマッピングされます。 |
| リスク名 | security_result.threat_name | この値は、未加工ログの Risk name フィールドから取得されます。 |
| リスクの種類 | security_result.detection_fields.value | この値は、未加工ログの Risk type フィールドから取得されます。キーは Risk Type にハードコードされています。 |
| ルール | principal.resource.name | この値は、未加工ログの Rule フィールドから取得されます。 |
| ルール: | principal.resource.name | この値は、未加工ログの Rule: フィールドから取得されます。 |
| スキャン ID | extensions.vulns.vulnerabilities.name | この値は、未加工ログの Scan ID フィールドから取得されます。 |
| スキャン ID: | extensions.vulns.vulnerabilities.name | この値は、未加工ログの Scan ID: フィールドから取得されます。 |
| Scan Type | ||
| サブアクション | target.resource.attribute.labels.value | この値は、未加工ログの Secondary action フィールドから取得されます。キーは Secondary action にハードコードされています。 |
| セキュリティ リスクが検出されました | metadata.description | この値は、未加工ログの Security risk found フィールドから取得されます。 |
| サーバー | intermediary.hostname | この値は、未加工ログの Server フィールドから取得されます。 |
| サーバー名 | intermediary.hostname | この値は、未加工ログの Server Name フィールドから取得されます。 |
| サーバー名: | intermediary.hostname | この値は、未加工ログの Server Name: フィールドから取得されます。 |
| SHA-256 | principal.process.file.sha256 | この値は、未加工ログの SHA-256 フィールドから取得されます。 |
| サイト | additional.fields.value.string_value | この値は、未加工ログの Site フィールドから取得されます。キーは Site Name にハードコードされています。 |
| サイト名 | additional.fields.value.string_value | この値は、未加工ログの Site Name フィールドから取得されます。キーは Site Name にハードコードされています。 |
| サイト: | additional.fields.value.string_value | この値は、未加工ログの Site: フィールドから取得されます。キーは Site Name にハードコードされています。 |
| ソース | metadata.product_event_type | この値は、未加工ログの Source フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。 |
| 移行元のパソコン | ||
| 移行元のパソコン: | ||
| ソース IP | ||
| 送信元 IP: | ||
| 出典: | metadata.product_event_type | この値は、未加工ログの Source: フィールドから取得され、ハードコードされた文字列 Security risk found - に追加されます。 |
| ts | metadata.event_timestamp | この値は、未加工ログの ts フィールドから取得されます。 |
| URL トラッキング ステータス | ||
| ユーザー | principal.user.userid | この値は、未加工ログの User フィールドから取得されます。 |
| ユーザー名 | principal.user.userid | この値は、未加工ログの User Name フィールドから取得されます。 |
| ユーザー名: | principal.user.userid | この値は、未加工ログの User Name: フィールドから取得されます。 |
| ウェブドメイン | ||
| metadata.description | 未加工ログに文字列 The client has downloaded が含まれている場合、説明は The client has downloaded {target file name} に設定されます。未加工ログに文字列 The management server received が含まれている場合、説明は The management server received the client log successfully に設定されます。それ以外の場合、説明は未加工ログの Event Description フィールドの値に設定されます。 |
|
| metadata.event_type | イベントタイプは、未加工ログの内容に基づいてパーサー ロジックによって決定されます。 | |
| metadata.log_type | ログタイプは SEP にハードコードされています。 |
|
| metadata.product_name | プロダクト名は SEP にハードコードされています。 |
|
| metadata.vendor_name | ベンダー名は Symantec にハードコードされています。 |
変更点
2025-01-09
機能強化:
Actual actionの値がLeft aloneの場合、security_result.actionのマッピングをBLOCKからUNKNOWN_ACTIONに変更しました。computerのマッピングをintermediary.hostnameからprincipal.hostnameとprincipal.asset.hostnameに変更しました。syslogServerのマッピングをprincipal.hostnameからintermediary.hostnameに変更しました。
2024-12-12
機能強化:
- 新しい形式の syslog ログを解析するための Grok パターンを追加しました。
anvpap-srv1をintermediary.hostnameにマッピングしました。SymantecServerをprincipal.hostnameにマッピングしました。Remote Host Nameをtarget.hostnameにマッピングしました。Remote Portをtarget.portにマッピングしました。Remote Host IPをtarget.ipにマッピングしました。Local Portをprincipal.portにマッピングしました。Remote Host MACをprincipal.macにマッピングしました。ICMPをnetwork.ip_protocolにマッピングしました。Inboundをnetwork.directionにマッピングしました。Applicationをprincipal.process.file.full_pathにマッピングしました。Ruleをsecurity_result.rule_nameにマッピングしました。Actionをsecurity_result.actionにマッピングしました。SHA-256をprincipal.process.file.sha256にマッピングしました。
2024-11-21
機能強化:
- 新しいログパターンを解析するために
gsubを追加しました。 - フィールドを解析するための Grok パターンを
event_descriptionに追加しました。 Fileをprincipal.process.file.full_pathにマッピングしました。Sizeをprincipal.process.file.sizeにマッピングしました。
2024-11-07
機能強化:
SITE_NAMEとSOURCEをadditional.fieldsにマッピングしました。SOURCEをsecurity_result.descriptionにマッピングしました。
2024-10-25
機能強化:
SCAN_ID、CATEGORY_DESC、CLIENT_TYPE、DETECTION_TYPE、HELP_VIRUS_IDX、HPP_APP_TYPE、IDX、LAST_LOG_SESSION_GUID、SITE_TYPE、UUID、VBIN_ID、VIRUS_TYPEをadditional.fieldsにマッピングしました。USER_DOMAIN_NAMEをtarget.administrative_domainにマッピングしました。COMPUTER_DOMAIN_NAMEをprincipal.administrative_domainにマッピングしました。IP_ADDR1をsrc.ipにマッピングしました。SOURCE_COMPUTER_NAMEをsrc.asset.hostnameとsrc.hostnameにマッピングしました。COMPUTER_NAMEをprincipal.asset.hostnameとprincipal.hostnameにマッピングしました。OPERATION_SYSTEMをprincipal.asset.platform_software.platformにマッピングしました。SERVICE_PACKをprincipal.asset.platform_software.platform_versionにマッピングしました。SOURCE_COMPUTER_IPをprincipal.ipとprincipal.asset.ipにマッピングしました。ALERTをmetadata.product_event_typeにマッピングしました。USER_NAMEをprincipal.user.useridにマッピングしました。BIOS_SERIALNUMBERをprincipal.asset.hardware.serial_numberにマッピングしました。ACTUALACTIONをsecurity_result.action_detailsにマッピングしました。VIRUSNAMEをsecurity_result.threat_nameにマッピングしました。NOOFVIRUSESをsecurity_result.verdict_info.malicious_countにマッピングしました。SOURCE、DESCRIPTION、REQUESTEDACTIONをsecurity_result.detection_fieldsにマッピングしました。CLIENT_GROUPをprincipal.group.group_display_nameにマッピングしました。downloaderをprincipal.process.file.full_pathにマッピングしました。
2024-10-24
機能強化:
logTypeをIPS、Network Intrusion Protection System、REP、Memory Exploit Mitigation System、NTRとしてログを解析するサポートを追加しました。
2024-10-08
機能強化:
- 新しい形式の Syslog ログのサポートを追加しました。
2024-09-23
機能強化:
rule_nameのマッピングをprincipal.resource.nameからsecurity_result.rule_nameに変更しました。principal.resource.resource_typeをFIREWALL_RULEとしてマッピングから削除しました。security_result.categoryのマッピングをACL_VIOLATIONからUNKNOWN_CATEGORYに変更しました。
2024-09-11
機能強化:
- 配列タイプのログのサポートを追加しました。
2024-08-08
機能強化:
REQUESTEDACTIONをsecurity_result.action_detailsにマッピングしました。SECONDARYACTION、ACTUALACTION、VIRUSNAME、NOOFVIRUSESをsecurity_result.detection_fieldsにマッピングしました。SOURCEをadditional.fieldsにマッピングしました。HPP_APP_HASHをtarget.file.sha256にマッピングしました。HPP_APP_NAMEをtarget.file.namesにマッピングしました。FILEPATHをtarget.file.full_pathにマッピングしました。CLIENT_GROUPをtarget.user.group_identifiersにマッピングしました。
2024-06-07
機能強化:
- KV 形式のログのサポートを追加しました。
2024-05-27
機能強化:
target_file_nameをtarget.file.full_pathからtarget.file.namesにマッピングしました。
2023-11-28
バグの修正:
event_timeが存在する場合、同じ値をdatetimeにマッピングしました。
2023-11-08
バグの修正:
ServerNameからtarget.asset.hostnameへのマッピングを削除し、intermediary.hostnameにマッピングしました。ActualactionがCleanedの場合、security_result.actionをBLOCKに、is_significantをfalseにマッピングしました。- さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。
type、utility-sub-type、lang、service-sandbox-type、mojo-platform-channel-handle、field-trial-handle、disable-featuresをsecurity_result.detection_fieldsにマッピングしました。target_argumentsをread_only_udm.additional.fieldsにマッピングしました。user-data-dirをsec_result.about.file.full_pathにマッピングしました。security-realmをsecurity_result.summaryにマッピングしました。startup-urlをprincipal.urlにマッピングしました。source_ipをtarget.ipにマッピングしました。action_wordをsecurity_result.action_detailsにマッピングしました。
2023-10-12
バグの修正:
- さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。
2023-04-21
バグの修正:
- インクルード ファイルの中間変数名を変更しました。
File関連イベントのsecurity_result.rule_nameをマッピングしました。
2023-04-10
機能強化:
- logType が
File Read、File Write、File Delete、またはRegistry Writeのドロップされたログを処理しました。 payload.domain_nameをprincipal.administrative_domainにマッピングしました。payload.device_idとevent_descriptionの null チェックを追加しました。
2023-01-21
機能強化:
targetComputerName、event_description1の条件付きチェックを追加しました。file_full_path、GroupName、ServerNameの on_error チェックを追加しました。Applicationtypeをprincipal.resource.attribute.labelsにマッピングしました。mailをtarget.user.email_addressesにマッピングしました。server_name_1をprincipal.hostnameにマッピングしました。- logtype
SECの場合: computerをprincipal.hostnameにマッピングしました。syslogServerをintermediary.hostnameにマッピングしました。event_descriptionをmetadata.descriptionにマッピングしました。- ログタイプ
SONAR、CVE、SECにfor loopを追加しました。
2022-11-24
機能強化:
SONAR detection now allowedを含むログを解析するための Grok パターンを追加しました。
2022-11-15
機能強化:
Virus Found型とSONAR Scan型の失敗したログを解析するための Grok パターンを追加しました。Categorytypeの条件付きチェックを追加しました。
2022-10-25
機能強化:
EventDescriptionをmetadata.descriptionにマッピングしました。LocalHostIP、IPAddress、source_ipをprincipal.ipにマッピングしました。LocalHostMACをprincipal.macにマッピングしました。computerをprincipal.hostnameにマッピングしましたguidをprincipal.asset.asset_idにマッピングしました。DeviceIDをprincipal.resource.product_object_idにマッピングしました。Filesizeをtarget.file.sizeにマッピングしました。SHA256をtarget.file.sha256にマッピングしました。User1をprincipal.user.useridにマッピングしました。file_pathをtarget.file.full_pathにマッピングしました。GroupNameをprincipal.group.group_display_nameにマッピングしました。action_wordをsecurity_result.action_detailsにマッピングしました。Beginをvulnerabilities.scan_start_timeにマッピングしました。EndTimeをvulnerabilities.scan_end_timeにマッピングしました。ScanIDをprincipal.process.product_specific_process_idにマッピングしました。inter_hostをintermediary.hostnameにマッピングしました。inter_ipをintermediary.ipにマッピングしました。ActionTypeをadditional.fieldsにマッピングしました。Ruleをsecurity_result.rule_nameにマッピングしました。
2022-10-10
機能強化:
categoryをsecurity_result.category_detailsにマッピングしました。CIDS Signature IDをtarget.resource.attribute.labelsにマッピングしました。CIDS Signature SubIDをtarget.resource.attribute.labelsにマッピングしました。CIDS Signature stringをtarget.resource.attribute.labelsにマッピングしました。Intrusion URLをprincipal.urlにマッピングしました。User Nameをprincipal.user.useridにマッピングしました。Actual actionをsecurity_result.action_detailsにマッピングしました。Application hashをtarget.file.sha256にマッピングしました。Application nameをtarget.applicationにマッピングしました。Application typeをtarget.resource.attribute.labelsにマッピングしました。Certificate issuerをnetwork.tls.server.certificate.issuerにマッピングしました。Certificate serial numberをnetwork.tls.server.certificate.serialにマッピングしました。Certificate signerをnetwork.tls.server.certificate.subjectにマッピングしました。Certificate thumbprintをnetwork.tls.server.certificate.sha256にマッピングしました。Secondary actionをtarget.resource.attribute.labelsにマッピングしました。First Seenをsecurity_result.detection_fieldsにマッピングしました。Risk Nameをsecurity_result.detection_fieldsにマッピングしました。Risk Typeをsecurity_result.detection_fieldsにマッピングしました。Permitted application reasonをsecurity_result.detection_fieldsにマッピングしました。Company nameをtarget.user.company_nameにマッピングしました。Computer nameをprincipal.hostnameにマッピングしました。Server Nameをprincipal.asset.network_domainにマッピングしました。Confidenceをsecurity_result.descriptionにマッピングしました。Detection Typeをsecurity_result.summaryにマッピングしました。Group Nameをprincipal.group.group_display_nameにマッピングしました。Risk Levelをsecurity_result.severity_detailsにマッピングしました。File size (bytes)をtarget.file.sizeにマッピングしました。
2022-09-21
機能強化:
- カスタム パーサーをデフォルトのパーサーに移行しました。
2022-08-12
機能強化:
- ログを解析するように Grok パターンを変更しました。
- 廃棄されたログを処理し、有効な event_types にマッピングしました。
- 破棄されたログの logType は、
REP、SubmissionsMan、SYLINK、IPS、SONAR、SEC、CVE、LiveUpdate Manager; Messages related to definition updates、Antivirus detection submissionでした。これらの logType は現在処理されています。 Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation Systemを含む新しい条件msg1が処理されます。client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfullyを含む event_description。- logType REP、SONAR、CVE、GUP、Smc、WSS を処理する新しいコードブロックを追加し、解析できるようにしました。
- イベントタイプを
GENERIC_EVENTからSTATUS_UPDATE、USER_UNCATEGORIZED、NETWORK_CONNECTION、STATUS_UNCATEGORIZEDに可能な限り変更しました。 eventDescriptionをmetadata.descriptionにマッピングしました。hostNameをprincipal.hostnameにマッピングしました。machineDomainNameをprincipal.administrative_domainにマッピングしました。domainNameをtarget.administrative_domainにマッピングしました。serverNameをintermediary.hostnameにマッピングしました。userNameをprincipal.user.useridにマッピングしました。siteNameをread_only_udm.additional.fieldsにマッピングしました。
2022-07-26
機能強化:
- サイトとして messageTmp があるログの場合、次のフィールドをマッピングしました。
eventDescriptionをmetadata.descriptionにマッピングしました。hostNameをtarget.hostnameにマッピングしました。machineDomainNameをtarget.administrative_domainにマッピングしました。domainNameをprincipal.administrative_domainにマッピングしました。serverNameをprincipal.hostnameにマッピングしました。userNameをprincipal.user.useridにマッピングしました。siteNameをread_only_udm.additional.fieldsにマッピングしました。
2022-05-11
機能強化:
yyyy-MM-dd HH:mm:ss形式の解析されたイベント タイムスタンプ ログエントリ。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。