Coletar registros do Symantec Endpoint Protection
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Symantec Endpoint Protection no
Google Security Operations usando o Bindplane. O analisador processa registros no formato SYSLOG ou KV, primeiro extraindo carimbos de data/hora de vários formatos nos dados de registro.
Em seguida, ele usa um arquivo de configuração separado (sep_pt2.include) para realizar
mais análises e estruturação dos eventos de registro, garantindo o sucesso do
processamento somente se a extração inicial do carimbo de data/hora for bem-sucedida.
Antes de começar
Verifique se você atende os seguintes pré-requisitos:
- Instância do Google SecOps
- Host Windows 2016 ou mais recente ou Linux com systemd
- Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
- Acesso privilegiado à plataforma Symantec Endpoint Protection.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
As seções a seguir descrevem como instalar o agente do Bindplane.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no Symantec Endpoint Protection
- Faça login na UI da Web do Symantec Endpoint Protection Manager.
- Clique no ícone Administrador.
- Localize a seção Ver servidores e clique em Servidores.
- Clique em Site local > Configurar registro externo.
- Marque a caixa de seleção Ativar a transmissão de registros para um servidor Syslog.
- Informe os seguintes detalhes de configuração:
- Servidor Syslog: insira o endereço IP do Bindplane.
- Porta de destino UDP: insira o número da porta do Bindplane (por exemplo,
514para UDP). - Instalação de registro: insira Local6.
- Marque a caixa de seleção Registros de auditoria.
- Marque a caixa de seleção Registros de segurança.
- Marque a caixa de seleção Riscos.
- Clique em OK.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Observação |
|---|---|---|
_DB_HOST |
target.hostname |
|
a_record |
network.dns.questions.type |
|
AccessCheckResults |
security_result.detection_fields |
|
Accesses |
security_result.detection_fields |
|
AccessList |
security_result.detection_fields |
|
AccessMask |
security_result.detection_fields |
|
AccessReason |
security_result.description |
|
AccountName |
target.user.user_display_name |
|
AccountType |
principal.user.attribute.roles |
|
ACTION |
security_result.detection_fields |
|
ACTION_TYPE |
security_result.action_details |
|
ActiveProfile |
target.resource.name |
|
ActivityID |
additional.fields |
|
AdditionalInfo2 |
security_result.detection_fields |
|
ADMIN_NAME |
principal.user.userid |
|
AGENT_SECURITY_LOG_IDX |
metadata.product_log_id |
|
AgentVer |
additional.fields |
|
Alert |
security_result.detection_fields |
|
ALERT_IDX |
security_result.rule_id |
|
ALERTDATETIME |
security_result.first_discovered_time |
|
ALERTENDDATETIME |
security_result.last_discovered_time |
|
ALERTINSERTTIME |
security_result.detection_fields |
|
AlgorithmName |
security_result.detection_fields |
|
Allowedapplicationreason |
security_result.detection_fields |
|
APP_NAME |
target.application |
|
app_name |
principal.application |
|
AppPoolID |
target.application |
|
AuthenticationPackageName |
additional.fields |
|
AuthenticationSetId |
security_result.detection_fields |
|
AuthenticationSetName |
target.resource.name |
|
BitlockerUserInputTime |
additional.fields |
|
BootMenuPolicy |
additional.fields |
|
BootType |
additional.fields |
|
BU |
additional.fields |
|
BugcheckString |
additional.fields |
|
CALLER_PROCESS_ID |
principal.process.pid |
|
CALLER_PROCESS_NAME |
principal.process.file.full_path |
|
callerReturnAddress |
additional.fields |
|
callerReturnModuleName |
additional.fields |
|
Caption |
target.application |
|
Category |
security_result.category_details |
|
Channel |
security_result.about.resource.attribute.labels |
|
CIDS_SIGN_SUB_ID |
additional.fields |
|
CLIENT_USER2 |
principal.user.userid |
|
Comment |
metadata.description |
|
Component |
security_result.detection_fields |
|
connection.ether_type |
security_result.about.labels |
|
ConnectionSecurityRuleName |
target.resource.name |
|
ConnectionSecurityRuleId |
security_result.detection_fields |
|
CryptographicSetId |
security_result.detection_fields |
|
CryptographicSetName |
target.resource.name |
|
CSPEID |
additional.fields |
|
DCName |
intermediary.hostname |
|
Desc |
metadata.description |
|
DesiredAccess |
security_result.detection_fields |
|
device.last_app_connection |
target.asset.last_discover_time |
|
device.wss_feature |
target.asset.attribute.labels |
|
DeviceName |
target.resource.name |
|
DeviceNameLength |
additional.fields |
|
DeviceTime |
additional.fields |
|
DeviceVersionMajor |
additional.fields |
|
DeviceVersionMinor |
additional.fields |
|
disposition |
security_result.detection_fields |
|
dns_direction |
security_result.detection_fields |
|
domain |
target.administrative_domain |
|
Domain |
principal.administrative_domain |
|
DOMAIN_ID |
target.resource.product_object_id |
|
EDate |
additional.fields |
|
EDateUTC |
metadata.event_timestamp |
|
elevated_token |
additional.fields |
|
EntryCount |
additional.fields |
|
Error |
security_result.description |
|
error |
security_result.detection_fields |
|
ErrorCode |
security_result.description |
|
ErrorDescription |
security_result.description |
|
Event |
metadata.description |
|
EVENT_DATA |
additional.fields |
|
event_type |
metadata.product_event_type |
|
EventData.Binary |
additional.fields |
|
eventDesc |
metadata.description |
|
eventInsertTime |
metadata.collected_timestamp |
|
EventReceivedTime |
metadata.collected_timestamp |
|
EventTime |
metadata.event_timestamp |
|
EventType |
metadata.product_event_type |
|
ExceptionCode |
security_result.detection_fields |
|
executionPolicy |
security_result.rule_name |
|
ExecutionProcessID |
principal.process.pid |
|
ExecutionThreadID |
principal.process.product_specific_process_id |
|
ExtensionId |
security_result.detection_fields |
|
ExtensionName |
target.resource.name |
|
ExtraInfoLength |
additional.fields |
|
ExtraInfoString |
additional.fields |
|
FailureId |
security_result.detection_fields |
|
faulting_application_name |
principal.process.file.names |
|
faulting_application_path |
principal.process.file.full_path |
|
FaultingModuleName |
additional.fields |
|
FaultingModulePath |
additional.fields |
|
FaultOffset |
additional.fields |
|
FILE_SIZE |
about.file.size |
|
FilterID |
security_result.detection_fields |
|
FinalStatus |
security_result.description |
|
GPODisplayName |
target.resource.name |
|
GPOFileSystemPath |
target.file.full_path |
|
Group |
principal.resource.attribute.labels |
|
HACK_TYPE |
security_result.category_details |
|
HandleId |
target.resource.attribute.labels |
|
HID_LEVEL |
additional.fields |
|
HN |
additional.fields |
|
host |
principal.hostname |
|
Hostname |
principal.hostname |
|
id |
metadata.product_log_id |
|
IdleImplementation |
additional.fields |
|
IdleStateCount |
additional.fields |
|
ImpersonationLevel |
additional.fields |
|
IntensiveProtectionLevel |
security_result.detection_fields |
|
Interface |
security_result.detection_fields |
|
intermediary_host |
intermediary.ipintermediary.hostname |
Mapeia para intermediary.ip se o valor for um endereço IP. Mapeia para intermediary.hostname se o valor for um nome de host. |
INTRUSION_PAYLOAD_URL |
target.url |
|
INTRUSION_URL |
target.url |
|
IP |
principal.ip |
|
IP_ADDR |
src.ip |
|
IpAddress |
principal.ip |
|
IpPort |
principal.port |
|
KERNEL |
principal.platform_patch_level |
|
KeyFilePath |
target.file.full_path |
|
KeyLength |
additional.fields |
|
KeyName |
security_result.detection_fields |
|
KeyType |
security_result.detection_fields |
|
lastUpdateTime |
target.resource.attribute.last_update_time |
|
LmPackageName |
security_result.detection_fields |
|
LoadOptions |
additional.fields |
|
LogonGuid |
network.session_id |
|
LogonProcessName |
target.application |
|
LogonType |
extensions.auth.auth_details |
|
MandatoryLabel |
target.resource.attribute.labels |
|
MasterKeyId |
security_result.detection_fields |
|
MaximumPerformancePercent |
additional.fields |
|
Message |
metadata.description |
|
MinimumPerformancePercent |
additional.fields |
|
MinimumThrottlePercent |
additional.fields |
|
Minutes |
target.resource.attribute.labels |
|
NewFile |
target.file.full_path |
|
NewGrp |
target.group.group_display_name |
|
NewModDt |
target.file.last_modification_time |
|
NewOwn |
additional.fields |
|
NewPerms |
additional.fields |
|
NewProcessId |
target.process.pid |
|
NewProcessName |
target.process.file.full_path |
|
NewSecurityDescriptor |
security_result.description |
|
NewSize |
additional.fields |
|
NominalFrequency |
principal.resource.attribute.labels |
|
Number |
principal.resource.attribute.labels |
|
NumberOfGroupPolicyObjects |
additional.fields |
|
ObjectName |
target.resource.name |
|
ObjectServer |
target.resource.attribute.labels |
|
ObjectType |
target.resource.resource_type |
|
ObjId |
target.resource.attribute.labels |
|
OldFile |
src.file.full_path |
|
OldGrp |
src.group.group_display_name |
|
OldModDt |
src.file.last_modification_time |
|
OldOwn |
additional.fields |
|
OldPerms |
additional.fields |
|
OldSize |
additional.fields |
|
omittedFiles |
security_result.detection_fields |
|
Opcode |
additional.fields |
|
OpcodeValue |
metadata.product_event_type |
|
Operation |
security_result.description |
|
Operation |
additional.fields |
|
OperationType |
security_result.category_details |
|
OriginalSecurityDescriptor |
additional.fields |
|
OS |
principal.platform |
|
OSVER |
principal.platform_version |
|
param2 |
security_result.detection_fields |
|
param3 |
security_result.detection_fields |
|
param4 |
security_result.detection_fields |
|
PARAM_DEVICE_ID |
principal.hostname |
|
PARAMETER |
target.file.full_path |
|
parameters |
additional.fields |
|
PARENT_SERVER_TYPE |
additional.fields |
|
PerformanceImplementation |
additional.fields |
|
POLNm |
additional.fields |
|
prevalence |
security_result.detection_fields |
|
Priority |
security_result.detection_fields |
|
PrivilegeList |
target.resource.attribute.permissions.name |
|
PrivilegesUsedForAccessCheck |
security_result.detection_fields |
|
ProblemID |
additional.fields |
|
ProcessId |
principal.process.pid |
|
ProcessID |
target.process.pid |
|
ProcessingMode |
additional.fields |
|
ProcessingTimeInMilliseconds |
additional.fields |
|
ProcessName |
principal.process.file.full_path |
|
ProcName |
principal.process.file.names |
|
ProcPath |
principal.process.file.full_path |
|
product_event_type |
metadata.product_event_type |
|
PROFILE_SERIAL_NO |
additional.fields |
|
protected |
security_result.detection_fields |
|
ProviderGuid |
metadata.product_deployment_id |
|
ProviderName |
security_result.detection_fields |
|
PuaCount |
additional.fields |
|
PuaPolicyId |
additional.fields |
|
PUB_KEY |
additional.fields |
|
Reason |
additional.fields |
|
ReasonCode |
additional.fields |
|
RecordNumber |
metadata.product_log_id |
|
RecoveryReason |
security_result.description |
|
RecType |
metadata.product_event_type |
|
RelativeTargetName |
target.user.user_display_name |
|
report_id |
metadata.product_log_id |
|
request |
additional.fields |
|
restricted_admin_mode |
additional.fields |
|
restricted_sid_count |
additional.fields |
|
risks |
security_result.detection_fields |
|
Rule |
security_result.rule_name |
|
RuleName |
security_result.rule_name |
|
RuleType |
additional.fields |
|
scan_duration |
security_result.detection_fields |
|
scan_state |
security_result.detection_fields |
|
scan_type |
security_result.detection_fields |
|
scanned_number |
security_result.detection_fields |
|
ScriptType |
additional.fields |
|
SecurityPackageName |
about.file.full_path |
|
SEQ_ID |
additional.fields |
|
Service |
target.application |
|
SeverityValue |
security_result.severity_details |
|
sha256 |
principal.process.file.sha256 |
|
ShareLocalPath |
target.file.full_path |
|
ShareName |
target.resource.name |
|
SITE_IDX |
additional.fields |
|
skipped_files |
security_result.detection_fields |
|
SourceModuleName |
additional.fields |
|
SourceModuleType |
additional.fields |
|
SourceName |
principal.application |
|
spn1 |
target.resource.attribute.labels |
|
spn2 |
target.resource.attribute.labels |
|
standard_schemes |
security_result.detection_fields |
|
State |
additional.fields |
|
Status |
target.resource.attribute.labels |
|
StopTime |
additional.fields |
|
SubjectDomainName |
principal.administrative_domain |
|
SubjectLogonId |
principal.user.userid |
|
SubjectUserName |
principal.user.userid |
|
SubjectUserSid |
principal.user.windows_sid |
|
SupportInfo1 |
additional.fields |
|
SupportInfo2 |
additional.fields |
|
syslogServer |
intermediary.ipintermediary.hostname |
O valor (endereço IP ou nome do host) é do cabeçalho do registro e está associado a um intermediário. |
TargetDomainName |
target.administrative_domain |
|
TargetLogonId |
target.user.userid |
|
TargetUserName |
target.user.userid |
|
TargetUserSid |
target.user.windows_sid |
|
TaskContentNew |
additional.fields |
|
TaskName |
target.resource.name |
|
TaskValue |
metadata.description |
|
THREATS |
security_result.detection_fields |
|
threats |
security_result.detection_fields |
|
TimeDifferenceMilliseconds |
additional.fields |
|
TimeSampleSeconds |
additional.fields |
|
timestamp |
metadata.event_timestamp |
|
TokenElevationType |
target.resource.attribute.labels |
|
transaction_id |
metadata.product_log_id |
|
TransitedServices |
security_result.detection_fields |
|
TSId |
network.session_id |
|
type |
security_result.threat_name |
|
UMDFDeviceInstallBegin.version |
target.resource.attribute.labels |
|
UMDFReflectorDependencyMissing.Dependency |
additional.fields |
|
updateGuid |
target.process.product_specific_process_id |
|
updateRevisionNumber |
target.resource.attribute.labels |
|
updateTitle |
target.resource.name |
|
UpdateType |
additional.fields |
|
Url |
target.url |
|
urlTrackingStatus |
security_result.detection_fields |
|
User |
principal.user.userid |
|
UserID |
target.user.userid |
|
UserSid |
target.user.windows_sid |
|
VAPI_NAME |
security_result.summary |
|
VAST |
additional.fields |
|
Version |
metadata.product_version |
|
virtual_account |
additional.fields |
|
VSAD |
additional.fields |
|
WorkstationName |
additional.fields |
|
| N/A | metadata.log_type |
O tipo de registro está fixado no código como SEP. |
| N/A | metadata.product_name |
O nome do produto está fixado no código como SEP. |
| N/A | metadata.vendor_name |
O nome do fornecedor é codificado como Symantec. |
Referência delta do mapeamento da UDM
Em 26 de agosto de 2025, o Google SecOps lançou uma nova versão do analisador do Symantec Endpoint Protection, que inclui mudanças significativas no mapeamento dos campos de registro do Symantec Endpoint Protection para os campos do UDM e no mapeamento dos tipos de eventos.
Delta de mapeamento de campo de registro
A tabela a seguir lista o delta de mapeamento para campos de registro do Symantec Endpoint Protection para UDM expostos antes de 26 de agosto de 2025 e posteriormente (listados nas colunas Mapeamento antigo e Mapeamento atual, respectivamente).
| Campo de registro | Mapeamento antigo | Mapeamento atual |
|---|---|---|
_DB_DRIVER |
about.resource.id |
about.resource.product_object_id |
_ip |
principal.ip |
intermediary.ip |
Actualaction: Quarantined |
security_result.action : BLOCK |
security_result.action : QUARANTINE |
BEGIN_TIME |
additional.fields |
target.resource.attribute.labels |
callerProcessId |
target.process.pid |
principal.process.pid |
callerProcessName |
target.file.full_path |
principal.process.file.full_path |
CATEGORY_DESC |
additional.fields |
security_result.category_details |
CLIENT_TYPE |
additional.fields |
principal.user.attribute.roles |
DESCRIPTION |
security_result.detection_fields |
security_result.summary |
device.id |
target.resource.id |
target.resource.product_object_id |
device_uid |
principal.resource.id |
principal.resource.product_object_id |
DURATION |
additional.fields |
network.session_duration.seconds |
END_TIME |
additional.fields |
target.resource.attribute.last_update_time |
feature_name |
about.labels |
security_result.about.labels |
REMOTE_HOST_MAC |
additional.fields |
principal.mac |
resourceId |
principal.resource.id |
principal.resource.product_object_id |
server_name_1 |
principal.hostnameintermediary.hostname |
target.hostname |
UUID |
additional.fields |
principal.asset.asset_id |
Delta de mapeamento de tipo de evento
Vários eventos que antes eram classificados como genéricos agora são classificados corretamente com tipos de eventos significativos.
A tabela a seguir lista o delta para o processamento de tipos de eventos do Symantec Endpoint Protection antes e depois de 26 de agosto de 2025 (listados nas colunas Old event_type e Current event_type, respectivamente).
| eventType do registro | Old event_type | event_type atual |
|---|---|---|
| Logout do administrador | GENERIC_EVENT |
USER_LOGOUT |
| Bloquear todo o tráfego de IP e fazer o registro | STATUS_UPDATE |
NETWORK_CONNECTION |
| Arquivo criado | GENERIC_EVENT |
FILE_CREATION |
| Arquivo modificado | GENERIC_EVENT |
FILE_MODIFICATION |
| Arquivo renomeado | GENERIC_EVENT |
FILE_MODIFICATION |
| A verificação foi iniciada nos drives selecionados | GENERIC_EVENT |
SCAN_HOST |
| A verificação foi iniciada nas unidades selecionadas e tem um arquivo | GENERIC_EVENT |
SCAN_FILE |
| Usuário acessando um recurso com base em um evento | USER_UNCATEGORIZED |
USER_RESOURCE_ACCESS |
| O usuário está tentando encerrar | GENERIC_EVENT |
STATUS_SHUTDOWN |
VAPI_NAME = File Delete |
USER_UNCATEGORIZED |
FILE_DELETION |
VAPI_NAME = File Write |
USER_UNCATEGORIZED |
FILE_CREATION |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.