Symantec Web Security Service-Logs (WSS) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Symantec Web Security Service-Logs (WSS) mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser versucht zuerst, die Logmeldung als JSON zu parsen. Wenn das nicht gelingt, werden mit einer Reihe von immer spezifischeren Grok-Mustern Felder aus dem Roh-Text extrahiert und die extrahierten Daten dem Unified Data Model (UDM) zugeordnet. Symantec Web Security Service (WSS) ist eine cloudbasierte Websicherheitslösung, die Echtzeitschutz vor webbasierten Bedrohungen wie Malware, Phishing und Datenverlust bietet.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf das Symantec Web Security Service-Portal

Symantec WSS-API-Anmeldedaten erfassen

Symantec WSS-Website-URL abrufen

  1. Melden Sie sich im Symantec Web Security Service-Portal an.
  2. Notieren Sie sich die Portal-URL aus der Adressleiste des Browsers.
    • Format: https://portal.threatpulse.com oder die organisationsspezifische URL
    • Beispiel: Wenn Sie über https://portal.threatpulse.com/reportpod auf WSS zugreifen, lautet die URL Ihrer Website https://portal.threatpulse.com.

API-Anmeldedaten erstellen

  1. Melden Sie sich als Administrator im Symantec Web Security Service-Portal an.
  2. Rufen Sie Konto > API-Anmeldedaten auf.
  3. Klicken Sie auf API-Anmeldedaten hinzufügen.
  4. Im Portal wird das Dialogfeld API-Anmeldedaten hinzufügen mit automatisch generiertem Nutzername und Passwort angezeigt.

  5. Kopieren und speichern Sie den Nutzernamen und das Passwort sicher.

  6. Wählen Sie die Option API-Ablauf aus:

    • Zeitbasiert: Legen Sie das Datum und die Uhrzeit für den Ablauf dieses Tokens fest.
    • Läuft nie ab: Das Token bleibt auf unbestimmte Zeit gültig (für die Produktion empfohlen).

  7. Wählen Sie für die Option Zugriff die Option Berichtszugriffsprotokolle aus.

  8. Klicken Sie auf Speichern.

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

  1. Melden Sie sich im Symantec Web Security Service-Portal an.
  2. Rufen Sie Konto > API-Anmeldedaten auf.
  3. Wenn Sie die API-Anmeldedaten sehen, die Sie mit Zugriff auf Berichtszugriffslogs erstellt haben, haben Sie die erforderlichen Berechtigungen.
  4. Wenn Sie diese Option nicht sehen, bitten Sie Ihren Administrator, Ihnen die Berechtigung Reporting Access Logs zu erteilen.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    # Replace with your actual credentials
WSS_USERNAME="your-api-username"
WSS_PASSWORD="your-api-password"
WSS_SYNC_URL="https://portal.threatpulse.com/reportpod/logs/sync"

# Test API access (note: sync endpoint requires time parameters)
curl -v -H "X-APIUsername: ${WSS_USERNAME}" \
  -H "X-APIPassword: ${WSS_PASSWORD}" \
  "${WSS_SYNC_URL}?startDate=0&endDate=1000&token=none"

Erwartete Antwort: HTTP 200 mit Logdaten oder leere Antwort, wenn im Zeitraum keine Logs vorhanden sind.

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. symantec-wss-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie symantec-wss-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Symantec WSS logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. symantec-wss-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie symantec-wss-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Symantec WSS Sync API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname symantec-wss-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (symantec-wss-trigger) aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto aus (symantec-wss-collector-sa).

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET symantec-wss-logs Name des GCS-Buckets
    GCS_PREFIX symantec/wss/ Präfix für Protokolldateien
    STATE_KEY symantec/wss/state.json Statusdateipfad
    WINDOW_SECONDS 3600 Zeitfenster in Sekunden (1 Stunde)
    HTTP_TIMEOUT 60 Zeitüberschreitung bei HTTP-Anfrage in Sekunden
    MAX_RETRIES 3 Maximale Anzahl an Wiederholungsversuchen
    USER_AGENT symantec-wss-to-gcs/1.0 User-Agent-String
    WSS_SYNC_URL https://portal.threatpulse.com/reportpod/logs/sync WSS Sync API-Endpunkt
    WSS_API_USERNAME your-api-username (über API-Anmeldedaten) WSS API-Nutzername
    WSS_API_PASSWORD your-api-password (über API-Anmeldedaten) WSS-API-Passwort
    WSS_TOKEN_PARAM none Tokenparameter für die Synchronisierungs-API

  10. Scrollen Sie im Bereich Variablen und Secrets zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Symantec WSS Sync API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'symantec/wss/')
    state_key = os.environ.get('STATE_KEY', 'symantec/wss/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'symantec-wss-to-gcs/1.0')
    wss_sync_url = os.environ.get('WSS_SYNC_URL', 'https://portal.threatpulse.com/reportpod/logs/sync')
    api_username = os.environ.get('WSS_API_USERNAME')
    api_password = os.environ.get('WSS_API_PASSWORD')
    token_param = os.environ.get('WSS_TOKEN_PARAM', 'none')

    if not all([bucket_name, api_username, api_password]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = datetime.now(timezone.utc).timestamp()
        from_ts = float(state.get('last_to_ts', now - window_sec))
        to_ts = now

        # Convert to milliseconds for WSS API
        start_ms = int(from_ts * 1000)
        end_ms = int(to_ts * 1000)

        print(f'Fetching Symantec WSS logs from {start_ms} to {end_ms}')

        # Fetch logs from WSS Sync API
        blob_data, content_type, content_encoding = fetch_wss_logs(
            wss_sync_url, api_username, api_password, token_param,
            start_ms, end_ms, user_agent, http_timeout, max_retries
        )

        print(f'Retrieved {len(blob_data)} bytes with content-type: {content_type}')
        if content_encoding:
            print(f'Content encoding: {content_encoding}')

        # Write to GCS
        if blob_data:
            blob_name = write_wss_data(
                bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts
            )
            print(f'Wrote logs to {blob_name}')

        # Update state
        save_state(bucket, state_key, {
            'last_to_ts': to_ts,
            'last_successful_run': now
        })

        print(f'Successfully processed logs up to {to_ts}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def fetch_wss_logs(sync_url, username, password, token, start_ms, end_ms, user_agent, timeout, max_retries):
    """Fetch logs from WSS Sync API with retry logic using custom HTTP headers."""
    params = f"startDate={start_ms}&endDate={end_ms}&token={token}"
    url = f"{sync_url}?{params}"

    attempt = 0
    backoff = 1.0

    while True:
        try:
            headers = {
                'User-Agent': user_agent,
                'X-APIUsername': username,
                'X-APIPassword': password
            }

            response = http.request('GET', url, headers=headers, timeout=timeout)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 200:
                content_type = response.headers.get('Content-Type', 'application/octet-stream')
                content_encoding = response.headers.get('Content-Encoding', '')
                return response.data, content_type, content_encoding
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8", errors="ignore")}')

        except Exception as e:
            attempt += 1
            print(f'HTTP error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            # Exponential backoff with jitter
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def determine_extension(content_type, content_encoding):
    """Determine file extension based on content type and encoding."""
    if 'zip' in content_type.lower():
        return '.zip'
    if 'gzip' in content_type.lower() or content_encoding.lower() == 'gzip':
        return '.gz'
    if 'json' in content_type.lower():
        return '.json'
    if 'csv' in content_type.lower():
        return '.csv'
    return '.bin'

def write_wss_data(bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts):
    """Write WSS data to GCS with unique key."""
    ts_path = datetime.fromtimestamp(to_ts, tz=timezone.utc).strftime('%Y/%m/%d')
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    ext = determine_extension(content_type, content_encoding)
    blob_name = f"{prefix}{ts_path}/symantec_wss_{int(from_ts)}_{int(to_ts)}_{uniq}{ext}"

    blob = bucket.blob(blob_name)
    blob.upload_from_string(
        blob_data,
        content_type=content_type
    )

    # Set metadata
    blob.metadata = {
        'source': 'symantec-wss',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts)),
        'content_encoding': content_encoding
    }
    blob.patch()

    return blob_name
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name symantec-wss-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Pub/Sub-Thema aus (symantec-wss-trigger).
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Namen Ihrer Funktion (symantec-wss-collector).
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Fetching Symantec WSS logs from [start_ms] to [end_ms]
Retrieved X bytes with content-type: [type]
Wrote logs to symantec/wss/YYYY/MM/DD/symantec_wss_[timestamps].[ext]
Successfully processed logs up to [timestamp]

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets.

  10. Rufen Sie den Präfixordner (symantec/wss/) auf.

  11. Prüfen Sie, ob eine neue Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401: Prüfen Sie die API-Anmeldedaten in den Umgebungsvariablen. Prüfen Sie, ob Nutzername und Passwort korrekt sind.
  • HTTP 403: Prüfen Sie, ob für die API-Anmeldedaten im WSS-Portal die Berechtigung „Reporting Access Logs“ aktiviert ist.
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen in der Konfiguration der Cloud Run-Funktion festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Symantec WSS logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Symantec WSS als Log type (Logtyp) aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Symantec WSS-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Symantec WSS logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Symantec WSS als Log type (Logtyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://symantec-wss-logs/symantec/wss/

      • Ersetzen Sie:

        • symantec-wss-logs: Der Name Ihres GCS-Buckets.
        • symantec/wss/: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

      • Beispiele:

        • Root-Bucket: gs://company-logs/
        • Mit Präfix: gs://company-logs/symantec-wss/
        • Mit Unterordner: gs://company-logs/symantec/wss/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
category_id read_only_udm.metadata.product_event_type Wenn „category_id“ 1 ist, wird „read_only_udm.metadata.product_event_type“ auf „Security“ gesetzt. Wenn category_id = 5, wird read_only_udm.metadata.product_event_type auf „Policy“ festgelegt.
collector_device_ip read_only_udm.principal.ip, read_only_udm.principal.asset.ip Wert des Felds „collector_device_ip“
connection.bytes_download read_only_udm.network.received_bytes Wert des Felds „connection.bytes_download“ in eine Ganzzahl konvertiert
connection.bytes_upload read_only_udm.network.sent_bytes Wert des Felds „connection.bytes_upload“ in eine Ganzzahl konvertiert
connection.dst_ip read_only_udm.target.ip Wert des Felds „connection.dst_ip“
connection.dst_location.country read_only_udm.target.location.country_or_region Wert des Felds „connection.dst_location.country“
connection.dst_name read_only_udm.target.hostname Wert des Felds „connection.dst_name“
connection.dst_port read_only_udm.target.port Wert des Felds „connection.dst_port“ in eine Ganzzahl konvertiert
connection.http_status read_only_udm.network.http.response_code Wert des Felds „connection.http_status“ in Ganzzahl konvertiert
connection.http_user_agent read_only_udm.network.http.user_agent Wert des Felds „connection.http_user_agent“
connection.src_ip read_only_udm.principal.ip, read_only_udm.src.ip Wert des Felds „connection.src_ip“. Wenn „src_ip“ oder „collector_device_ip“ nicht leer ist, wird es „read_only_udm.src.ip“ zugeordnet.
connection.tls.version read_only_udm.network.tls.version_protocol Wert des Felds „connection.tls.version“
connection.url.host read_only_udm.target.hostname Wert des Felds „connection.url.host“
connection.url.method read_only_udm.network.http.method Wert des Felds „connection.url.method“
connection.url.path read_only_udm.target.url Wert des Felds „connection.url.path“
connection.url.text read_only_udm.target.url Wert des Felds „connection.url.text“
cs_connection_negotiated_cipher read_only_udm.network.tls.cipher Wert des Felds „cs_connection_negotiated_cipher“
cs_icap_status read_only_udm.security_result.description Wert des Felds „cs_icap_status“
device_id read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id Wert des Felds „device_id“
device_ip read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip Wert des Felds „device_ip“
device_time read_only_udm.metadata.collected_timestamp, read_only_udm.metadata.event_timestamp Wert des Felds „device_time“, in String konvertiert. Wenn „when“ leer ist, wird es „read_only_udm.metadata.event_timestamp“ zugeordnet.
Hostname read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname Wert des Hostname-Felds
log_time read_only_udm.metadata.event_timestamp Der Wert des Felds „log_time“ wurde in einen Zeitstempel konvertiert. Wenn „when“ und „device_time“ leer sind, wird der Wert „read_only_udm.metadata.event_timestamp“ verwendet.
msg_desc read_only_udm.metadata.description Wert des Felds „msg_desc“
os_details read_only_udm.target.asset.platform_software.platform, read_only_udm.target.asset.platform_software.platform_version Wert des Felds „os_details“. Wenn „os_details“ nicht leer ist, wird es geparst, um „os_name“ und „os_ver“ zu extrahieren. Wenn os_name „Windows“ enthält, wird read_only_udm.target.asset.platform_software.platform auf „WINDOWS“ gesetzt. os_ver wird read_only_udm.target.asset.platform_software.platform_version zugeordnet.
product_data.cs(Referer) read_only_udm.network.http.referral_url Wert des Felds „product_data.cs(Referer)“
product_data.r-supplier-country read_only_udm.principal.location.country_or_region Wert des Felds „product_data.r-supplier-country“
product_data.s-supplier-ip read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip Wert des Felds „product_data.s-supplier-ip“
product_data.x-bluecoat-application-name read_only_udm.target.application Wert des Felds „product_data.x-bluecoat-application-name“
product_data.x-bluecoat-transaction-uuid read_only_udm.metadata.product_log_id Wert des Felds „product_data.x-bluecoat-transaction-uuid“
product_data.x-client-agent-sw read_only_udm.observer.platform_version Wert des Felds „product_data.x-client-agent-sw“
product_data.x-client-agent-type read_only_udm.observer.application Wert des Felds „product_data.x-client-agent-type“
product_data.x-client-device-id read_only_udm.target.resource.type, read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id Wenn nicht leer, wird „read_only_udm.target.resource.type“ auf „DEVICE“ festgelegt. Der Wert des Felds „product_data.x-client-device-id“ wird „read_only_udm.target.resource.id“ und „read_only_udm.target.resource.product_object_id“ zugeordnet.
product_data.x-client-device-name read_only_udm.src.hostname, read_only_udm.src.asset.hostname Wert des Felds „product_data.x-client-device-name“
product_data.x-cs-client-ip-country read_only_udm.target.location.country_or_region Wert des Felds „product_data.x-cs-client-ip-country“
product_data.x-cs-connection-negotiated-cipher read_only_udm.network.tls.cipher Wert des Felds „product_data.x-cs-connection-negotiated-cipher“
product_data.x-cs-connection-negotiated-ssl-version read_only_udm.network.tls.version_protocol Wert des Felds „product_data.x-cs-connection-negotiated-ssl-version“
product_data.x-exception-id read_only_udm.security_result.summary Wert des Felds „product_data.x-exception-id“
product_data.x-rs-certificate-hostname read_only_udm.network.tls.client.server_name Wert des Felds „product_data.x-rs-certificate-hostname“
product_data.x-rs-certificate-hostname-categories read_only_udm.security_result.category_details Wert des Felds „product_data.x-rs-certificate-hostname-categories“
product_data.x-rs-certificate-observed-errors read_only_udm.network.tls.server.certificate.issuer Wert des Felds „product_data.x-rs-certificate-observed-errors“
product_data.x-rs-certificate-validate-status read_only_udm.network.tls.server.certificate.subject Wert des Felds „product_data.x-rs-certificate-validate-status“
product_name read_only_udm.metadata.product_name Wert des Felds „product_name“
product_ver read_only_udm.metadata.product_version Wert des Felds „product_ver“
proxy_connection.src_ip read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip Wert des Felds „proxy_connection.src_ip“
received_bytes read_only_udm.network.received_bytes Wert des Felds „received_bytes“ in eine Ganzzahl konvertiert
ref_uid read_only_udm.metadata.product_log_id Wert des Felds „ref_uid“
s_action read_only_udm.metadata.description Wert des Felds „s_action“
sent_bytes read_only_udm.network.sent_bytes Wert des Felds „sent_bytes“ in eine Ganzzahl konvertiert
severity_id read_only_udm.security_result.severity Wenn „severity_id“ 1 oder 2 ist, wird „read_only_udm.security_result.severity“ auf „LOW“ gesetzt. Wenn severity_id 3 oder 4 ist, wird read_only_udm.security_result.severity auf MEDIUM gesetzt. Wenn „severity_id“ 5 oder 6 ist, wird „read_only_udm.security_result.severity“ auf „HIGH“ gesetzt.
supplier_country read_only_udm.principal.location.country_or_region Wert des Felds „supplier_country“
target_ip read_only_udm.target.ip, read_only_udm.target.asset.ip Wert des Felds „target_ip“
user.full_name read_only_udm.principal.user.user_display_name Wert des Felds „user.full_name“
user.name read_only_udm.principal.user.user_display_name Wert des Felds „user.name“
user_name read_only_udm.principal.user.user_display_name Wert des Felds „user_name“
uuid read_only_udm.metadata.product_log_id Wert des UUID-Felds
wann read_only_udm.metadata.event_timestamp Wert des Felds, wenn es in einen Zeitstempel konvertiert wurde
read_only_udm.metadata.event_type Wird auf NETWORK_UNCATEGORIZED gesetzt, wenn der Hostname leer und connection.dst_ip nicht leer ist. Auf SCAN_NETWORK gesetzt, wenn der Hostname nicht leer ist. Wird auf NETWORK_CONNECTION gesetzt, wenn „has_principal“ und „has_target“ „true“ sind. Wird auf STATUS_UPDATE gesetzt, wenn „has_principal“ „true“ und „has_target“ „false“ ist. Wird auf GENERIC_EVENT gesetzt, wenn „has_principal“ und „has_target“ falsch sind.
read_only_udm.metadata.log_type Immer auf SYMANTEC_WSS festgelegt
read_only_udm.metadata.vendor_name Immer auf SYMANTEC festgelegt
read_only_udm.security_result.action Auf ALLOW gesetzt, wenn product_data.sc-filter_result OBSERVED oder PROXIED ist. Auf BLOCK gesetzt, wenn „product_data.sc-filter_result“ DENIED ist
read_only_udm.security_result.action_details Wert des Felds „product_data.sc-filter_result“
read_only_udm.target.resource.type Auf DEVICE festgelegt, wenn „product_data.x-client-device-id“ nicht leer ist

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten