ナビゲーション構造を再編成し、運用ワークフローに直接対応するようにしました。詳細については、Google SecOps リリースノートをご覧ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Symantec EDR のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Symantec EDR ログを Google Security Operations に取り込む方法について説明します。

Symantec Endpoint Detection and Response（EDR）は、エンドポイントアクティビティ、プロセス実行、ネットワーク接続、ファイルオペレーション、レジストリ変更、セキュリティインシデントの syslog メッセージを生成する脅威検出ソリューションです。パーサーは、JSON 形式と CEF 形式のログからフィールドを抽出し、Unified Data Model（UDM）にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと Symantec EDR アプライアンス間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します
Symantec EDR ウェブ UI への管理者権限

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイル をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [アクティブ（実行中）] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/symantec_edr:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SYMANTEC_EDR
        raw_log_field: body

service:
    pipelines:
        logs/symantec_edr_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/symantec_edr

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - ポート 514 は標準の syslog ポートです（Linux で root が必要です。root 以外のユーザーは 1514 を使用します）。
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル> 保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Symantec EDR で syslog を構成する

Symantec EDR ウェブ UI にログインします。
EDR クラウドコンソールで、[環境] > [設定] に移動します。
アプライアンスを選択して、[アプライアンス] をクリックします。
EDR アプライアンスコンソールで、[設定> アプライアンス] をクリックします。
[デフォルトのアプライアンスを編集] をクリックします。
[アプライアンス] リストでデバイスをダブルクリックします。
[Syslog] セクションで、[デフォルトを使用]（チェックが入っている場合）をオフにします。
[+ Syslog サーバーを追加] をクリックします。
次の構成の詳細を指定します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- プロトコル: 構成されたプロトコル（UDP など）を選択します。
- ポート: Bindplane エージェントのポート番号（例: 514）を入力します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`actor.cmd_line`	`principal.process.command_line`	アクタープロセスによって実行されたコマンドライン。
`actor.file.md5`	`principal.process.file.md5`	アクターの実行可能ファイルの MD5 ハッシュ。
`actor.file.path`	`principal.process.file.full_path`	アクターの実行可能ファイルのフルパス。
`actor.file.sha2`	`principal.process.file.sha256`	アクターの実行可能ファイルの SHA256 ハッシュ。
`actor.pid`	`principal.process.pid`	アクターのプロセス ID。
`actor.uid`	`principal.resource.id`	アクターの一意の識別子。
`actor.user.name`	`principal.user.userid`	アクターのユーザー名。
`actor.user.sid`	`principal.user.windows_sid`	アクターユーザーの Windows SID。
`attack.technique_name`	`security_result.threat_name`	MITRE ATT&CK 手法の名前。
`attack.technique_uid`	`security_result.description`	attack.technique_name とともに使用され、security_result.description に : . の形式で入力されます。
`collector_device_ip`	`intermediary.ip`	コレクタデバイスの IP アドレス。
`collector_device_name`	`intermediary.hostname`	コレクタデバイスのホスト名。
`collector_name`	`intermediary.resource.name`	コレクタの名前。
`collector_uid`	`intermediary.resource.id`	コレクタの固有識別子。
`connection.bytes_download`	`network.received_bytes`	接続でダウンロードされたバイト数。
`connection.bytes_upload`	`network.sent_bytes`	接続でアップロードされたバイト数。
`connection.direction_id`	`network.direction`	ネットワーク接続の方向（インバウンドの場合は 1、アウトバウンドの場合は 2）。
`connection.dst_ip`	`target.ip`	接続の宛先 IP アドレス。
`connection.dst_port`	`target.port`	接続の宛先ポート。
`connection.src_ip`	`principal.ip`	接続の送信元 IP アドレス。
`connection.src_name`	`principal.hostname`	接続の送信元ホスト名。
`connection.src_port`	`principal.port`	接続の送信元ポート。
`connection.url.host`	`target.hostname`	接続 URL のホスト名。
`connection.url.scheme`	`network.application_protocol`	接続 URL のスキーム（HTTP、HTTPS など）。
`connection.url.text`	`target.url`	完全な接続 URL。
`data_source_url_domain`	`target.url`	データソース URL のドメイン。
`device_domain`	`principal.administrative_domain/target.administrative_domain`	デバイスのドメイン。connection.direction_id に関連するロジックに基づいて、プリンシパルまたはターゲットにマッピングされます。
`device_ip`	`principal.ip/target.ip`	デバイスの IP アドレス。connection.direction_id に関連するロジックに基づいて、プリンシパルまたはターゲットにマッピングされます。
`device_name`	`principal.hostname/target.hostname`	デバイスの名前。connection.direction_id に関連するロジックに基づいて、プリンシパルまたはターゲットにマッピングされます。
`device_os_name`	`principal.platform_version/target.platform_version`	デバイスのオペレーティングシステム。connection.direction_id に関連するロジックに基づいて、プリンシパルまたはターゲットにマッピングされます。
`device_uid`	`target.asset_id`	デバイスの一意の識別子。Device ID: という接頭辞が付いています。
`directory.path`	`target.file.full_path`	ディレクトリのパス。
`domain_name`	`target.administrative_domain`	ドメインの名前。
`event_actor.file.path`	`target.process.file.full_path`	イベントアクターの実行可能ファイルのパス。
`event_actor.pid`	`target.process.pid`	イベントアクターのプロセス ID。
`event_desc`	`metadata.description`	イベントの説明。
`externalIP`	`target.ip`	外部 IP アドレス。
`file.md5`	`target.file.md5`	ファイルの MD5 ハッシュ。
`file.path`	`target.file.full_path`	ファイルのパス。
`file.rep_prevalence_band`	`additional.fields.value.number_value`	ファイルのレピュテーション普及率帯域。keyprevalence_score にマッピングされます。
`file.rep_score_band`	`additional.fields.value.number_value`	ファイルの評判スコア帯域。keyreputation_score にマッピングされます。
`file.sha2`	`target.file.sha256`	ファイルの SHA256 ハッシュ。
`file.size`	`target.file.size`	ファイルのサイズ。
`internalHost`	`principal.hostname`	内部ホスト名。
`internalIP`	`principal.ip`	内部 IP アドレス。
`internal_port`	`principal.port`	内部ポート。
`kernel.name`	`target.resource.name`	カーネルオブジェクトの名前。target.resource.type が MUTEX に設定されています。
`message`	`metadata.description`	ログメッセージ。
`module.md5`	`target.process.file.md5`	モジュールの MD5 ハッシュ。
`module.path`	`target.process.file.full_path`	モジュールのパス。
`module.sha2`	`target.process.file.sha256`	モジュールの SHA256 ハッシュ。
`module.size`	`target.process.file.size`	モジュールのサイズ。
`process.cmd_line`	`target.process.command_line`	プロセスのコマンドライン。
`process.file.md5`	`target.process.file.md5`	プロセスの実行可能ファイルの MD5 ハッシュ。
`process.file.path`	`target.process.file.full_path`	プロセスの実行可能ファイルへのパス。
`process.file.sha2`	`target.process.file.sha256`	プロセスの実行可能ファイルの SHA256 ハッシュ。
`process.pid`	`target.process.pid`	プロセス ID。
`process.uid`	`target.resource.id`	プロセスの一意の識別子。
`process.user.name`	`target.user.userid`	プロセスに関連付けられているユーザー名。
`process.user.sid`	`target.user.windows_sid`	プロセスユーザーの Windows SID。
`product_name`	`metadata.product_name`	ログを生成するプロダクトの名前。
`product_ver`	`metadata.product_version`	ログを生成したプロダクトのバージョン。
`reg_key.path`	`target.registry.registry_key`	レジストリキーのパス。
`reg_value.data`	`target.registry.registry_value_data`	レジストリ値のデータ。
`reg_value.name`	`target.registry.registry_value_name`	レジストリ値の名前。
`reg_value.path`	`target.registry.registry_key`	値のレジストリキーのパス。
`security_result.severity`	`security_result.severity`	セキュリティ結果の重大度。数値から UDM 列挙型に変換されます（例: 1 は LOW、5 は MEDIUM、10 は LOW、15 は LOW）。
`session.id`	`network.session_id`	セッション ID。
`session.user.name`	`target.user.userid`	セッションに関連付けられたユーザー名。
`sid`	`principal.user.userid`	セキュリティ識別子（SID）。
`status_detail`	`security_result.summary`	ステータスに関する追加情報。
`type_id`	`metadata.product_event_type`	イベントタイプ ID。
`user_agent_ip`	`target.ip`	ユーザーエージェントの IP アドレス。
`user_name`	`principal.user.userid/target.user.user_display_name`	ユーザー名。CEF または JSON 解析に関連するロジックに基づいて、プリンシパルまたはターゲットにマッピングされます。
`user_uid`	`target.user.userid`	ユーザーの固有識別子。
`uuid`	`metadata.product_log_id`	イベントの UUID。
`event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	イベントのタイムスタンプ。log_time または CEFdevice_time から派生します。
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	ログのタイプ。SYMANTEC_EDR にハードコードされています。
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	ベンダーの名前。Symantec にハードコードされています。
`event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	認証タイプ。ログインイベントとログアウトイベントの場合は MACHINE に設定します。
`security_result.action`	`security_result.action`	セキュリティイベントの結果として行われたアクション。ログインとログアウトが成功した場合は ALLOW に設定します。
`log_time`	`event.idm.read_only_udm.metadata.collected_timestamp`	変更履歴からマッピング
`user_name`	`event.idm.read_only_udm.target.user.user_display_name`	変更履歴からマッピング
`severity_id`	`event.idm.read_only_udm.security_result.severity_details`	変更履歴からマッピング
`risk_ref_value`	`event.idm.read_only_udm.security_result.risk_score`	変更履歴からマッピング
`attacks.technique_uid`	`event.idm.read_only_udm.security_result.attack_details.techniques`	変更履歴からマッピング
`attacks.technique_uid`	`event.idm.read_only_udm.security_result.attack_details.tactics`	変更履歴からマッピング
`event_actor.file.normalized_path`	`event.idm.read_only_udm.principal.file.full_path`	変更履歴からマッピング
`event_actor.file.name`	`event.idm.read_only_udm.principal.process.file.names`	変更履歴からマッピング
`user_sid`	`event.idm.read_only_udm.target.user.windows_sid`	変更履歴からマッピング
`event_actor.file.signature_company_name`	`event.idm.read_only_udm.principal.group.group_display_name`	変更履歴からマッピング
`event_actor.app_name`	`event.idm.read_only_udm.principal.application`	変更履歴からマッピング
`event_actor.integrity_id`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor_integrity_id`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor.signature_level_id`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor_signature_level_id`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor.start_time`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor_start_time`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor.file.modified`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor_file_modified`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`operation`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`event_actor.file.signature_value_ids`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`signature_value_id_0`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`signature_value_id_1`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`analysis`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`amsi_data`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`log_name`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`scan_uid`	`event.idm.read_only_udm.additional.fields`	変更履歴からマッピング
`enriched_data.category_id`	`event.idm.read_only_udm.security_result.detection_fields`	変更履歴からマッピング
`category_id`	`event.idm.read_only_udm.security_result.detection_fields`	変更履歴からマッピング

変更履歴

このパーサーの変更ログを表示する

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。