赛门铁克 EDR 云 (已弃用)
编辑赛门铁克 EDR 云 (已弃用)
编辑此集成已弃用。我们建议改用 赛门铁克终端安全集成。
赛门铁克终端安全是本地赛门铁克终端保护 (SEP) 的完全云托管版本,它提供多层保护,无论威胁如何攻击您的终端,都能阻止威胁。您可以通过统一的云控制台管理赛门铁克终端安全,该控制台提供跨终端的威胁可见性,并使用多种技术来管理您的组织的安全。
数据流
编辑此集成支持通过 Incidents API 从赛门铁克 EDR 云中摄取事件。
Incident 用于检索 EDR 事件。有关更多详细信息,请参阅此处的 API 文档 此处。
要求
编辑必须安装 Elastic Agent。有关更多信息,请参阅 此处 的链接。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选择
安装 Fleet 管理的 Elastic Agent (推荐)
编辑使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。
以独立模式安装 Elastic Agent (高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅限高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内部运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,我们还提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅 此处 的链接。
此模块已针对 赛门铁克 EDR 云 API 版本 v1 进行了测试。
设置
编辑要从赛门铁克 EDR 云收集数据,需要来自赛门铁克 EDR 云实例的以下参数
编辑- 客户端 ID
- 客户端密钥
获取客户端 ID 和客户端密钥的步骤
编辑- 登录到您的 赛门铁克 EDR 云控制台。
- 单击 集成 > 客户端应用程序。
- 单击 添加 以添加客户端应用程序。
- 输入客户端应用程序名称,然后按 添加 按钮。
- 从顶部选择客户端密钥。
- 复制客户端 ID 和客户端密钥。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到 管理 > 集成
- 在 “搜索集成” 搜索栏中,键入 赛门铁克 EDR 云
- 从搜索结果中单击 “赛门铁克 EDR 云” 集成。
- 单击 “添加赛门铁克 EDR 云” 按钮以添加集成。
- 添加所有必需的集成配置参数,例如客户端 ID、客户端密钥、URL 和令牌 URL。对于事件数据流,必须提供这些参数才能检索日志。
- 保存集成。
故障排除
编辑如果用户停止集成并在 30 天后再次启动集成,则用户将无法收集数据,并且会收到错误,因为赛门铁克 EDR 云仅收集最近 30 天的数据。为了避免此问题,请创建新的集成,而不是在 30 天后重新启动它。
日志参考
编辑事件
编辑这是 Incident 数据集。
示例
incident 的示例事件如下所示
{
"@timestamp": "2023-04-26T21:46:10.400Z",
"agent": {
"ephemeral_id": "e84ef800-cd51-4dd1-b1f4-c33951281380",
"id": "94a22d9c-6d6d-444a-9f96-6383ca581cef",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "symantec_edr_cloud.incident",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "94a22d9c-6d6d-444a-9f96-6383ca581cef",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"malware"
],
"created": "2023-04-26T21:46:10.400Z",
"dataset": "symantec_edr_cloud.incident",
"id": "8e7edfb1-27d2-4837-98ca-e7d794119c3b",
"ingested": "2023-10-25T06:42:49Z",
"kind": "alert",
"original": "{\"category_id\":1,\"conclusion\":\"Suspicious Activity\",\"created\":\"2023-04-26T21:46:10.400+00:00\",\"customer_uid\":\"TEST-JvOsaJktSS-eyL-dXhxOvA\",\"detection_type\":\"Advanced Analytics\",\"device_time\":1682545570400,\"domain_uid\":\"TEST-ZBg_IqnyTAijNjP2BOOcuw\",\"event_id\":8075004,\"id\":4,\"incident_uid\":\"8e7edfb1-27d2-4837-98ca-e7d794119c3b\",\"incident_url\":\"https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details\",\"message\":\"Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution\",\"modified\":\"2023-04-26T22:01:58.648+00:00\",\"priority_id\":4,\"product_name\":\"Symantec Integrated Cyber Defense Manager\",\"product_uid\":\"31B0C880-0229-49E8-94C5-48D56B1BD7B9\",\"ref_incident_uid\":102110,\"remediation\":\"Investigate further activity at the endpoint by downloading a full dump of the endpoint's recorded data. Give particular attention to activities performed by cmd.exe.\",\"resolution_id\":1,\"rule_name\":\"Advanced Attack Technique\",\"severity_id\":4,\"state_id\":1,\"suspected_breach\":\"Yes\",\"time\":1682545570400,\"type\":\"INCIDENT_CREATION\",\"type_id\":8075,\"version\":\"1.0\"}",
"provider": "Symantec Integrated Cyber Defense Manager",
"reason": "Suspicious Activity",
"severity": 4,
"type": [
"info"
],
"url": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details"
},
"http": {
"version": "1.0"
},
"input": {
"type": "cel"
},
"message": "Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution",
"rule": {
"name": "Advanced Attack Technique"
},
"symantec_edr_cloud": {
"incident": {
"category": "Security",
"category_id": "1",
"conclusion": "Suspicious Activity",
"created": "2023-04-26T21:46:10.400Z",
"customer_uid": "TEST-JvOsaJktSS-eyL-dXhxOvA",
"detection_type": "Advanced Analytics",
"device_time": "2023-04-26T21:46:10.400Z",
"domain_uid": "TEST-ZBg_IqnyTAijNjP2BOOcuw",
"event": "Incident Creation: Logged",
"event_id": "8075004",
"id": "4",
"incident_uid": "8e7edfb1-27d2-4837-98ca-e7d794119c3b",
"incident_url": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
"message": "Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution",
"modified": "2023-04-26T22:01:58.648Z",
"outcome": "Logged",
"priority": "Critical",
"priority_id": "4",
"product_name": "Symantec Integrated Cyber Defense Manager",
"product_uid": "31B0C880-0229-49E8-94C5-48D56B1BD7B9",
"ref_incident_uid": "102110",
"remediation": "Investigate further activity at the endpoint by downloading a full dump of the endpoint's recorded data. Give particular attention to activities performed by cmd.exe.",
"resolution": "Insufficient data",
"resolution_id": "1",
"rule_name": "Advanced Attack Technique",
"severity": "Major",
"severity_id": 4,
"state": "New",
"state_id": "1",
"suspected_breach": true,
"time": "2023-04-26T21:46:10.400Z",
"type": "INCIDENT_CREATION",
"type_id": "8075",
"version": "1.0"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"symantec_edr_cloud-incident"
],
"url": {
"domain": "sep.securitycloud.symantec.com",
"original": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
"path": "/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
"scheme": "https"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
symantec_edr_cloud.incident.category |
keyword |
|
symantec_edr_cloud.incident.category_id |
事件类型类别。 |
keyword |
symantec_edr_cloud.incident.conclusion |
keyword |
|
symantec_edr_cloud.incident.created |
事件的创建时间,采用 ISO 8601 格式。 |
日期 |
symantec_edr_cloud.incident.customer_uid |
客户 ID。 |
keyword |
symantec_edr_cloud.incident.detection_type |
keyword |
|
symantec_edr_cloud.incident.device_time |
事件发生在设备上的时间。 |
日期 |
symantec_edr_cloud.incident.domain_uid |
域 ID。 |
keyword |
symantec_edr_cloud.incident.event |
keyword |
|
symantec_edr_cloud.incident.event_id |
标识语义、结构和结果的 ID。 |
keyword |
symantec_edr_cloud.incident.id |
事件的结果。 |
keyword |
symantec_edr_cloud.incident.incident_uid |
此事件的唯一标识符。 |
keyword |
symantec_edr_cloud.incident.incident_url |
指向此事件详细信息的 ICDM 控制台的 URL。 |
keyword |
symantec_edr_cloud.incident.log_time |
日期 |
|
symantec_edr_cloud.incident.message |
keyword |
|
symantec_edr_cloud.incident.modified |
日期 |
|
symantec_edr_cloud.incident.outcome |
keyword |
|
symantec_edr_cloud.incident.priority |
keyword |
|
symantec_edr_cloud.incident.priority_id |
keyword |
|
symantec_edr_cloud.incident.product_name |
发起事件的产品的名称。 |
keyword |
symantec_edr_cloud.incident.product_uid |
发起事件的产品的唯一标识符。 |
keyword |
symantec_edr_cloud.incident.ref_incident_uid |
此 incident_uid 的用户友好 ID。 |
keyword |
symantec_edr_cloud.incident.remediation |
建议的操作。 |
keyword |
symantec_edr_cloud.incident.resolution |
keyword |
|
symantec_edr_cloud.incident.resolution_id |
keyword |
|
symantec_edr_cloud.incident.rule_name |
触发事件的规则。 |
keyword |
symantec_edr_cloud.incident.severity |
keyword |
|
symantec_edr_cloud.incident.severity_id |
long |
|
symantec_edr_cloud.incident.state |
keyword |
|
symantec_edr_cloud.incident.state_id |
keyword |
|
symantec_edr_cloud.incident.suspected_breach |
布尔值 |
|
symantec_edr_cloud.incident.time |
事件发生时间。 |
日期 |
symantec_edr_cloud.incident.type |
事件类型。 |
keyword |
symantec_edr_cloud.incident.type_id |
keyword |
|
symantec_edr_cloud.incident.version |
API 版本,格式为 major.minor。 |
keyword |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.7.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |