Symantec Endpoint Protection🔗
以下は、Symantec Endpoint Protection(SEP)をSecureworks® Taegis™ XDRへのログ取り込み用に設定する手順です。
XDRは、以下のSEPログタイプを正規化します。
- Intrusion Prevention System
- Antivirus
- Browser Protection
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| SEP Manager | Taegis™ XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Symantec Endpoint Protection | Antivirus, NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Symantec Endpoint Protection プラットフォームの設定🔗
Syslogサーバーの登録🔗
ログ転送の設定については、Symantec Endpoint Protection - Syslogサーバーへのデータエクスポートに関する記事の手順に従ってください。
| フィールド | 必要な値 |
|---|---|
| Syslog Server | XDR Collector (mgmt IP) |
| Destination Port | 514 |
| Log Facility | デフォルト |
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
過去24時間のantivirusイベントを検索するには:
FROM antivirus WHERE sensor_type = 'Symantec Endpoint Protection' and EARLIEST=-24h
プロセスがブロックされたnidsイベントを検索するには:
FROM nids WHERE sensor_type = 'Symantec Endpoint Protection' and blocked = 1
特定のホストに関連するnidsイベントを検索するには:
FROM nids WHERE sensor_type='Symantec Endpoint Protection' AND host_id = 'foo'
イベント詳細🔗
