Symantec Endpoint Protection

Program IBM® QRadar® DSM for Symantec Endpoint Protection gromadzi zdarzenia z systemu Symantec Endpoint Protection.

Produkt IBM® QRadar ® DSM for Symantec Endpoint Protection analizuje zdarzenia z systemu Symantec Endpoint Protection System w następujących językach: angielskim, francuskim, niemieckim, włoskim, japońskim, rosyjskim i polskim.

W poniższej tabeli opisano specyfikacje produktu Symantec Endpoint Protection DSM:

Tabela 1. Specyfikacja produktu Symantec Endpoint Protection DSM
Specyfikacja	Wartość
Producent	Symantec
Nazwa DSM	Symantec Endpoint Protection
Nazwa pliku RPM	DSM-SymantecEndpointProtection-`QRadar_version-build_number`.noarch.rpm
obsługiwane wersje	Zabezpieczenie punktu końcowego V11, V12i V14
Protokół	Syslog
Format zdarzenia	Syslog
Zarejestrowane typy zdarzeń	Wszystkie dzienniki kontroli i bezpieczeństwa
Czy został automatycznie wykryty?	Tak
Czy zawiera tożsamość?	Nie
Zawiera właściwości niestandardowe?	Nie
Więcej informacji	Serwis WWW firmy Symantec (https://www.symantec.com)

Aby zintegrować program Symantec Endpoint Protection z produktem QRadar , wykonaj następujące kroki:

Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować najnowszą wersję następujących pakietów RPM z serwisu WWW działu wsparciaIBM na QRadar Console:
- DSMCommon RPM
- Symantec Endpoint Protection DSM RPM
Skonfiguruj urządzenie Symantec Endpoint Protection w taki sposób, aby wysyłał zdarzenia syslog do produktu QRadar.
Jeśli produkt QRadar nie wykryje automatycznie źródła dziennika, dodaj źródło dziennika produktu Symantec Endpoint Protection na serwerze QRadar Console.

Sprawdź, czy produkt QRadar jest poprawnie skonfigurowany.

W poniższej tabeli przedstawiono przykładowy znormalizowany komunikat zdarzenia z programu Symantec Endpoint Protection:

Nazwa zdarzenia Kategoria niskiego poziomu Przykładowy komunikat dziennika

Zablokowane

Odmowa dostępu

Tabela 2. Przykładowy komunikat programu Symantec Endpoint Protection
Nazwa zdarzenia	Kategoria niskiego poziomu	Przykładowy komunikat dziennika
Zablokowane	Odmowa dostępu	<51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions \| [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000

 <51>Mar  3 13:52:13 <Server> Syman
tecServer: USER,<IP_address>,
Blocked,[AC13-1.5] Block from load
ing other DLLs - Caller MD5=xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl
l,Begin: 2017-03-03 13:48:18,End: 2
017-03-03 13:48:18,Rule: Corp Endpo
int - Browser Restrictions | [AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0,N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL,User: USER,Domain
: LAB,Action Type: ,File size (
bytes): 4216832,Device ID: SCSI\
Disk&Ven_ATA&Prod_SAMSUNG_SSD_
PM83\4&27c82505&0&000000