Symantec Endpoint Protection

O IBM® QRadar for Symantec Endpoint Protection coleta eventos de um sistema Symantec Endpoint Protection.

O IBM® QRadar® DSM for Symantec Endpoint Protection analisa eventos do Symantec Endpoint Protection System nos idiomas a seguir: inglês, francês, alemão, italiano, japonês, russo e polonês.

A tabela a seguir descreve as especificações para o Symantec Endpoint Protection DSM:

Tabela 1. Especificações do Symantec Endpoint Protection DSM
Especificação	Valor
Fabricante	Symantec
Nome do DSM	Symantec Endpoint Protection
Nome do arquivo RPM	DSM-SymantecEndpointProtection-`QRadar_version-build_number`.noarch.rpm
Versões Suportadas	Endpoint Protection V11, V12 e V14
Protocolo	Syslog
Formato de evento	Syslog
Tipos de eventos registrados	Todos de logs de auditoria e segurança
Descobertos automaticamente?	Sim
Inclui identidade?	Não
Inclui propriedades customizadas?	Não
Informações adicionais	Website do Symantec (https://www.symantec.com)

Para integrar o Symantec Endpoint Protection ao QRadar, conclua as etapas a seguir:

Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente dos RPMs a seguir por meio do Website do Suporte IBM em seu QRadar Console:
- RPM DSMCommon
- RPM do DSM Symantec Endpoint Protection
Configure o dispositivo Symantec Endpoint Protection para enviar eventos syslog para o QRadar.
Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Symantec Endpoint Protection no QRadar Console.

Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento normalizada de amostra do Symantec Endpoint Protection:

Nome do Evento Categoria de baixo nível Mensagem de log de amostra

Bloqueado

Acesso Negado

Tabela 2. Mensagem de amostra Symantec Endpoint Protection
Nome do Evento	Categoria de baixo nível	Mensagem de log de amostra
Bloqueado	Acesso Negado	<51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Bloqueado, [ AC13-1.5 ] Bloquear a partir do carregamento ing outros DLLs-Caller MD5 = xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxx, Carregar Dl l, Begin: 2017-03-03 13:48:18, End: 2 017-03-03 13:48:18, Rule: Corp Endpo int-Browser Restrictions \| [ AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0, N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL, Usuário: USER, Domínio : LAB, Tipo de Ação:, Tamanho do arquivo ( bytes): 4216832, ID do Dispositivo: SCSI\ Disco & Ven_ATA & Prod_SAMSUNG_SSD_ PM83\4 & 27c82505 & 0 & 000000

 <51>Mar  3 13:52:13 <Server> Syman
tecServer: USER,<IP_address>,
Bloqueado, [ AC13-1.5 ] Bloquear a partir do carregamento
ing outros DLLs-Caller MD5 = xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx, Carregar Dl
l, Begin: 2017-03-03 13:48:18, End: 2
017-03-03 13:48:18, Rule: Corp Endpo
int-Browser Restrictions | [ AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0, N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL, Usuário: USER, Domínio
: LAB, Tipo de Ação:, Tamanho do arquivo (
bytes): 4216832, ID do Dispositivo: SCSI\
Disco & Ven_ATA & Prod_SAMSUNG_SSD_
PM83\4 & 27c82505 & 0 & 000000