Symantec Endpoint Protection

O DSM IBM QRadar para o Symantec Endpoint Protection coleta eventos de um sistema Symantec Endpoint Protection

O IBM® QRadar® DSM for Symantec Endpoint Protection analisa eventos do Symantec Endpoint Protection System nos idiomas a seguir: inglês, francês, alemão, italiano, japonês, russo e polonês.

A tabela a seguir descreve as especificações para o Symantec Endpoint Protection DSM:

Tabela 1. Especificações do Symantec Endpoint Protection DSM
Especificação	Valor
Fabricante	Symantec
Nome do DSM	Symantec Endpoint Protection
Nome do arquivo RPM	DSM-SymantecEndpointProtection-`QRadar_version-build_number`.noarch.rpm
Versões Suportadas	Endpoint Protection V11, V12 e V14
Protocolo	Syslog
Formato de evento	Syslog
Tipos de eventos registrados	Todos de logs de auditoria e segurança
Descobertos automaticamente?	Sim
Inclui identidade?	Não
Inclui propriedades customizadas?	Não
Informações adicionais	website Symantec (https://www.symantec.com)

Para integrar o Symantec Endpoint Protection ao QRadar , conclua as etapas a seguir:

Se as atualizações automáticas não estiverem ativadas, baixe e instale a versão mais recente dos seguintes RPMs do IBM® em seu QRadar Console:
- RPM DSMCommon
- RPM do DSM Symantec Endpoint Protection
Configure seu dispositivo Symantec Endpoint Protection para enviar eventos de syslog para o QRadar
Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Symantec Endpoint Protection no QRadar Console

Verifique se o QRadar está configurado corretamente

A tabela a seguir mostra uma mensagem de evento normalizado de amostra do Symantec Endpoint Protection:

Nome do evento Categoria de baixo Nível Mensagem de log de amostra

Bloqueado

Acesso Negado

Tabela 2. Mensagem de amostra Symantec Endpoint Protection
Nome do evento	Categoria de baixo Nível	Mensagem de log de amostra
Bloqueado	Acesso Negado	<51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions \| [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000

 <51>Mar  3 13:52:13 <Server> Syman
tecServer: USER,<IP_address>,
Blocked,[AC13-1.5] Block from load
ing other DLLs - Caller MD5=xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl
l,Begin: 2017-03-03 13:48:18,End: 2
017-03-03 13:48:18,Rule: Corp Endpo
int - Browser Restrictions | [AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0,N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL,User: USER,Domain
: LAB,Action Type: ,File size (
bytes): 4216832,Device ID: SCSI\
Disk&Ven_ATA&Prod_SAMSUNG_SSD_
PM83\4&27c82505&0&000000