Symantec Endpoint Protection
IBM® QRadar® DSM for Symantec Endpoint Protection 會從 Symantec Endpoint Protection 系統收集事件。
IBM® QRadar ® DSM for Symantec Endpoint Protection 會以下列語言剖析來自 Symantec Endpoint Protection System 的事件: 英文、法文、德文、義大利文、日文、俄文和波蘭文。
下表說明 Symantec Endpoint Protection DSM 的規格:
| 規格 | 值 |
|---|---|
| 製造商 | Symantec |
| DSM 名稱 | Symantec Endpoint Protection |
| RPM 檔名 | DSM-SymantecEndpointProtection-QRadar_version-build_number.noarch.rpm |
| 支援的版本 | 端點保護 V11、 V12及 V14 |
| 通訊協定 | Syslog |
| 事件格式 | Syslog |
| 記錄的事件類型 | 所有審核及安全日誌 |
| 自動探索到? | 是 |
| 包括身分? | 否 |
| 包括自訂內容? | 否 |
| 其他資訊 | Symantec 網站 (https://www.symantec.com) |
若要整合 Symantec Endpoint Protection 與 QRadar ,請完成下列步驟:
- 如果未啟用自動更新項目,請從 IBM 支援中心網站 下載下列 RPM 的最新版本並安裝至 QRadar
Console:
- DSMCommon RPM
- Symantec Endpoint Protection DSM RPM
- 配置 Symantec Endpoint Protection 裝置,以將 syslog 事件傳送至 QRadar。
- 如果 QRadar 未自動偵測日誌來源,請在 QRadar Console上新增 Symantec Endpoint Protection 日誌來源。
- 驗證已正確配置 QRadar 。下表顯示來自 Symantec Endpoint Protection 的正規化事件訊息範例:
表 2. Symantec Endpoint Protection 範例訊息 事件名稱 低層次種類 日誌訊息範例 已封鎖 拒絕存取 <51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions | [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000