Symantec Endpoint Protection

Das IBM QRadar DSM für Symantec Endpoint Protection erfasst Ereignisse von einem Symantec Endpoint Protection-System.

IBM® QRadar® DSM für Symantec Endpoint Protection analysiert Ereignisse von Symantec Endpoint Protection System in den folgenden Sprachen: Englisch, Französisch, Deutsch, Italienisch, Japanisch, Russisch und Polnisch.

In der folgenden Tabelle werden die Spezifikationen für Symantec Endpoint Protection DSM beschrieben:

Tabelle 1. Symantec Endpoint Protection DSM-Spezifikationen
Spezifikation	Wert
Hersteller	Symantec
DSM-Name	Symantec Endpoint Protection
Name der RPM-Datei	DSM-SymantecEndpointProtection-`QRadar_version-build_number`.noarch.rpm
Unterstützte Versionen	Endpoint Protection V11, V12und V14
Protokoll	Syslog
Ereignisformat	Syslog
Aufgezeichnete Ereignistypen	Alle Audit-und Sicherheitsprotokolle
Automatisch erkannt?	Ja
Enthält Identität?	Nein
Angepasste Eigenschaften einschließen?	Nein
Weitere Informationen	Symantec-Website (https://www.symantec.com)

Führen Sie die folgenden Schritte aus, um Symantec Endpoint Protection mit QRadar zu integrieren:

Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs von der IBM® Support Website herunter und installieren Sie sie auf Ihrem QRadar Console:
- DSMCommon-RPM
- Symantec Endpoint Protection-DSM-RPM
Konfigurieren Sie Ihre Symantec Endpoint Protection-Einheit, um Syslog-Ereignisse an QRadarzu senden.
Wenn QRadar die Protokollquelle nicht automatisch erkennt, fügen Sie eine Symantec Endpoint Protection-Protokollquelle auf dem QRadar Consolehinzu.

Überprüfen Sie, ob QRadar ordnungsgemäß konfiguriert ist.

Die folgende Tabelle zeigt ein Beispiel für eine normalisierte Ereignisnachricht von Symantec Endpoint Protection:

Ereignisname Untergeordnete Kategorie Beispielprotokollnachricht

Geblockt

Zugriff verweigert

Tabelle 2. Symantec Endpoint Protection-Beispielnachricht
Ereignisname	Untergeordnete Kategorie	Beispielprotokollnachricht
Geblockt	Zugriff verweigert	<51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions \| [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000

 <51>Mar  3 13:52:13 <Server> Syman
tecServer: USER,<IP_address>,
Blocked,[AC13-1.5] Block from load
ing other DLLs - Caller MD5=xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl
l,Begin: 2017-03-03 13:48:18,End: 2
017-03-03 13:48:18,Rule: Corp Endpo
int - Browser Restrictions | [AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0,N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL,User: USER,Domain
: LAB,Action Type: ,File size (
bytes): 4216832,Device ID: SCSI\
Disk&Ven_ATA&Prod_SAMSUNG_SSD_
PM83\4&27c82505&0&000000