Symantec Endpoint Protection

IBM QRadar DSM for Symantec Endpoint Protection recopila sucesos de un sistema Symantec Endpoint Protection.

IBM® QRadar® DSM for Symantec Endpoint Protection analiza los sucesos de Symantec Endpoint Protection System en los siguientes idiomas: inglés, francés, alemán, italiano, japonés, ruso y polaco.

En la tabla siguiente se describen las especificaciones del DSM de Symantec Endpoint Protection:

Tabla 1. Especificaciones de Symantec Endpoint Protection DSM
Especificación	Valor
Fabricante	Symantec
Nombre de DSM	Symantec Endpoint Protection
Nombre de archivo RPM	DSM-SymantecEndpointProtection-`QRadar_version-build_number`.noarch.rpm
Versiones soportadas	Endpoint Protection V11, V12y V14
Protocolo	Syslog
Formato del evento	Syslog
Tipos de sucesos registrados	Todos los registros de auditoría y seguridad
¿Descubierto automáticamente?	Sí
¿Incluye identidad?	Nee
¿Incluye propiedades personalizadas?	Nee
Más información	Sitio web de Symantec (https://www.symantec.com)

Para integrar Symantec Endpoint Protection con QRadar , realice los pasos siguientes:

Si las actualizaciones automáticas no están activadas, descargue e instale la versión más reciente de los siguientes RPM desde el IBM® en su QRadar Console:
- RPM DSMCommon
- RPM de DSM de Symantec Endpoint Protection
Configure el dispositivo Symantec Endpoint Protection para enviar sucesos de syslog a QRadar.
Si QRadar no detecta automáticamente el origen de registro, añada un origen de registro de Symantec Endpoint Protection en QRadar Console.

Verifique que QRadar se ha configurado correctamente.

La tabla siguiente muestra un mensaje de suceso normalizado de ejemplo de Symantec Endpoint Protection:

Nombre de suceso Categoría de bajo nivel Mensaje de registro de ejemplo

Bloqueado

Acceso denegado

Tabla 2. Mensaje de ejemplo de Symantec Endpoint Protection
Nombre de suceso	Categoría de bajo nivel	Mensaje de registro de ejemplo
Bloqueado	Acceso denegado	<51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions \| [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000

 <51>Mar  3 13:52:13 <Server> Syman
tecServer: USER,<IP_address>,
Blocked,[AC13-1.5] Block from load
ing other DLLs - Caller MD5=xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl
l,Begin: 2017-03-03 13:48:18,End: 2
017-03-03 13:48:18,Rule: Corp Endpo
int - Browser Restrictions | [AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0,N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL,User: USER,Domain
: LAB,Action Type: ,File size (
bytes): 4216832,Device ID: SCSI\
Disk&Ven_ATA&Prod_SAMSUNG_SSD_
PM83\4&27c82505&0&000000