Symantec Endpoint Protection
Symantec Endpoint Protection 用の IBM QRadar DSM は、Symantec Endpoint Protection システムからイベントを収集します。
Symantec Endpoint Protection 用の IBM® QRadar® DSM は、英語、フランス語、ドイツ語、イタリア語、日本語、ロシア語、およびポーランド語で Symantec Endpoint Protection System のイベントを解析します。
以下の表は、Symantec Endpoint Protection DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | Symantec |
| DSM 名 | Symantec Endpoint Protection |
| RPM ファイル名 | DSM-SymantecEndpointProtection-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | Endpoint Protection V11、V12、および V14 |
| プロトコル | Syslog |
| イベント・フォーマット | Syslog |
| 記録されるイベント・タイプ | すべての監査ログおよびセキュリティー・ログ |
| 自動的に検出? | はい |
| ID を含む? | いいえ |
| カスタム・プロパティーを含む? | いいえ |
| 詳細情報 | Symantec Web サイト (https://www.symantec.com) |
Symantec Endpoint Protection を QRadar に統合するには、以下の手順を実行します。
- 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードし、QRadar
Console にインストールしてください:
- DSMCommon RPM
- Symantec Endpoint Protection DSM RPM
- Syslog イベントを QRadarに送信するように Symantec Endpoint Protection デバイスを構成します。
- QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar Consoleで Symantec Endpoint Protection ログ・ソースを追加します。
- QRadar が正しく構成されていることを確認します。以下の表は、 Symantec Endpoint Protectionからの正常化イベント・メッセージの例を記載しています。
表 2. Symantec Endpoint Protection サンプル・メッセージ イベント名 下位カテゴリー サンプル・ログ・メッセージ ブロック済み (Blocked) アクセスが拒否されました <51>Mar 3 13:52:13 <Server> Syman tecServer: USER,<IP_address>, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=xxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions | [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000