Proteção de endpoint da Symantec
O JSA DSM for Symantec Endpoint Protection coleta eventos de um sistema Symantec Endpoint Protection.
O JSA DSM for Symantec Endpoint Protection analisa eventos do Symantec Endpoint Protection System nos seguintes idiomas: inglês, francês, alemão, italiano, japonês, russo e polonês.
A tabela a seguir descreve as especificações para a Symantec Endpoint Protection DSM:
Especificação |
Valor |
---|---|
Fabricante |
Symantec |
Nome do DSM |
Proteção de endpoint da Symantec |
Nome do arquivo RPM |
DSM-SymantecEndpointProtection- JSA_version-build_number.noarch.rpm |
Versões com suporte |
Proteção de endpoint V11, V12 e V14 |
Protocolo |
Syslog |
Formato de eventos |
Syslog |
Tipos de eventos registrados |
Todos os logs de auditoria e segurança |
Descoberto automaticamente? |
Sim |
Inclui identidade? |
Não |
Inclui propriedades personalizadas? |
Não |
Mais informações |
Site da Symantec (https://www.symantec.com) |
Para integrar a Symantec Endpoint Protection à JSA, preencha as seguintes etapas:
-
Se as atualizações automáticas não estiverem habilitadas, baixe e instale a versão mais recente das seguintes RPMs dos downloads da Juniper em seu console JSA:
-
DSMCommon RPM
-
Symantec Endpoint Protection DSM RPM
-
-
Configure seu dispositivo Symantec Endpoint Protection para enviar eventos de syslog à JSA.
-
Se o JSA não detectar automaticamente a fonte de log, adicione uma fonte de log Symantec Endpoint Protection no console JSA.
-
Verifique se o JSA está configurado corretamente.
A tabela a seguir mostra uma mensagem de evento normalizada de amostra da Symantec Endpoint Protection:
Tabela 2: Mensagem de amostra de proteção de endpoint da Symantec Nome do evento
Categoria de baixo nível
Mensagem de registro de exemplo
Bloqueado
Acesso negado
<51>Mar 3 13:52:13 apsepm1 Syman tecServer: USER,10.1.1.1, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=323c1f 1d9c24f9f7ffa6348594aaaaa,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions | [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000
Configurando a proteção de endpoint da Symantec para se comunicar com a JSA
Antes de poder adicionar a fonte de log do Symantec Endpoint Protection no JSA, você precisa configurar seu dispositivo Symantec Endpoint Protection para encaminhar eventos de syslog.
-
Faça login em seu sistema Symantec Endpoint Protection Manager.
-
No painel esquerdo, clique no ícone de administrador .
-
Na parte inferior do painel De visualização de servidores , clique em Servidores.
-
No painel Servidores de visualização , clique em Local Site.
-
No painel tarefas , clique em Configurar registro externo.
-
Na guia Generals , selecione Ative a transmissão de logs para uma caixa de verificação do Syslog Server .
-
No campo Syslog Server , digite o endereço IP do seu JSA que você deseja analisar os logs.
-
No campo de porta de destino UDP , tipo 514.
-
No campo log facility , tipo 6.
-
Na guia Filtro de log , nos logs do servidor de gerenciamento, selecione a caixa de verificação de logs de auditoria .
-
No painel de log do cliente , selecione a caixa de verificação de logs de segurança .
-
No painel de log do cliente , selecione a caixa de verificação de riscos .
-
Clique em OK.