Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proteção de endpoint da Symantec

O JSA DSM for Symantec Endpoint Protection coleta eventos de um sistema Symantec Endpoint Protection.

O JSA DSM for Symantec Endpoint Protection analisa eventos do Symantec Endpoint Protection System nos seguintes idiomas: inglês, francês, alemão, italiano, japonês, russo e polonês.

A tabela a seguir descreve as especificações para a Symantec Endpoint Protection DSM:

Tabela 1: Especificações da Symantec Endpoint Protection DSM

Especificação

Valor

Fabricante

Symantec

Nome do DSM

Proteção de endpoint da Symantec

Nome do arquivo RPM

DSM-SymantecEndpointProtection- JSA_version-build_number.noarch.rpm

Versões com suporte

Proteção de endpoint V11, V12 e V14

Protocolo

Syslog

Formato de eventos

Syslog

Tipos de eventos registrados

Todos os logs de auditoria e segurança

Descoberto automaticamente?

Sim

Inclui identidade?

Não

Inclui propriedades personalizadas?

Não

Mais informações

Site da Symantec (https://www.symantec.com)

Para integrar a Symantec Endpoint Protection à JSA, preencha as seguintes etapas:

  1. Se as atualizações automáticas não estiverem habilitadas, baixe e instale a versão mais recente das seguintes RPMs dos downloads da Juniper em seu console JSA:

    • DSMCommon RPM

    • Symantec Endpoint Protection DSM RPM

  2. Configure seu dispositivo Symantec Endpoint Protection para enviar eventos de syslog à JSA.

  3. Se o JSA não detectar automaticamente a fonte de log, adicione uma fonte de log Symantec Endpoint Protection no console JSA.

  4. Verifique se o JSA está configurado corretamente.

    A tabela a seguir mostra uma mensagem de evento normalizada de amostra da Symantec Endpoint Protection:

    Tabela 2: Mensagem de amostra de proteção de endpoint da Symantec

    Nome do evento

    Categoria de baixo nível

    Mensagem de registro de exemplo

    Bloqueado

    Acesso negado

    <51>Mar 3 13:52:13 apsepm1 Syman tecServer: USER,10.1.1.1, Blocked,[AC13-1.5] Block from load ing other DLLs - Caller MD5=323c1f 1d9c24f9f7ffa6348594aaaaa,Load Dl l,Begin: 2017-03-03 13:48:18,End: 2 017-03-03 13:48:18,Rule: Corp Endpo int - Browser Restrictions | [AC13- 1.5] Block from loading other DLLs, 6804,C:/Program Files (x86)/Microso ft Office/Office14/WINPROJ.EXE,0,N o Module Name,C:/Users/USER /AppData/Local/assembly/dl3/DMD7K 4QX.8GW/WQ9LV1W4.8HL/e705c114/00 6fef9d_f364d101/ProjectPublisher 2010.DLL,User: USER,Domain : LAB,Action Type: ,File size ( bytes): 4216832,Device ID: SCSI\ Disk&Ven_ATA&Prod_SAMSUNG_SSD_ PM83\4&27c82505&0&000000

Configurando a proteção de endpoint da Symantec para se comunicar com a JSA

Antes de poder adicionar a fonte de log do Symantec Endpoint Protection no JSA, você precisa configurar seu dispositivo Symantec Endpoint Protection para encaminhar eventos de syslog.

  1. Faça login em seu sistema Symantec Endpoint Protection Manager.

  2. No painel esquerdo, clique no ícone de administrador .

  3. Na parte inferior do painel De visualização de servidores , clique em Servidores.

  4. No painel Servidores de visualização , clique em Local Site.

  5. No painel tarefas , clique em Configurar registro externo.

  6. Na guia Generals , selecione Ative a transmissão de logs para uma caixa de verificação do Syslog Server .

  7. No campo Syslog Server , digite o endereço IP do seu JSA que você deseja analisar os logs.

  8. No campo de porta de destino UDP , tipo 514.

  9. No campo log facility , tipo 6.

  10. Na guia Filtro de log , nos logs do servidor de gerenciamento, selecione a caixa de verificação de logs de auditoria .

  11. No painel de log do cliente , selecione a caixa de verificação de logs de segurança .

  12. No painel de log do cliente , selecione a caixa de verificação de riscos .

  13. Clique em OK.

Documentação relacionada