Symantec Endpoint Protection

Supported OS Linux Windows Mac OS

Versión de la integración1.0.0

Información general

Symantec Endpoint Protection es una solución cliente-servidor que protege los equipos portátiles, los equipos de escritorio y los servidores de tu red contra malware, riesgos y vulnerabilidades. Symantec Endpoint Protection combina la protección antivirus con la protección avanzada frente a amenazas para proteger de forma proactiva los equipos cliente frente a amenazas conocidas y desconocidas, como virus, gusanos, troyanos y adware. Symantec Endpoint Protection ofrece protección incluso contra los ataques más sofisticados que evaden las medidas de seguridad tradicionales, como rootkits, ataques de día cero y spyware que muta.

Esta integración enriquece e ingiere los siguientes logs de Symantec Endpoint Protection:

  • Logs de auditoría: registra los cambios en las políticas, tales como actualizaciones de políticas, asignaciones de políticas y más.
  • Logs de riesgos: rastrea y registra los posibles riesgos de seguridad detectados en los endpoints, incluido el malware, las vulnerabilidades y las actividades sospechosas.
  • Logs de análisis: registra los resultados de los análisis antivirus, incluido el malware detectado, la configuración del análisis y la información del usuario.
  • Logs del sistema: registra todas las actividades administrativas, actividades de clientes, actividades de servidores y actividades de client_server.
  • Logs de seguridad: registra los eventos relacionados con la seguridad, incluidos los ataques, el cumplimiento y el control de dispositivos.
  • Logs de control de aplicaciones: registra eventos relacionados con el control de aplicaciones, como aplicaciones bloqueadas o permitidas.
  • Logs de tráfico: registra el tráfico de red eventos, incluidas las conexiones entrantes y salientes, los protocolos y los puertos.

También puedes visualizar información detallada en los logs mencionados con los dashboards predefinidos. Una vez instalada la integración, puedes buscar dashboards escribiendo “symantec-endpoint-protection” en la lista de dashboards.

Configuración

Instalación

Para instalar la integración de Symantec Endpoint Protection, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para obtener más información, consulta la Documentación de gestión de la integración.

Nota: Este paso no es necesario para el Agent versión >= 7.52.0.

Comando de Linux:

sudo -u dd-agent -- datadog-agent integration install datadog-symantec_endpoint_protection==1.0.0

Configuración

Recopilación de logs

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:

    logs_enabled: true
    
  2. Añade este bloque de configuración a tu archivo symantec_endpoint_protection.d/conf.yaml para comenzar a recopilar tus logs de Symantec Endpoint Protection.

    Consulta el archivo de ejemplo symantec_endpoint_protection.d/conf.yaml para ver las opciones de configuración disponibles.

    logs:
     - type: udp
       port: <PORT>
       service: symantec-endpoint-protection
       source: symantec-endpoint-protection
    
  3. Reinicia el Agent.

  4. Configura el reenvío de mensajes de Syslog desde Symantec Endpoint Protection Server:

    1. Inicia sesión en Symantec Endpoint Protection Server.
    2. Haz clic en Admin (Administrar).
    3. Haz clic en servers (servidores) en el panel administrative (administrativo).
    4. Selecciona los sites (sitios) para los que deseas reenviar logs.
    5. Haz clic en Configure external logging (Configurar logging externo).
    6. Activa la transmisión de logs a un servidor Syslog.
    7. Indica la syslog server IP (IP del servidor syslog).
    8. Selecciona el protocolo red como UDP.
    9. Indica el PORT (Puerto) al que deseas reenviar los logs.

Validación

Ejecuta el subcomando de estado del Agent y busca symantec_endpoint_protection en la sección Checks.

Datos recopilados

Logs

La integración de Symantec Endpoint Protection recopila datos de auditoría, riesgos, análisis, seguridad, tráfico, control de aplicaciones y logs del sistema.

Métricas

La integración de Symantec Endpoint Protection no incluye métricas.

Eventos

La integración de Symantec Endpoint Protection no incluye ningún evento.

Checks de servicio

La integración de Symantec Endpoint Protection no incluye ningún check de servicio.

Solucionar problemas

Permiso denegado durante la vinculación de puertos

Si ves un error de Permission denied (Permiso denegado) mientras vinculas puertos en logs del Agent, consulta las siguientes instrucciones:

  1. La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:

    • Concede acceso al puerto mediante el comando setcap:

      sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
      
    • Comprueba que la configuración es correcta mediante la ejecución del comando getcap:

      sudo getcap /opt/datadog-agent/bin/agent/agent
      

      Con el resultado esperado:

      /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
      

      Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.

  2. Reinicia el Agent.

No se recopilan datos

Asegúrate de que se evita el tráfico del puerto configurado si el firewall está activado.

Puerto ya utilizado

Si aparece el error Port <PORT-NO> Already in Use, consulta las siguientes instrucciones. El ejemplo siguiente es para PORT-NO = 514:

En los sistemas que utilizan Syslog, si el Agent escucha logs de Cisco Secure Firewall en el puerto 514, puede aparecer el siguiente error en los logs del Agent: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use.

Este error se produce porque, por defecto, Syslog escucha en el puerto 514. Para resolver este error, sigue uno de los pasos siguientes:

  • Desactiva Syslog.
  • Configura el Agent para escuchar en un puerto diferente disponible.

¿Necesitas ayuda? Ponte en contacto con el servicio de asistencia de Datadog.

PREVIEWING: guacbot/translation-pipeline