收集 Cybereason EDR 日志

本文档介绍了如何使用 Bindplane 代理将 Cybereason EDR 日志注入到 Google Security Operations。

Cybereason EDR（端点检测和响应）是一种网络安全平台，可检测和响应端点上的高级威胁。它可识别 Malop（恶意操作）- 将可疑活动关联起来的攻击链，从而形成完整的攻击叙事，并让安全分析师能够了解威胁进展、受影响的机器、遭到入侵的用户和网络连接。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
• Bindplane 代理与 Cybereason 检测服务器之间的网络连接
• 如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
• 使用“系统管理员”角色访问 Cybereason 管理控制台
• Cybereason 平台版本 20.1 或更高版本

获取 Google SecOps 注入身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。

3. 下载注入身份验证文件。将文件安全地保存在将安装 Bindplane 代理的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 配置文件。

3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安装完成。

4. 运行以下命令来验证安装：

   sc query observiq-otel-collector
   

   服务状态应为 RUNNING。

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安装完成。

4. 运行以下命令来验证安装：

   sudo systemctl status observiq-otel-collector
   

   服务状态应为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

修改配置文件

1. 将 config.yaml 的全部内容替换为以下配置：

   receivers:
     tcplog:
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/cybereason:
       compression: gzip
       creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
       customer_id: 'your-customer-id'
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: CYBEREASON_EDR
       raw_log_field: body
   
   service:
     pipelines:
       logs/cybereason_to_chronicle:
         receivers:
           - tcplog
         exporters:
           - chronicle/cybereason
   

2. 替换以下占位符：

   • 接收器配置：

     • listen_address：要监听的 IP 地址和端口：

       • 0.0.0.0:514 在端口 514 上监听所有接口（在 Linux 上需要 root 权限）
       • 0.0.0.0:1514 监听非特权端口（建议用于 Linux 非 root 用户）

     • 接收器类型选项：

       • tcplog 用于 TCP syslog（Cybereason syslog 转发必需）

   • 导出器配置：

     • creds_file_path：Google SecOps 注入身份验证文件的完整路径：

       • Linux：/etc/bindplane-agent/ingestion-auth.json
       • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

     • customer_id：Google SecOps 客户 ID

     • endpoint：区域端点网址：

       • 美国：malachiteingestion-pa.googleapis.com
       • 欧洲：europe-malachiteingestion-pa.googleapis.com
       • 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
       • 如需查看完整列表，请参阅区域级端点

保存配置文件

修改后，保存文件：

• Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
• Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请执行以下操作：

  1. 运行以下命令：

     sudo systemctl restart observiq-otel-collector
     

  2. 验证服务正在运行：

     sudo systemctl status observiq-otel-collector
     

  3. 检查日志是否存在错误：

     sudo journalctl -u observiq-otel-collector -f
     

• 如需在 Windows 中重启 Bindplane 代理，请执行以下操作：

  1. 请从下列选项中选择一项：

     • 以管理员身份运行命令提示符或 PowerShell：

       net stop observiq-otel-collector && net start observiq-otel-collector
       

     • 服务控制台：

       1. 按 Win+R，输入 services.msc，然后按 Enter 键。
       2. 找到 observIQ OpenTelemetry 收集器。
       3. 右键点击并选择重新启动。

  2. 验证服务正在运行：

     sc query observiq-otel-collector
     

  3. 检查日志是否存在错误：

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

配置 Cybereason EDR syslog 转发

Cybereason 通过 syslog 以 CEF（通用事件格式）发送 MalOp 和用户审核事件。Syslog 转发配置需要向 Cybereason 技术支持团队提出请求。

向 Cybereason 技术支持团队请求转发 syslog

1. 登录 Cybereason 管理控制台。
2. 通过 Cybereason 支持门户网站与 Cybereason 技术支持团队联系。
3. 提交 syslog 转发配置请求，并提供以下信息：
   • Syslog 服务器 IP 地址：Bindplane 代理主机（例如 192.168.1.100）的 IP 地址。
   • Syslog 服务器端口：与 Bindplane 代理 listen_address 匹配的端口（例如 514）。
   • 协议：TCP（未加密的 TCP syslog）。
   • 日志类型：请求转发以下日志类型：
   • MalOp syslog：安全提醒和恶意操作事件
   • 用户审核 syslog：用户活动和管理操作

4. 等待 Cybereason 技术支持团队确认 syslog 转发配置。

配置防火墙规则

• 确保已设置以下防火墙规则：

  方向	协议	端口	来源	目的地
  出站	TCP	514	Cybereason 检测服务器	Bindplane 代理主机

替代方案：Cybereason CEF Forwarder

如果 Cybereason 技术支持人员无法配置直接 syslog 转发，您可以使用 Cybereason CEF Forwarder 工具：

1. 从 Cybereason 技术支持处下载 Cybereason CEF Forwarder Docker 映像。
2. 创建或修改 cybereason-forwarders/config/config.json 中的配置文件。

3. 进行以下设置：

   {
     "host": "<BINDPLANE_AGENT_IP>",
     "port": 514
   }
   

4. 将 <BINDPLANE_AGENT_IP> 替换为 Bindplane 代理主机 IP 地址。

5. 构建并运行 Docker 容器：

   docker build -t cybereason-cef-forwarder .
   docker run -d --name cybereason-forwarder cybereason-cef-forwarder
   

Syslog 事件类型

Cybereason 会针对以下事件类别生成 CEF syslog 消息：

事件类别	说明
已创建恶意操作	检测到新的恶意操作
恶意操作已更新	现有 MalOp 状态或详细信息已更改
恶意操作已关闭	恶意操作已由分析师解决或关闭
检测到恶意软件	在端点上发现了恶意软件
可疑进程	检测到可疑的进程活动
网络连接	检测到可疑的网络连接
用户登录	用户身份验证事件
机器隔离	端点与网络隔离或重新连接到网络
政策变更	安全政策修改

验证 Syslog 转发

1. 在 Cybereason 技术支持人员确认 syslog 配置后，在 Cybereason 控制台中执行测试操作（例如，查看 MalOp 或隔离测试机器）。
2. 检查 Bindplane 代理日志中是否有传入的 syslog 消息：
   • Linux：sudo journalctl -u observiq-otel-collector -f
   • Windows：type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

3. 验证日志中是否显示 CEF 格式的消息，例如：

   CEF:0|Cybereason|Cybereason|2.0|MalOp|MalOp Created|8|cs1=MALOP_ID_HERE dvchost=server01.company.com suser=admin@company.com
   

UDM 映射表

日志字段	UDM 映射	逻辑
detectionName_label	additional.fields	以键值对的形式映射
sensorId_label	additional.fields	以键值对的形式映射
状态	metadata.description	如果值不为空
log_description	metadata.description	如果状态为空，则回退
（CEF 格式）	metadata.event_type	对于 CEF 日志，设置为 GENERIC_EVENT
event_type	metadata.event_type	如果值为“PROCESS_OPEN”，则设置为 PROCESS_OPEN；如果值为“NETWORK_CONNECTION”，则设置为 NETWORK_CONNECTION；如果值为“MALWARE”，则设置为 SCAN_HOST
has_principal, has_target	metadata.event_type	如果 has_principal 和 has_target 均为 true，则设置为 SCAN_FILE
has_principal	metadata.event_type	如果只有 has_principal 为 true，则设置为 STATUS_UPDATE
has_user	metadata.event_type	如果在 Malop 上下文中 has_user 为 true，则设置为 USER_UNCATEGORIZED
（默认）	metadata.event_type	否则，设置为 GENERIC_EVENT
LogType	metadata.product_event_type	如果值不为空
malop_data.simpleValues.elementDisplayName.values.0	metadata.product_event_type	如果 LogType 为空，则回退
类型	metadata.product_event_type	后备
prod_event、prod_event2	metadata.product_event_type	串联为 prod_event - prod_event2
malop_process.guidString	metadata.product_log_id	对于 PROCESS_OPEN 事件类型
malop_connection.guidString	metadata.product_log_id	对于 NETWORK_CONNECTION 事件类型
guid	metadata.product_log_id	对于 MALWARE 或 Malop 事件类型
（静态）	metadata.product_version	最初设置为“2.0”
Sensor.version	metadata.product_version	如果存在，则覆盖“2.0”
malop_url	metadata.url_back_to_product	直接映射
（静态）	metadata.vendor_name	设置为“Cybereason”
方向	network.direction	直接映射
malop_connection.simpleValues.transportProtocol.values.0	network.ip_protocol	直接映射
malop_connection.simpleValues.receivedBytesCount.values.0	network.received_bytes	转换为无符号整数
malop_connection.simpleValues.transmittedBytesCount.values.0	network.sent_bytes	转换为无符号整数
Sensor.fqdn	principal.administrative_domain	直接映射
malop_process.elementValues.ownerMachine.elementValues.0.guid	principal.asset.asset_id	以“Cybereason:”为前缀
malop_data.elementValues.affectedMachines.elementValues.0.guid	principal.asset.asset_id	以“Cybereason:”为前缀，后备
malop_process.elementValues.ownerMachine.elementValues.0.name	principal.asset.hostname	直接映射
malop_data.elementValues.affectedMachines.elementValues.0.name	principal.asset.hostname	后备
machineName	principal.asset.hostname	后备
主机	principal.asset.hostname	后备
dvchost	principal.asset.hostname	后备
Sensor.fqdn	principal.asset.hostname	后备
client.ip	principal.asset.ip	直接映射
Sensor.externalIpAddress	principal.asset.ip	后备
malop_process.elementValues.ownerMachine.elementValues.0.name	principal.hostname	直接映射
malop_data.elementValues.affectedMachines.elementValues.0.name	principal.hostname	后备
machineName	principal.hostname	后备
主机	principal.hostname	后备
dvchost	principal.hostname	后备
Sensor.fqdn	principal.hostname	后备
client.ip	principal.ip	直接映射
Sensor.externalIpAddress	principal.ip	后备
Sensor.internalIpAddress	principal.nat_ip	直接映射
Sensor.privateServerIp	principal.nat_ip	后备
Sensor.osType	principal.platform	如果值为“WINDOWS”，则设置为 WINDOWS；如果值为“LINUX”，则设置为 LINUX；如果值为“MAC”，则设置为 MAC
Sensor.osVersionType	principal.platform_version	直接映射
malop_connection.simpleValues.localPort.values.0	principal.port	转换为整数
malop_process.simpleValues.commandLine.values.0	principal.process.command_line	直接映射
malwareDataModel.filePath	principal.process.command_line	后备
malop_process.simpleValues.calculatedName.values.0	principal.process.file.full_path	直接映射
name	principal.process.file.full_path	后备
malop_process.elementValues.parentProcess.elementValues.0.guid	principal.process.parent_process.product_specific_process_id	以“Cybereason:”为前缀
malop_process.elementValues.self.elementValues.0.guid	principal.process.pid	直接映射
malop_process.elementValues.self.elementValues.0.guid	principal.process.product_specific_process_id	以“Cybereason:”为前缀
malop_connection.elementValues.ownerProcess.elementValues.0.guid	principal.process.product_specific_process_id	以“Cybereason:”为前缀，后备
companyName	principal.user.company_name	直接映射
malop_process.elementValues.calculatedUser.elementValues.0.name	principal.user.user_display_name	直接映射
malop_data.elementValues.affectedUsers.elementValues.0.name	principal.user.user_display_name	后备
malop_connection.elementValues.ownerProcess.user.elementValues.0.name	principal.user.user_display_name	后备
malop_process.elementValues.calculatedUser.elementValues.0.guid	principal.user.userid	直接映射
malop_data.elementValues.affectedUsers.elementValues.0.guid	principal.user.userid	后备
malop_connection.elementValues.ownerProcess.user.elementValues.0.guid	principal.user.userid	后备
security_result_action	security_result.action	根据状态设置为 ALLOW、BLOCK 或 QUARANTINE
is_alert	security_result.alert_state	如果值为 True，则设置为 ALERTING
sr_category	security_result.category	设置为 SOFTWARE_MALICIOUS 或 NETWORK_MALICIOUS
query_details	security_result.detection_fields	以键值对的形式映射
affected_machine_count	security_result.detection_fields	以键值对的形式映射
link_to_malop	security_result.detection_fields	以键值对的形式映射
context_label	security_result.detection_fields	以键值对的形式映射
old_state_label	security_result.detection_fields	以键值对的形式映射
new_state_label	security_result.detection_fields	以键值对的形式映射
investigation_label	security_result.detection_fields	以键值对的形式映射
event_id_label	security_result.detection_fields	以键值对的形式映射
malop_activity_type_label	security_result.detection_fields	以键值对的形式映射
malop_suspect_label	security_result.detection_fields	以键值对的形式映射
malop_key_suspicion_label	security_result.detection_fields	以键值对的形式映射
device_custom_date_label	security_result.detection_fields	以键值对的形式映射
device_custom_date2_label	security_result.detection_fields	以键值对的形式映射
device_custom_date3_label	security_result.detection_fields	以键值对的形式映射
guid_label	security_result.detection_fields	以键值对的形式映射
displayName_label	security_result.detection_fields	以键值对的形式映射
pylumId_label	security_result.detection_fields	以键值对的形式映射
connected_label	security_result.detection_fields	以键值对的形式映射
isolated_label	security_result.detection_fields	以键值对的形式映射
osType_label	security_result.detection_fields	以键值对的形式映射
admin_label	security_result.detection_fields	以键值对的形式映射
domainUser_label	security_result.detection_fields	以键值对的形式映射
localSystem_label	security_result.detection_fields	以键值对的形式映射
说明	security_result.description	与 decision_feature、malop_status、privileges、passwordAgeDays、elementType、status、score、detectionValue、detectionValueType、detectionEngine 连接
decision_feature	security_result.description	串联到说明中
malop_status	security_result.description	串联到说明中
权限	security_result.description	串联到说明中
passwordAgeDays	security_result.description	串联到说明中
elementType	security_result.description	串联到说明中
状态	security_result.description	串联到说明中
得分	security_result.description	串联到说明中
detectionValue	security_result.description	串联到说明中
detectionValueType	security_result.description	串联到说明中
detectionEngine	security_result.description	串联到说明中
malop_data.malopPriority	security_result.priority	直接映射
malop_severity	security_result.severity	直接映射
security_severity	security_result.severity	如果值大于 8，则设置为 CRITICAL；如果大于 6，则设置为 HIGH；如果大于 4，则设置为 MEDIUM；如果大于 1，则设置为 LOW
和程度上减少	security_result.severity	如果为“信息”，则设置为 INFORMATIONAL；如果为“错误”或“高”，则设置为 ERROR；如果为“警告”或“中”，则设置为 MEDIUM；如果为“严重”，则设置为 CRITICAL；如果为“低”，则设置为 LOW；否则设置为 UNKNOWN
说明	security_result.summary	直接映射
类型	security_result.summary	后备
malopId	security_result.threat_id	直接映射
malop_data.simpleValues.detectionType.values.0	security_result.threat_name	直接映射
virusName	security_result.threat_name	后备
状态	security_result.threat_status	如果值为“有效”，则设置为 ACTIVE，否则设置为 FALSE_POSITIVE
malop_url	security_result.url_back_to_product	直接映射
machineName	target.asset.hostname	直接映射
affectedMachine	target.asset.hostname	后备
dvchost	target.asset.hostname	后备
Sensor.serverName	target.asset.hostname	后备
server.ip	target.asset.ip	直接映射
Sensor.serverIp	target.asset.ip	后备
malop_process.simpleValues.calculatedName.values.0	target.file.full_path	直接映射
malop_connection.elementValues.ownerProcess.elementValues.0.name	target.file.full_path	后备
name	target.file.full_path	后备
malwareDataModel_filePath	target.file.full_path	后备
malop_process.simpleValues.imageFile.md5String.values.0	target.file.md5	直接映射
name	target.file.names	直接映射
machineName	target.hostname	直接映射
affectedMachine	target.hostname	后备
dvchost	target.hostname	后备
Sensor.serverName	target.hostname	后备
server.ip	target.ip	直接映射
Sensor.serverIp	target.ip	后备
malop_connection.simpleValues.remoteAddressCountryName.values.0	target.location.country_or_region	直接映射
Sensor.privateServerIp	target.nat_ip	直接映射
malop_connection.simpleValues.remotePort.values.0	target.port	转换为整数
malop_process.simpleValues.calculatedName.values.0	target.process.file.full_path	直接映射
malop_process.elementValues.self.elementValues.0.guid	target.process.pid	直接映射
malop_url	target.url	直接映射
（静态）	metadata.product_name	设置为“Cybereason”

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。