Cybereason EDR 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Cybereason EDR 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Cybereason EDR (엔드포인트 탐지 및 대응)은 엔드포인트 전반에서 지능형 위협을 탐지하고 대응하는 사이버 보안 플랫폼입니다. Malops (악성 작업)를 식별합니다. 이는 의심스러운 활동을 완전한 공격 설명으로 연결하는 상관관계가 있는 공격 체인입니다. 또한 보안 분석가에게 위협 진행 상황, 영향을 받는 머신, 보안이 침해된 사용자, 네트워크 연결에 대한 가시성을 제공합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 Cybereason 감지 서버 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- 시스템 관리자 역할로 Cybereason 관리 콘솔에 액세스
- Cybereason 플랫폼 버전 20.1 이상
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스 상태는 실행 중이어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스 상태는 active (running)이어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cybereason: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBEREASON_EDR raw_log_field: body service: pipelines: logs/cybereason_to_chronicle: receivers: - tcplog exporters: - chronicle/cybereason다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.- 포트 514에서 모든 인터페이스를 리슨하려면
0.0.0.0:514(Linux에서 루트 필요) 0.0.0.0:1514: 권한이 없는 포트에서 수신 대기 (Linux 비루트에 권장)
- 포트 514에서 모든 인터페이스를 리슨하려면
수신기 유형 옵션:
- TCP syslog용
tcplog(Cybereason syslog 전달에 필요)
- TCP syslog용
내보내기 도구 구성:
creds_file_path: Google SecOps 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cybereason EDR syslog 전달 구성
Cybereason은 syslog를 통해 CEF (Common Event Format)로 MalOp 및 사용자 감사 이벤트를 전송합니다. Syslog 전달 구성에는 Cybereason 기술 지원팀에 대한 요청이 필요합니다.
Cybereason 기술 지원팀에 syslog 전달 요청
- Cybereason 관리 콘솔에 로그인합니다.
- Cybereason 지원 포털을 통해 Cybereason 기술 지원팀에 문의하세요.
- 다음 정보를 사용하여 syslog 전달 구성 요청을 제출합니다.
- Syslog 서버 IP 주소: Bindplane 에이전트 호스트의 IP 주소입니다 (예:
192.168.1.100). - 시스템로그 서버 포트: Bindplane 에이전트
listen_address와 일치하는 포트입니다 (예:514). - 프로토콜: TCP (암호화되지 않은 TCP syslog)
- 로그 유형: 다음 로그 유형의 전달을 요청합니다.
- MalOp syslog: 보안 알림 및 악성 작업 이벤트
- 사용자 감사 syslog: 사용자 활동 및 관리 작업
- Syslog 서버 IP 주소: Bindplane 에이전트 호스트의 IP 주소입니다 (예:
Cybereason 기술 지원팀에서 syslog 전달 구성을 확인할 때까지 기다립니다.
방화벽 규칙 구성
다음 방화벽 규칙이 적용되어 있는지 확인합니다.
방향 프로토콜 포트 소스 대상 아웃바운드 TCP 514 Cybereason 감지 서버 Bindplane 에이전트 호스트
대안: Cybereason CEF 전달자
Cybereason 기술 지원팀에서 직접 syslog 전달을 구성할 수 없는 경우 Cybereason CEF 전달자 도구를 사용할 수 있습니다.
- Cybereason 기술 지원팀에서 Cybereason CEF 전달자 Docker 이미지를 다운로드합니다.
cybereason-forwarders/config/config.json에서 구성 파일을 만들거나 수정합니다.다음 설정을 구성합니다.
{ "host": "<BINDPLANE_AGENT_IP>", "port": 514 }<BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.Docker 컨테이너를 빌드하고 실행합니다.
docker build -t cybereason-cef-forwarder . docker run -d --name cybereason-forwarder cybereason-cef-forwarder
Syslog 이벤트 유형
Cybereason은 다음 이벤트 카테고리에 대해 CEF syslog 메시지를 생성합니다.
| 이벤트 카테고리 | 설명 |
|---|---|
| MalOp 생성됨 | 새 악성 작업 감지됨 |
| MalOp 업데이트됨 | 기존 MalOp 상태 또는 세부정보가 변경됨 |
| MalOp 종료됨 | 분석가가 MalOp을 해결하거나 닫음 |
| 멀웨어 감지됨 | 엔드포인트에서 멀웨어 식별됨 |
| 의심스러운 프로세스 | 의심스러운 프로세스 활동이 감지됨 |
| 네트워크 연결 | 의심스러운 네트워크 연결이 확인됨 |
| 사용자 로그인 | 사용자 인증 이벤트 |
| 머신 격리 | 엔드포인트가 네트워크에서 격리되거나 네트워크에 다시 연결됨 |
| 정책 변경사항 | 보안 정책 수정 |
syslog 전달 확인
- Cybereason 기술 지원팀에서 syslog 구성을 확인한 후 Cybereason 콘솔에서 테스트 작업을 실행합니다 (예: MalOp 보기 또는 테스트 머신 격리).
- Bindplane 에이전트 로그에서 수신 syslog 메시지를 확인합니다.
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
CEF 형식 메시지가 로그에 표시되는지 확인합니다. 예를 들면 다음과 같습니다.
CEF:0|Cybereason|Cybereason|2.0|MalOp|MalOp Created|8|cs1=MALOP_ID_HERE dvchost=server01.company.com suser=admin@company.com
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| detectionName_label | additional.fields | 키-값 쌍으로 매핑됨 |
| sensorId_label | additional.fields | 키-값 쌍으로 매핑됨 |
| 상태 | metadata.description | 값이 비어 있지 않은 경우 |
| log_description | metadata.description | 상태가 비어 있는 경우 대체 |
| (CEF 형식) | metadata.event_type | CEF 로그의 경우 GENERIC_EVENT로 설정됩니다. |
| event_type | metadata.event_type | 값이 'PROCESS_OPEN'이면 PROCESS_OPEN으로, 값이 'NETWORK_CONNECTION'이면 NETWORK_CONNECTION으로, 값이 'MALWARE'이면 SCAN_HOST로 설정됩니다. |
| has_principal, has_target | metadata.event_type | has_principal과 has_target이 모두 true인 경우 SCAN_FILE로 설정 |
| has_principal | metadata.event_type | has_principal만 true인 경우 STATUS_UPDATE로 설정 |
| has_user | metadata.event_type | Malop 컨텍스트에서 has_user가 true인 경우 USER_UNCATEGORIZED로 설정됩니다. |
| (기본) | metadata.event_type | 그렇지 않으면 GENERIC_EVENT로 설정됩니다. |
| LogType | metadata.product_event_type | 값이 비어 있지 않은 경우 |
| malop_data.simpleValues.elementDisplayName.values.0 | metadata.product_event_type | LogType이 비어 있는 경우 대체 |
| 유형 | metadata.product_event_type | 대체 |
| prod_event, prod_event2 | metadata.product_event_type | prod_event - prod_event2로 연결됨 |
| malop_process.guidString | metadata.product_log_id | PROCESS_OPEN 이벤트 유형의 경우 |
| malop_connection.guidString | metadata.product_log_id | NETWORK_CONNECTION 이벤트 유형의 경우 |
| guid | metadata.product_log_id | 멀웨어 또는 Malop 이벤트 유형의 경우 |
| (정적) | metadata.product_version | 처음에는 '2.0'으로 설정 |
| Sensor.version | metadata.product_version | 있는 경우 '2.0'을 덮어씁니다. |
| malop_url | metadata.url_back_to_product | 직접 매핑됨 |
| (정적) | metadata.vendor_name | 'Cybereason'으로 설정 |
| direction | network.direction | 직접 매핑됨 |
| malop_connection.simpleValues.transportProtocol.values.0 | network.ip_protocol | 직접 매핑됨 |
| malop_connection.simpleValues.receivedBytesCount.values.0 | network.received_bytes | 부호 없는 정수로 변환됨 |
| malop_connection.simpleValues.transmittedBytesCount.values.0 | network.sent_bytes | 부호 없는 정수로 변환됨 |
| Sensor.fqdn | principal.administrative_domain | 직접 매핑됨 |
| malop_process.elementValues.ownerMachine.elementValues.0.guid | principal.asset.asset_id | 'Cybereason:' 접두사가 붙습니다. |
| malop_data.elementValues.affectedMachines.elementValues.0.guid | principal.asset.asset_id | 'Cybereason:'으로 시작, 대체 |
| malop_process.elementValues.ownerMachine.elementValues.0.name | principal.asset.hostname | 직접 매핑됨 |
| malop_data.elementValues.affectedMachines.elementValues.0.name | principal.asset.hostname | 대체 |
| machineName | principal.asset.hostname | 대체 |
| 호스트 | principal.asset.hostname | 대체 |
| dvchost | principal.asset.hostname | 대체 |
| Sensor.fqdn | principal.asset.hostname | 대체 |
| client_ip | principal.asset.ip | 직접 매핑됨 |
| Sensor.externalIpAddress | principal.asset.ip | 대체 |
| malop_process.elementValues.ownerMachine.elementValues.0.name | principal.hostname | 직접 매핑됨 |
| malop_data.elementValues.affectedMachines.elementValues.0.name | principal.hostname | 대체 |
| machineName | principal.hostname | 대체 |
| 호스트 | principal.hostname | 대체 |
| dvchost | principal.hostname | 대체 |
| Sensor.fqdn | principal.hostname | 대체 |
| client_ip | principal.ip | 직접 매핑됨 |
| Sensor.externalIpAddress | principal.ip | 대체 |
| Sensor.internalIpAddress | principal.nat_ip | 직접 매핑됨 |
| Sensor.privateServerIp | principal.nat_ip | 대체 |
| Sensor.osType | principal.platform | 값이 'WINDOWS'인 경우 WINDOWS로, 'LINUX'인 경우 LINUX로, 'MAC'인 경우 MAC으로 설정 |
| Sensor.osVersionType | principal.platform_version | 직접 매핑됨 |
| malop_connection.simpleValues.localPort.values.0 | principal.port | 정수로 변환됨 |
| malop_process.simpleValues.commandLine.values.0 | principal.process.command_line | 직접 매핑됨 |
| malwareDataModel.filePath | principal.process.command_line | 대체 |
| malop_process.simpleValues.calculatedName.values.0 | principal.process.file.full_path | 직접 매핑됨 |
| name | principal.process.file.full_path | 대체 |
| malop_process.elementValues.parentProcess.elementValues.0.guid | principal.process.parent_process.product_specific_process_id | 'Cybereason:' 접두사가 붙습니다. |
| malop_process.elementValues.self.elementValues.0.guid | principal.process.pid | 직접 매핑됨 |
| malop_process.elementValues.self.elementValues.0.guid | principal.process.product_specific_process_id | 'Cybereason:' 접두사가 붙습니다. |
| malop_connection.elementValues.ownerProcess.elementValues.0.guid | principal.process.product_specific_process_id | 'Cybereason:'으로 시작, 대체 |
| companyName | principal.user.company_name | 직접 매핑됨 |
| malop_process.elementValues.calculatedUser.elementValues.0.name | principal.user.user_display_name | 직접 매핑됨 |
| malop_data.elementValues.affectedUsers.elementValues.0.name | principal.user.user_display_name | 대체 |
| malop_connection.elementValues.ownerProcess.user.elementValues.0.name | principal.user.user_display_name | 대체 |
| malop_process.elementValues.calculatedUser.elementValues.0.guid | principal.user.userid | 직접 매핑됨 |
| malop_data.elementValues.affectedUsers.elementValues.0.guid | principal.user.userid | 대체 |
| malop_connection.elementValues.ownerProcess.user.elementValues.0.guid | principal.user.userid | 대체 |
| security_result_action | security_result.action | 상태에 따라 ALLOW, BLOCK 또는 QUARANTINE으로 설정 |
| is_alert | security_result.alert_state | 값이 True인 경우 ALERTING으로 설정 |
| sr_category | security_result.category | SOFTWARE_MALICIOUS 또는 NETWORK_MALICIOUS로 설정 |
| query_details | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| affected_machine_count | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| link_to_malop | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| context_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| old_state_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| new_state_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| investigation_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| event_id_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| malop_activity_type_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| malop_suspect_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| malop_key_suspicion_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| device_custom_date_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| device_custom_date2_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| device_custom_date3_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| guid_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| displayName_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| pylumId_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| connected_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| isolated_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| osType_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| admin_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| domainUser_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| localSystem_label | security_result.detection_fields | 키-값 쌍으로 매핑됨 |
| 설명 | security_result.description | decision_feature, malop_status, privileges, passwordAgeDays, elementType, status, score, detectionValue, detectionValueType, detectionEngine과 연결됨 |
| decision_feature | security_result.description | 설명에 연결됨 |
| malop_status | security_result.description | 설명에 연결됨 |
| 권한 | security_result.description | 설명에 연결됨 |
| passwordAgeDays | security_result.description | 설명에 연결됨 |
| elementType | security_result.description | 설명에 연결됨 |
| 상태 | security_result.description | 설명에 연결됨 |
| 점수 | security_result.description | 설명에 연결됨 |
| detectionValue | security_result.description | 설명에 연결됨 |
| detectionValueType | security_result.description | 설명에 연결됨 |
| detectionEngine | security_result.description | 설명에 연결됨 |
| malop_data.malopPriority | security_result.priority | 직접 매핑됨 |
| malop_severity | security_result.severity | 직접 매핑됨 |
| security_severity | security_result.severity | 값이 8보다 크면 CRITICAL, 6보다 크면 HIGH, 4보다 크면 MEDIUM, 1보다 크면 LOW로 설정 |
| 줄이는 것을 | security_result.severity | '정보'인 경우 INFORMATIONAL, '오류' 또는 '높음'인 경우 ERROR, '경고' 또는 '중간'인 경우 MEDIUM, '심각'인 경우 CRITICAL, '낮음'인 경우 LOW, 그 외의 경우 UNKNOWN으로 설정됩니다. |
| 설명 | security_result.summary | 직접 매핑됨 |
| 유형 | security_result.summary | 대체 |
| malopId | security_result.threat_id | 직접 매핑됨 |
| malop_data.simpleValues.detectionType.values.0 | security_result.threat_name | 직접 매핑됨 |
| virusName | security_result.threat_name | 대체 |
| 상태 | security_result.threat_status | 값이 'Active'인 경우 ACTIVE로 설정하고 그렇지 않은 경우 FALSE_POSITIVE로 설정합니다. |
| malop_url | security_result.url_back_to_product | 직접 매핑됨 |
| machineName | target.asset.hostname | 직접 매핑됨 |
| affectedMachine | target.asset.hostname | 대체 |
| dvchost | target.asset.hostname | 대체 |
| Sensor.serverName | target.asset.hostname | 대체 |
| server.ip | target.asset.ip | 직접 매핑됨 |
| Sensor.serverIp | target.asset.ip | 대체 |
| malop_process.simpleValues.calculatedName.values.0 | target.file.full_path | 직접 매핑됨 |
| malop_connection.elementValues.ownerProcess.elementValues.0.name | target.file.full_path | 대체 |
| name | target.file.full_path | 대체 |
| malwareDataModel_filePath | target.file.full_path | 대체 |
| malop_process.simpleValues.imageFile.md5String.values.0 | target.file.md5 | 직접 매핑됨 |
| name | target.file.names | 직접 매핑됨 |
| machineName | target.hostname | 직접 매핑됨 |
| affectedMachine | target.hostname | 대체 |
| dvchost | target.hostname | 대체 |
| Sensor.serverName | target.hostname | 대체 |
| server.ip | target.ip | 직접 매핑됨 |
| Sensor.serverIp | target.ip | 대체 |
| malop_connection.simpleValues.remoteAddressCountryName.values.0 | target.location.country_or_region | 직접 매핑됨 |
| Sensor.privateServerIp | target.nat_ip | 직접 매핑됨 |
| malop_connection.simpleValues.remotePort.values.0 | target.port | 정수로 변환됨 |
| malop_process.simpleValues.calculatedName.values.0 | target.process.file.full_path | 직접 매핑됨 |
| malop_process.elementValues.self.elementValues.0.guid | target.process.pid | 직접 매핑됨 |
| malop_url | target.url | 직접 매핑됨 |
| (정적) | metadata.product_name | 'Cybereason'으로 설정 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.