本頁面由 Cloud Translation API 翻譯而成。

收集 FireEye NX 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Trellix Network Security (舊稱 FireEye NX) 記錄檔擷取至 Google Security Operations。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
搭載 systemd 的 Windows 2016 以上版本或 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Trellix Network Security (NX) 管理主控台的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。在要安裝 Bindplane 的系統上安全地儲存檔案

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。
按照下列方式編輯 config.yaml 檔案：
```
receivers:
udplog:
   # Replace the port and IP address as required
   listen_address: "0.0.0.0:514"

exporters:
chronicle/fireeye_nx:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <CUSTOMER_ID>
   # Replace with your regional endpoint
   endpoint: <ENDPOINT>
   log_type: 'FIREEYE_NX'
   raw_log_field: body
   ingestion_labels:

service:
pipelines:
   logs/source0__chronicle_w_labels-0:
      receivers:
      - udplog
      exporters:
      - chronicle/fireeye_nx
```
- 視基礎架構需求替換通訊埠和 IP 位址。
- 將 <CUSTOMER_ID> 替換為實際的客戶 ID。
- 將 <ENDPOINT> 值替換為您的區域端點：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲 (法蘭克福)：europe-west3-malachiteingestion-pa.googleapis.com
  - 歐洲 (倫敦)：europe-west2-malachiteingestion-pa.googleapis.com
  - 歐洲 (蘇黎世)：europe-west6-malachiteingestion-pa.googleapis.com
  - 歐洲 (杜林)：europe-west12-malachiteingestion-pa.googleapis.com
  - 亞洲 (東京)：asia-northeast1-malachiteingestion-pa.googleapis.com
  - 中東 (特拉維夫)：me-west1-malachiteingestion-pa.googleapis.com
  - 澳洲 (雪梨)：australia-southeast1-malachiteingestion-pa.googleapis.com
- 將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」主控台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Trellix Network Security 上設定 Syslog 轉送

使用管理員帳戶登入 Trellix Network Security 控制台。
依序前往「設定」>「通知」。
按一下「rsyslog」rsyslog分頁標籤。
選取「事件類型」核取方塊，啟用 rsyslog 通知。
在「設定」面板中，提供下列設定詳細資料：
- 預設格式：選取「CEF」。
在「Rsyslog 伺服器清單」部分：
- 輸入新項目的描述性名稱 (例如 Google SecOps BindPlane)。
- 按一下「新增 Rsyslog 伺服器」按鈕。
針對新加入的伺服器，提供下列設定詳細資料：
- 已啟用：勾選核取方塊即可啟用伺服器。
- IP 位址：輸入 BindPlane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 BindPlane 代理程式通訊埠編號 (例如 514)。
- 通訊協定：根據 BindPlane Agent 設定，選取 UDP 或 TCP。
- 事件類型：選取要轉送的事件類型 (或選取「全部」，進行全面記錄)。
按一下「更新」按鈕，儲存設定。

UDM 對應表

記錄欄位	UDM 對應	邏輯
alert.dst.ip	target.ip、target.asset.ip	直接對應「`alert.dst.ip`」欄位
alert.dst.mac	target.mac、target.asset.mac	直接對應「`alert.dst.mac`」欄位
alert.dst.port	target.port	直接對應「`alert.dst.port`」欄位
alert.explanation.cnc-services.cnc-service.address	target.ip、target.asset.ip	直接對應「`alert.explanation.cnc-services.cnc-service.address`」欄位
alert.explanation.cnc-services.cnc-service.port	target.port	直接對應「`alert.explanation.cnc-services.cnc-service.port`」欄位
alert.explanation.cnc-services.cnc-service.url	target.url	直接對應「`alert.explanation.cnc-services.cnc-service.url`」欄位
alert.explanation.malware-detected.malware.0.name	security_result.threat_name	如果陣列中偵測到多個惡意軟體，則直接從 `alert.explanation.malware-detected.malware.0.name` 欄位對應
alert.explanation.malware-detected.malware.md5sum	target.file.md5	直接對應「`alert.explanation.malware-detected.malware.md5sum`」欄位
alert.explanation.malware-detected.malware.name	security_result.threat_name	直接對應「`alert.explanation.malware-detected.malware.name`」欄位
alert.explanation.malware-detected.malware.sha1	target.file.sha1	直接對應「`alert.explanation.malware-detected.malware.sha1`」欄位
alert.explanation.malware-detected.malware.sha256	target.file.sha256	直接對應「`alert.explanation.malware-detected.malware.sha256`」欄位
alert.explanation.malware-detected.malware.url	target.url	直接對應「`alert.explanation.malware-detected.malware.url`」欄位
alert.name	read_only_udm.metadata.product_event_type	直接對應「`alert.name`」欄位
alert.occurred	read_only_udm.metadata.event_timestamp	直接對應「`alert.occurred`」欄位
alert.src.domain	principal.hostname	直接對應「`alert.src.domain`」欄位
alert.src.host	principal.hostname	直接對應「`alert.src.host`」欄位
alert.src.ip	principal.ip、principal.asset.ip	直接對應「`alert.src.ip`」欄位
alert.src.mac	principal.mac、principal.asset.mac	直接對應「`alert.src.mac`」欄位
alert.src.port	principal.port	直接對應「`alert.src.port`」欄位
alert.src.smtp-mail-from	network.email.from	直接對應「`alert.src.smtp-mail-from`」欄位
alert.smtp-message.id	network.email.mail_id	直接對應「`alert.smtp-message.id`」欄位
alert.smtp-message.subject	network.email.subject	直接對應「`alert.smtp-message.subject`」欄位
client_ip	principal.ip	直接對應「`client_ip`」欄位
client_src_port	principal.port	直接對應「`client_src_port`」欄位
壓縮	additional.fields.value.string_value	直接對應「`compression`」欄位
etag	additional.fields.value.string_value	直接對應「`etag`」欄位
主機	principal.hostname	直接對應「`host`」欄位
log_id	read_only_udm.metadata.product_log_id	直接對應「`log_id`」欄位
方法	network.http.method	直接對應「`method`」欄位
persistent_session_id	network.session_id	直接對應「`persistent_session_id`」欄位
水池	additional.fields.value.string_value	直接對應「`pool`」欄位
pool_name	additional.fields.value.string_value	直接對應「`pool_name`」欄位
request_id	additional.fields.value.string_value	直接對應「`request_id`」欄位
request_state	additional.fields.value.string_value	直接對應「`request_state`」欄位
response_code	network.http.response_code	直接對應「`response_code`」欄位
rewritten_uri_query	additional.fields.value.string_value	直接對應「`rewritten_uri_query`」欄位
server_ip	target.ip	直接對應「`server_ip`」欄位
server_name	target.hostname	直接對應「`server_name`」欄位
server_src_port	target.port	直接對應「`server_src_port`」欄位
service_engine	additional.fields.value.string_value	直接對應「`service_engine`」欄位
ssl_cipher	network.tls.cipher	直接對應「`ssl_cipher`」欄位
ssl_version	network.tls.version_protocol	直接對應「`ssl_version`」欄位
uri_path	network.http.referral_url	直接對應「`uri_path`」欄位
uri_query	additional.fields.value.string_value	直接對應「`uri_query`」欄位
user_id	principal.user.userid	直接對應「`user_id`」欄位
virtualservice	additional.fields.value.string_value	直接對應「`virtualservice`」欄位
vs_name	additional.fields.value.string_value	直接對應「`vs_name`」欄位
	read_only_udm.metadata.event_type	如果主體和目標 IP 位址都存在，請設為 `SCAN_UNCATEGORIZED`；如果主體 IP 或主機名稱存在，請設為 `STATUS_UPDATE`；如果主體使用者 ID 存在，請設為 `USER_UNCATEGORIZED`；如果 `alert.src.smtp-mail-from` 和 `alert.dst.smtp-to` 都存在，請設為 `EMAIL_TRANSACTION`；否則請設為 `GENERIC_EVENT`。
	read_only_udm.metadata.ingested_timestamp	如果沒有 `alert.attack-time`，則設為目前的時間戳記。
	read_only_udm.metadata.log_type	設為 `FIREEYE_NX`。
	read_only_udm.metadata.vendor_name	設為 `FireEye`。
	read_only_udm.network.application_protocol	如果訊息包含「http」(不區分大小寫)，請設為 `HTTP`。
	read_only_udm.security_result.action	如果 `_source.action` 為「notified」(不區分大小寫)，則設為 `ALLOW`；如果 `_source.action` 為「blocked」(不區分大小寫)，則設為 `BLOCK`；否則設為 `UNKNOWN_ACTION`。
	read_only_udm.security_result.category	如果 `sec_category` 包含「DOMAIN.MATCH」(不區分大小寫)，請設為 `NETWORK_SUSPICIOUS`；如果 `sec_category` 包含「INFECTION.MATCH」或「WEB.INFECTION」(不區分大小寫)，請設為 `NETWORK_MALICIOUS`；如果 `sec_category` 包含「MALWARE.OBJECT」(不區分大小寫)，請設為 `SOFTWARE_MALICIOUS`；如果 `sec_category` 包含「MALWARE.CALLBACK」(不區分大小寫)，請設為 `NETWORK_COMMAND_AND_CONTROL`；否則請設為 `UNKNOWN_CATEGORY`。
	read_only_udm.security_result.severity	如果 `_source.severity` 或 `temp_severity` 為「majr」(不分大小寫)，則設為 `MEDIUM`；如果 `_source.severity` 或 `temp_severity` 為「minr」(不分大小寫)，則設為 `LOW`；否則不設定。
	read_only_udm.security_result.summary	設為 `security_result.threat_name` 的值。
	is_alert	設為 `true`。
	is_significant	設為 `true`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。