Coletar registros do FireEye NX

Este documento explica como ingerir registros do Trellix Network Security (antigo FireEye NX) no Google Security Operations usando o Bindplane.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Um host Windows 2016 ou mais recente ou Linux com systemd
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
• Acesso privilegiado ao console de gerenciamento do Trellix Network Security (NX)

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
   udplog:
      # Replace the port and IP address as required
      listen_address: "0.0.0.0:514"
   
   exporters:
   chronicle/fireeye_nx:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <CUSTOMER_ID>
      # Replace with your regional endpoint
      endpoint: <ENDPOINT>
      log_type: 'FIREEYE_NX'
      raw_log_field: body
      ingestion_labels:
   
   service:
   pipelines:
      logs/source0__chronicle_w_labels-0:
         receivers:
         - udplog
         exporters:
         - chronicle/fireeye_nx
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID de cliente real.
   • Substitua o valor <ENDPOINT> pelo endpoint regional:
     • Estados Unidos: malachiteingestion-pa.googleapis.com
     • Europa (Frankfurt): europe-west3-malachiteingestion-pa.googleapis.com
     • Europa (Londres): europe-west2-malachiteingestion-pa.googleapis.com
     • Europa (Zurique): europe-west6-malachiteingestion-pa.googleapis.com
     • Europa (Turim): europe-west12-malachiteingestion-pa.googleapis.com
     • Ásia (Tóquio): asia-northeast1-malachiteingestion-pa.googleapis.com
     • Oriente Médio (Tel Aviv): me-west1-malachiteingestion-pa.googleapis.com
     • Austrália (Sydney): australia-southeast1-malachiteingestion-pa.googleapis.com
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

1. Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configurar o encaminhamento de syslog na segurança de rede da Trellix

1. Faça login no console do Trellix Network Security com uma conta de administrador.
2. Acesse Configurações > Notificações.
3. Clique na guia rsyslog.
4. Marque a caixa de seleção Tipo de evento para ativar as notificações do rsyslog.
5. No painel Configurações, forneça os seguintes detalhes de configuração:
   • Formato padrão: selecione CEF.
6. Na seção Lista de servidores Rsyslog:
   • Digite um nome descritivo para a nova entrada (por exemplo, Google SecOps BindPlane).
   • Clique no botão Adicionar servidor Rsyslog.
7. Para o servidor recém-adicionado, forneça os seguintes detalhes de configuração:
   • Ativado: marque a caixa de seleção para ativar o servidor.
   • Endereço IP: insira o endereço IP do agente do BindPlane.
   • Porta: insira o número da porta do agente do BindPlane (por exemplo, 514).
   • Protocolo: selecione UDP ou TCP, dependendo da configuração do agente do BindPlane.
   • Tipos de evento: selecione os tipos de evento a serem encaminhados ou selecione todos para um registro abrangente.
8. Clique no botão Atualizar para salvar a configuração.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.