FireEye NX-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Trellix Network Security-Logs (früher FireEye NX) mit Bindplane in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein Windows 2016- oder höher- oder Linux-Host mit systemd
• Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
• Privilegierter Zugriff auf die Verwaltungskonsole von Trellix Network Security (NX)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Rufen Sie die Konfigurationsdatei auf:
   • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
   udplog:
      # Replace the port and IP address as required
      listen_address: "0.0.0.0:514"
   
   exporters:
   chronicle/fireeye_nx:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <CUSTOMER_ID>
      # Replace with your regional endpoint
      endpoint: <ENDPOINT>
      log_type: 'FIREEYE_NX'
      raw_log_field: body
      ingestion_labels:
   
   service:
   pipelines:
      logs/source0__chronicle_w_labels-0:
         receivers:
         - udplog
         exporters:
         - chronicle/fireeye_nx
   

   • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
   • Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kundennummer.
   • Ersetzen Sie den Wert <ENDPOINT> durch Ihren regionalen Endpunkt:
     • USA: malachiteingestion-pa.googleapis.com
     • Europa (Frankfurt): europe-west3-malachiteingestion-pa.googleapis.com
     • Europa (London): europe-west2-malachiteingestion-pa.googleapis.com
     • Europa (Zürich): europe-west6-malachiteingestion-pa.googleapis.com
     • Europa (Turin): europe-west12-malachiteingestion-pa.googleapis.com
     • Asien (Tokio): asia-northeast1-malachiteingestion-pa.googleapis.com
     • Naher Osten (Tel Aviv): me-west1-malachiteingestion-pa.googleapis.com
     • Australien (Sydney): australia-southeast1-malachiteingestion-pa.googleapis.com
   • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

1. Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

   sudo systemctl restart bindplane-agent
   

2. Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Syslog-Weiterleitung in Trellix Network Security konfigurieren

1. Melden Sie sich mit einem Administratorkonto in der Trellix Network Security Console an.
2. Rufen Sie die Einstellungen > Benachrichtigungen auf.
3. Klicken Sie auf den Tab rsyslog.
4. Wählen Sie das Kästchen Ereignistyp aus, um rsyslog-Benachrichtigungen zu aktivieren.
5. Geben Sie im Bereich Einstellungen die folgenden Konfigurationsdetails an:
   • Standardformat: Wählen Sie CEF aus.
6. Im Abschnitt Rsyslog Server Listing (Rsyslog-Serverliste):
   • Geben Sie einen aussagekräftigen Namen für den neuen Eintrag ein, z. B. Google SecOps BindPlane.
   • Klicken Sie auf die Schaltfläche Rsyslog-Server hinzufügen.
7. Geben Sie für den neu hinzugefügten Server die folgenden Konfigurationsdetails an:
   • Aktiviert: Klicken Sie das Kästchen an, um den Server zu aktivieren.
   • IP-Adresse: Geben Sie die IP-Adresse des BindPlane-Agents ein.
   • Port: Geben Sie die Portnummer des BindPlane-Agents ein (z. B. 514).
   • Protokoll: Wählen Sie je nach BindPlane Agent-Konfiguration UDP oder TCP aus.
   • Ereignistypen: Wählen Sie die Ereignistypen aus, die weitergeleitet werden sollen (oder Alle für eine umfassende Protokollierung).
8. Klicken Sie auf die Schaltfläche Aktualisieren, um die Konfiguration zu speichern.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten