Raccogliere i log di FireEye NX
Supportato in:
Google secops
SIEM
Questo documento spiega come importare i log di Trellix Network Security (in precedenza FireEye NX) in Google Security Operations utilizzando Bindplane.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Un host Windows 2016 o versioni successive o Linux con
systemd - Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi alla console di gestione di Trellix Network Security (NX)
Recuperare il file di autenticazione per l'importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione per l'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane
Recuperare l'ID cliente di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installare l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di finestre
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse di installazione aggiuntive
Per altre opzioni di installazione, consulta la guida all'installazione.
Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml. In genere si trova nella/etc/bindplane-agent/directory su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome indicato di seguito:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_nx: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> # Replace with your regional endpoint endpoint: <ENDPOINT> log_type: 'FIREEYE_NX' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/fireeye_nx- Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
- Sostituisci
<CUSTOMER_ID>con l'ID cliente effettivo. - Sostituisci il valore
<ENDPOINT>con l'endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa (Francoforte):
europe-west3-malachiteingestion-pa.googleapis.com - Europa (Londra):
europe-west2-malachiteingestion-pa.googleapis.com - Europa (Zurigo):
europe-west6-malachiteingestion-pa.googleapis.com - Europa (Torino):
europe-west12-malachiteingestion-pa.googleapis.com - Asia (Tokyo):
asia-northeast1-malachiteingestion-pa.googleapis.com - Medio Oriente (Tel Aviv):
me-west1-malachiteingestion-pa.googleapis.com - Australia (Sydney):
australia-southeast1-malachiteingestion-pa.googleapis.com
- Stati Uniti:
- Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recuperare il file di autenticazione per l'importazione di Google SecOps.
Riavviare l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agentPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire questo comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare l'inoltro di Syslog su Trellix Network Security
- Accedi alla console di Trellix Network Security con un account amministratore.
- Vai a Impostazioni > Notifiche.
- Fai clic sulla scheda rsyslog.
- Seleziona la casella di controllo Tipo di evento per attivare le notifiche rsyslog.
- Nel riquadro Impostazioni, fornisci i seguenti dettagli di configurazione:
- Formato predefinito: seleziona CEF.
- Nella sezione Elenco server Rsyslog:
- Digita un nome descrittivo per la nuova voce (ad esempio
Google SecOps BindPlane). - Fai clic sul pulsante Aggiungi server Rsyslog.
- Digita un nome descrittivo per la nuova voce (ad esempio
- Per il server appena aggiunto, fornisci i seguenti dettagli di configurazione:
- Attivato: seleziona la casella di controllo per attivare il server.
- Indirizzo IP: inserisci l'indirizzo IP dell'agente BindPlane.
- Porta: inserisci il numero di porta dell'agente BindPlane (ad esempio
514). - Protocollo: seleziona UDP o TCP, a seconda della configurazione dell'agente BindPlane.
- Tipi di eventi: seleziona i tipi di eventi da inoltrare (oppure seleziona Tutti per la registrazione completa).
- Fai clic sul pulsante Aggiorna per salvare la configurazione.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Funzione logica |
|---|---|---|
| alert.dst.ip | target.ip, target.asset.ip | Mappatura diretta dal campo alert.dst.ip |
| alert.dst.mac | target.mac, target.asset.mac | Mappatura diretta dal campo alert.dst.mac |
| alert.dst.port | target.port | Mappatura diretta dal campo alert.dst.port |
| alert.explanation.cnc-services.cnc-service.address | target.ip, target.asset.ip | Mappatura diretta dal campo alert.explanation.cnc-services.cnc-service.address |
| alert.explanation.cnc-services.cnc-service.port | target.port | Mappatura diretta dal campo alert.explanation.cnc-services.cnc-service.port |
| alert.explanation.cnc-services.cnc-service.url | target.url | Mappatura diretta dal campo alert.explanation.cnc-services.cnc-service.url |
| alert.explanation.malware-detected.malware.0.name | security_result.threat_name | Mappatura diretta dal campo alert.explanation.malware-detected.malware.0.name in caso di rilevamento di più malware nell'array |
| alert.explanation.malware-detected.malware.md5sum | target.file.md5 | Mappatura diretta dal campo alert.explanation.malware-detected.malware.md5sum |
| alert.explanation.malware-detected.malware.name | security_result.threat_name | Mappatura diretta dal campo alert.explanation.malware-detected.malware.name |
| alert.explanation.malware-detected.malware.sha1 | target.file.sha1 | Mappatura diretta dal campo alert.explanation.malware-detected.malware.sha1 |
| alert.explanation.malware-detected.malware.sha256 | target.file.sha256 | Mappatura diretta dal campo alert.explanation.malware-detected.malware.sha256 |
| alert.explanation.malware-detected.malware.url | target.url | Mappatura diretta dal campo alert.explanation.malware-detected.malware.url |
| alert.name | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo alert.name |
| alert.occurred | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo alert.occurred |
| alert.src.domain | principal.hostname | Mappatura diretta dal campo alert.src.domain |
| alert.src.host | principal.hostname | Mappatura diretta dal campo alert.src.host |
| alert.src.ip | principal.ip, principal.asset.ip | Mappatura diretta dal campo alert.src.ip |
| alert.src.mac | principal.mac, principal.asset.mac | Mappatura diretta dal campo alert.src.mac |
| alert.src.port | principal.port | Mappatura diretta dal campo alert.src.port |
| alert.src.smtp-mail-from | network.email.from | Mappatura diretta dal campo alert.src.smtp-mail-from |
| alert.smtp-message.id | network.email.mail_id | Mappatura diretta dal campo alert.smtp-message.id |
| alert.smtp-message.subject | network.email.subject | Mappatura diretta dal campo alert.smtp-message.subject |
| client_ip | principal.ip | Mappatura diretta dal campo client_ip |
| client_src_port | principal.port | Mappatura diretta dal campo client_src_port |
| compression | additional.fields.value.string_value | Mappatura diretta dal campo compression |
| etag | additional.fields.value.string_value | Mappatura diretta dal campo etag |
| host | principal.hostname | Mappatura diretta dal campo host |
| log_id | read_only_udm.metadata.product_log_id | Mappatura diretta dal campo log_id |
| method | network.http.method | Mappatura diretta dal campo method |
| persistent_session_id | network.session_id | Mappatura diretta dal campo persistent_session_id |
| pool | additional.fields.value.string_value | Mappatura diretta dal campo pool |
| pool_name | additional.fields.value.string_value | Mappatura diretta dal campo pool_name |
| request_id | additional.fields.value.string_value | Mappatura diretta dal campo request_id |
| request_state | additional.fields.value.string_value | Mappatura diretta dal campo request_state |
| response_code | network.http.response_code | Mappatura diretta dal campo response_code |
| rewritten_uri_query | additional.fields.value.string_value | Mappatura diretta dal campo rewritten_uri_query |
| server_ip | target.ip | Mappatura diretta dal campo server_ip |
| server_name | target.hostname | Mappatura diretta dal campo server_name |
| server_src_port | target.port | Mappatura diretta dal campo server_src_port |
| service_engine | additional.fields.value.string_value | Mappatura diretta dal campo service_engine |
| ssl_cipher | network.tls.cipher | Mappatura diretta dal campo ssl_cipher |
| ssl_version | network.tls.version_protocol | Mappatura diretta dal campo ssl_version |
| uri_path | network.http.referral_url | Mappatura diretta dal campo uri_path |
| uri_query | additional.fields.value.string_value | Mappatura diretta dal campo uri_query |
| user_id | principal.user.userid | Mappatura diretta dal campo user_id |
| virtualservice | additional.fields.value.string_value | Mappatura diretta dal campo virtualservice |
| vs_name | additional.fields.value.string_value | Mappatura diretta dal campo vs_name |
| read_only_udm.metadata.event_type | Imposta su SCAN_UNCATEGORIZED se sono presenti sia l'indirizzo IP principale sia quello di destinazione, STATUS_UPDATE se è presente l'indirizzo IP o il nome host principale, USER_UNCATEGORIZED se è presente l'ID utente principale, EMAIL_TRANSACTION se sono presenti sia alert.src.smtp-mail-from sia alert.dst.smtp-to e GENERIC_EVENT in caso contrario. |
|
| read_only_udm.metadata.ingested_timestamp | Imposta sul timestamp corrente se alert.attack-time non è presente. |
|
| read_only_udm.metadata.log_type | Imposta su FIREEYE_NX. |
|
| read_only_udm.metadata.vendor_name | Imposta su FireEye. |
|
| read_only_udm.network.application_protocol | Imposta su HTTP se il messaggio contiene "http" (senza distinzione tra maiuscole e minuscole). |
|
| read_only_udm.security_result.action | Imposta su ALLOW se _source.action è "notified" (senza distinzione tra maiuscole e minuscole), BLOCK se _source.action è "blocked" (senza distinzione tra maiuscole e minuscole) e UNKNOWN_ACTION in caso contrario. |
|
| read_only_udm.security_result.category | Imposta su NETWORK_SUSPICIOUS se sec_category contiene "DOMAIN.MATCH" (senza distinzione tra maiuscole e minuscole), NETWORK_MALICIOUS se sec_category contiene "INFECTION.MATCH" o "WEB.INFECTION" (senza distinzione tra maiuscole e minuscole), SOFTWARE_MALICIOUS se sec_category contiene "MALWARE.OBJECT" (senza distinzione tra maiuscole e minuscole), NETWORK_COMMAND_AND_CONTROL se sec_category contiene "MALWARE.CALLBACK" (senza distinzione tra maiuscole e minuscole) e UNKNOWN_CATEGORY in caso contrario. |
|
| read_only_udm.security_result.severity | Imposta su MEDIUM se _source.severity o temp_severity è "majr" (senza distinzione tra maiuscole e minuscole), LOW se _source.severity o temp_severity è "minr" (senza distinzione tra maiuscole e minuscole) e non impostato in caso contrario. |
|
| read_only_udm.security_result.summary | Imposta sul valore di security_result.threat_name. |
|
| is_alert | Imposta su true. |
|
| is_significant | Imposta su true. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.