FireEye NX のログを収集する

このドキュメントでは、Bindplane を使用して Trellix Network Security（以前の FireEye NX）ログを Google Security Operations に取り込む方法について説明します。

始める前に

次の前提条件を満たしていることを確認してください。

• Google SecOps インスタンス
• Windows 2016 以降、または systemd を使用する Linux ホスト
• プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
• Trellix Network Security（NX）管理コンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [コレクション エージェント] に移動します。
3. Ingestion Authentication File をダウンロードします。Bindplane がインストールされるシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [プロファイル] に移動します。
3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

2. 次のコマンドを実行します。

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux のインストール

1. root 権限または sudo 権限でターミナルを開きます。

2. 次のコマンドを実行します。

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

1. 構成ファイルにアクセスします。
   • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
   • テキスト エディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

2. config.yaml ファイルを次のように編集します。

   receivers:
   udplog:
      # Replace the port and IP address as required
      listen_address: "0.0.0.0:514"
   
   exporters:
   chronicle/fireeye_nx:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <CUSTOMER_ID>
      # Replace with your regional endpoint
      endpoint: <ENDPOINT>
      log_type: 'FIREEYE_NX'
      raw_log_field: body
      ingestion_labels:
   
   service:
   pipelines:
      logs/source0__chronicle_w_labels-0:
         receivers:
         - udplog
         exporters:
         - chronicle/fireeye_nx
   

   • 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
   • <CUSTOMER_ID> は、実際の顧客 ID に置き換えます。
   • <ENDPOINT> の値をリージョン エンドポイントに置き換えます。
     • 米国: malachiteingestion-pa.googleapis.com
     • ヨーロッパ（フランクフルト）: europe-west3-malachiteingestion-pa.googleapis.com
     • ヨーロッパ（ロンドン）: europe-west2-malachiteingestion-pa.googleapis.com
     • ヨーロッパ（チューリッヒ）: europe-west6-malachiteingestion-pa.googleapis.com
     • ヨーロッパ（トリノ）: europe-west12-malachiteingestion-pa.googleapis.com
     • アジア（東京）: asia-northeast1-malachiteingestion-pa.googleapis.com
     • 中東（テルアビブ）: me-west1-malachiteingestion-pa.googleapis.com
     • オーストラリア（シドニー）: australia-southeast1-malachiteingestion-pa.googleapis.com
   • /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

1. Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

   sudo systemctl restart bindplane-agent
   

2. Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Trellix Network Security で Syslog 転送を構成する

1. 管理者アカウントで Trellix ネットワーク セキュリティ コンソールにログインします。
2. [設定] > [通知] に移動します。
3. [rsyslog] タブをクリックします。
4. [イベントタイプ] チェックボックスをオンにして、rsyslog 通知を有効にします。
5. [設定] パネルで、次の構成の詳細を指定します。
   • デフォルトの形式: [CEF] を選択します。
6. [Rsyslog Server Listing] セクションで次の操作を行います。
   • 新しいエントリのわかりやすい名前を入力します（例: Google SecOps BindPlane）。
   • [Rsyslog サーバーを追加] ボタンをクリックします。
7. 新しく追加したサーバーについて、次の構成情報を入力します。
   • 有効: チェックボックスをオンにして、サーバーを有効にします。
   • IP アドレス: BindPlane Agent の IP アドレスを入力します。
   • ポート: BindPlane Agent のポート番号（例: 514）を入力します。
   • プロトコル: BindPlane エージェントの構成に応じて、[UDP] または [TCP] を選択します。
   • イベントタイプ: 転送するイベントタイプを選択します（包括的なロギングを行う場合は [すべて] を選択します）。
8. [更新] ボタンをクリックして、構成を保存します。

UDM マッピング テーブル

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。