Recolha registos do FireEye NX

Este documento explica como carregar registos do Trellix Network Security (anteriormente FireEye NX) para o Google Security Operations através do Bindplane.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Um anfitrião Windows 2016 ou posterior, ou Linux com systemd
• Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
• Acesso privilegiado à consola de gestão do Trellix Network Security (NX)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
   udplog:
      # Replace the port and IP address as required
      listen_address: "0.0.0.0:514"
   
   exporters:
   chronicle/fireeye_nx:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <CUSTOMER_ID>
      # Replace with your regional endpoint
      endpoint: <ENDPOINT>
      log_type: 'FIREEYE_NX'
      raw_log_field: body
      ingestion_labels:
   
   service:
   pipelines:
      logs/source0__chronicle_w_labels-0:
         receivers:
         - udplog
         exporters:
         - chronicle/fireeye_nx
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID de cliente real.
   • Substitua o valor <ENDPOINT> pelo seu ponto final regional:
     • Estados Unidos: malachiteingestion-pa.googleapis.com
     • Europa (Frankfurt): europe-west3-malachiteingestion-pa.googleapis.com
     • Europa (Londres): europe-west2-malachiteingestion-pa.googleapis.com
     • Europa (Zurique): europe-west6-malachiteingestion-pa.googleapis.com
     • Europa (Turim): europe-west12-malachiteingestion-pa.googleapis.com
     • Ásia (Tóquio): asia-northeast1-malachiteingestion-pa.googleapis.com
     • Médio Oriente (Tel Aviv): me-west1-malachiteingestion-pa.googleapis.com
     • Austrália (Sydney): australia-southeast1-malachiteingestion-pa.googleapis.com
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

1. Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configure o encaminhamento de Syslog na segurança de rede da Trellix

1. Inicie sessão na consola de segurança de rede da Trellix com uma conta de administrador.
2. Aceda a Definições > Notificações.
3. Clique no separador rsyslog.
4. Selecione a caixa de verificação Tipo de evento para ativar as notificações rsyslog.
5. No painel Definições, faculte os seguintes detalhes de configuração:
   • Formato predefinido: selecione CEF.
6. Na secção Lista de servidores Rsyslog:
   • Introduza um nome descritivo para a nova entrada (por exemplo, Google SecOps BindPlane).
   • Clique no botão Adicionar servidor Rsyslog.
7. Para o servidor adicionado recentemente, faculte os seguintes detalhes de configuração:
   • Ativado: selecione a caixa de verificação para ativar o servidor.
   • Endereço IP: introduza o endereço IP do agente BindPlane.
   • Porta: introduza o número da porta do agente BindPlane (por exemplo, 514).
   • Protocolo: selecione UDP ou TCP, consoante a configuração do agente BindPlane.
   • Tipos de eventos: selecione os tipos de eventos a encaminhar (ou selecione tudo para um registo abrangente).
8. Clique no botão Atualizar para guardar a configuração.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.