Mengumpulkan log FireEye NX
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Trellix Network Security (sebelumnya FireEye NX) ke Google Security Operations menggunakan Bindplane.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Host Windows 2016 atau yang lebih baru atau Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan Trellix Network Security (NX)
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
- Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/fireeye_nx: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> # Replace with your regional endpoint endpoint: <ENDPOINT> log_type: 'FIREEYE_NX' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/fireeye_nx- Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
- Ganti
<CUSTOMER_ID>dengan ID Pelanggan yang sebenarnya. - Ganti nilai
<ENDPOINT>dengan endpoint regional Anda:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa (Frankfurt):
europe-west3-malachiteingestion-pa.googleapis.com - Eropa (London):
europe-west2-malachiteingestion-pa.googleapis.com - Eropa (Zurich):
europe-west6-malachiteingestion-pa.googleapis.com - Eropa (Turin):
europe-west12-malachiteingestion-pa.googleapis.com - Asia (Tokyo):
asia-northeast1-malachiteingestion-pa.googleapis.com - Timur Tengah (Tel Aviv):
me-west1-malachiteingestion-pa.googleapis.com - Australia (Sydney):
australia-southeast1-malachiteingestion-pa.googleapis.com
- Amerika Serikat:
- Ganti
/path/to/ingestion-authentication-file.jsondengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi penerusan Syslog di Trellix Network Security
- Login ke konsol Trellix Network Security dengan akun administrator.
- Buka Setelan > Notifikasi.
- Klik tab rsyslog.
- Centang kotak Jenis peristiwa untuk mengaktifkan notifikasi rsyslog.
- Di panel Settings, berikan detail konfigurasi berikut:
- Format default: Pilih CEF.
- Di bagian Daftar Server Rsyslog:
- Ketik nama deskriptif untuk entri baru (misalnya,
Google SecOps BindPlane). - Klik tombol Add Rsyslog Server.
- Ketik nama deskriptif untuk entri baru (misalnya,
- Untuk server yang baru ditambahkan, berikan detail konfigurasi berikut:
- Diaktifkan: Centang kotak untuk mengaktifkan server.
- Alamat IP: Masukkan alamat IP Agen BindPlane.
- Port: Masukkan nomor port BindPlane Agent (misalnya,
514). - Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi Agen BindPlane Anda.
- Jenis Acara: Pilih jenis acara yang akan diteruskan (atau pilih semua untuk pencatatan log yang komprehensif).
- Klik tombol Perbarui untuk menyimpan konfigurasi.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| alert.dst.ip | target.ip, target.asset.ip | Pemetaan langsung dari kolom alert.dst.ip |
| alert.dst.mac | target.mac, target.asset.mac | Pemetaan langsung dari kolom alert.dst.mac |
| alert.dst.port | target.port | Pemetaan langsung dari kolom alert.dst.port |
| alert.explanation.cnc-services.cnc-service.address | target.ip, target.asset.ip | Pemetaan langsung dari kolom alert.explanation.cnc-services.cnc-service.address |
| alert.explanation.cnc-services.cnc-service.port | target.port | Pemetaan langsung dari kolom alert.explanation.cnc-services.cnc-service.port |
| alert.explanation.cnc-services.cnc-service.url | target.url | Pemetaan langsung dari kolom alert.explanation.cnc-services.cnc-service.url |
| alert.explanation.malware-detected.malware.0.name | security_result.threat_name | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.0.name jika ada beberapa deteksi malware dalam array |
| alert.explanation.malware-detected.malware.md5sum | target.file.md5 | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.md5sum |
| alert.explanation.malware-detected.malware.name | security_result.threat_name | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.name |
| alert.explanation.malware-detected.malware.sha1 | target.file.sha1 | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.sha1 |
| alert.explanation.malware-detected.malware.sha256 | target.file.sha256 | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.sha256 |
| alert.explanation.malware-detected.malware.url | target.url | Pemetaan langsung dari kolom alert.explanation.malware-detected.malware.url |
| alert.name | read_only_udm.metadata.product_event_type | Pemetaan langsung dari kolom alert.name |
| alert.occurred | read_only_udm.metadata.event_timestamp | Pemetaan langsung dari kolom alert.occurred |
| alert.src.domain | principal.hostname | Pemetaan langsung dari kolom alert.src.domain |
| alert.src.host | principal.hostname | Pemetaan langsung dari kolom alert.src.host |
| alert.src.ip | principal.ip, principal.asset.ip | Pemetaan langsung dari kolom alert.src.ip |
| alert.src.mac | principal.mac, principal.asset.mac | Pemetaan langsung dari kolom alert.src.mac |
| alert.src.port | principal.port | Pemetaan langsung dari kolom alert.src.port |
| alert.src.smtp-mail-from | network.email.from | Pemetaan langsung dari kolom alert.src.smtp-mail-from |
| alert.smtp-message.id | network.email.mail_id | Pemetaan langsung dari kolom alert.smtp-message.id |
| alert.smtp-message.subject | network.email.subject | Pemetaan langsung dari kolom alert.smtp-message.subject |
| client_ip | principal.ip | Pemetaan langsung dari kolom client_ip |
| client_src_port | principal.port | Pemetaan langsung dari kolom client_src_port |
| kompresi | additional.fields.value.string_value | Pemetaan langsung dari kolom compression |
| etag | additional.fields.value.string_value | Pemetaan langsung dari kolom etag |
| host | principal.hostname | Pemetaan langsung dari kolom host |
| log_id | read_only_udm.metadata.product_log_id | Pemetaan langsung dari kolom log_id |
| metode | network.http.method | Pemetaan langsung dari kolom method |
| persistent_session_id | network.session_id | Pemetaan langsung dari kolom persistent_session_id |
| kolam renang | additional.fields.value.string_value | Pemetaan langsung dari kolom pool |
| pool_name | additional.fields.value.string_value | Pemetaan langsung dari kolom pool_name |
| request_id | additional.fields.value.string_value | Pemetaan langsung dari kolom request_id |
| request_state | additional.fields.value.string_value | Pemetaan langsung dari kolom request_state |
| response_code | network.http.response_code | Pemetaan langsung dari kolom response_code |
| rewritten_uri_query | additional.fields.value.string_value | Pemetaan langsung dari kolom rewritten_uri_query |
| server_ip | target.ip | Pemetaan langsung dari kolom server_ip |
| server_name | target.hostname | Pemetaan langsung dari kolom server_name |
| server_src_port | target.port | Pemetaan langsung dari kolom server_src_port |
| service_engine | additional.fields.value.string_value | Pemetaan langsung dari kolom service_engine |
| ssl_cipher | network.tls.cipher | Pemetaan langsung dari kolom ssl_cipher |
| ssl_version | network.tls.version_protocol | Pemetaan langsung dari kolom ssl_version |
| uri_path | network.http.referral_url | Pemetaan langsung dari kolom uri_path |
| uri_query | additional.fields.value.string_value | Pemetaan langsung dari kolom uri_query |
| user_id | principal.user.userid | Pemetaan langsung dari kolom user_id |
| virtualservice | additional.fields.value.string_value | Pemetaan langsung dari kolom virtualservice |
| vs_name | additional.fields.value.string_value | Pemetaan langsung dari kolom vs_name |
| read_only_udm.metadata.event_type | Tetapkan ke SCAN_UNCATEGORIZED jika alamat IP utama dan target ada, STATUS_UPDATE jika nama host atau IP utama ada, USER_UNCATEGORIZED jika ID pengguna utama ada, EMAIL_TRANSACTION jika alert.src.smtp-mail-from dan alert.dst.smtp-to ada, dan GENERIC_EVENT jika tidak. |
|
| read_only_udm.metadata.ingested_timestamp | Disetel ke stempel waktu saat ini jika alert.attack-time tidak ada. |
|
| read_only_udm.metadata.log_type | Tetapkan ke FIREEYE_NX. |
|
| read_only_udm.metadata.vendor_name | Tetapkan ke FireEye. |
|
| read_only_udm.network.application_protocol | Disetel ke HTTP jika pesan berisi "http" (tidak peka huruf besar/kecil). |
|
| read_only_udm.security_result.action | Ditetapkan ke ALLOW jika _source.action adalah "notified" (tidak peka huruf besar/kecil), BLOCK jika _source.action adalah "blocked" (tidak peka huruf besar/kecil), dan UNKNOWN_ACTION jika tidak. |
|
| read_only_udm.security_result.category | Disetel ke NETWORK_SUSPICIOUS jika sec_category berisi "DOMAIN.MATCH" (tidak peka huruf besar/kecil), NETWORK_MALICIOUS jika sec_category berisi "INFECTION.MATCH" atau "WEB.INFECTION" (tidak peka huruf besar/kecil), SOFTWARE_MALICIOUS jika sec_category berisi "MALWARE.OBJECT" (tidak peka huruf besar/kecil), NETWORK_COMMAND_AND_CONTROL jika sec_category berisi "MALWARE.CALLBACK" (tidak peka huruf besar/kecil), dan UNKNOWN_CATEGORY jika tidak. |
|
| read_only_udm.security_result.severity | Ditetapkan ke MEDIUM jika _source.severity atau temp_severity adalah "majr" (tidak peka huruf besar/kecil), LOW jika _source.severity atau temp_severity adalah "minr" (tidak peka huruf besar/kecil), dan tidak ditetapkan jika tidak. |
|
| read_only_udm.security_result.summary | Tetapkan ke nilai security_result.threat_name. |
|
| is_alert | Tetapkan ke true. |
|
| is_significant | Tetapkan ke true. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.