Collecter les journaux FireEye NX

Ce document explique comment ingérer des journaux Trellix Network Security (anciennement FireEye NX) dans Google Security Operations à l'aide de Bindplane.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un hôte Windows 2016 ou version ultérieure, ou Linux avec systemd
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
• Un accès privilégié à la console de gestion Trellix Network Security (NX)

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM > Profil.
3. Copiez l'ID client de la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation sous Windows

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation sous Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez au fichier de configuration :
   • Recherchez le fichier config.yaml. Il se trouve généralement dans le /etc/bindplane-agent/ répertoire sous Linux ou dans le répertoire d'installation sous Windows.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
   udplog:
      # Replace the port and IP address as required
      listen_address: "0.0.0.0:514"
   
   exporters:
   chronicle/fireeye_nx:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <CUSTOMER_ID>
      # Replace with your regional endpoint
      endpoint: <ENDPOINT>
      log_type: 'FIREEYE_NX'
      raw_log_field: body
      ingestion_labels:
   
   service:
   pipelines:
      logs/source0__chronicle_w_labels-0:
         receivers:
         - udplog
         exporters:
         - chronicle/fireeye_nx
   

   • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
   • Remplacez <CUSTOMER_ID> par l'ID client réel.
   • Remplacez la valeur <ENDPOINT> par votre point de terminaison régional :
     • États-Unis : malachiteingestion-pa.googleapis.com
     • Europe (Francfort): europe-west3-malachiteingestion-pa.googleapis.com
     • Europe (Londres): europe-west2-malachiteingestion-pa.googleapis.com
     • Europe (Zurich): europe-west6-malachiteingestion-pa.googleapis.com
     • Europe (Turin): europe-west12-malachiteingestion-pa.googleapis.com
     • Asie (Tokyo): asia-northeast1-malachiteingestion-pa.googleapis.com
     • Moyen-Orient (Tel Aviv) : me-west1-malachiteingestion-pa.googleapis.com
     • Australie (Sydney): australia-southeast1-malachiteingestion-pa.googleapis.com
   • Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

1. Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

   sudo systemctl restart bindplane-agent
   

2. Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configurer le transfert Syslog sur Trellix Network Security

1. Connectez-vous à la console Trellix Network Security avec un compte administrateur.
2. Accédez à Settings > Notifications (Paramètres > Notifications).
3. Cliquez sur l'onglet rsyslog.
4. Cochez la case Event type (Type d'événement) pour activer les notifications rsyslog.
5. Dans le panneau Settings (Paramètres), fournissez les informations de configuration suivantes :
   • Default format (Format par défaut) : sélectionnez CEF.
6. Dans la section Rsyslog Server Listing (Liste des serveurs Rsyslog) :
   • Saisissez un nom descriptif pour la nouvelle entrée (par exemple, Google SecOps BindPlane).
   • Cliquez sur le bouton Add Rsyslog Server (Ajouter un serveur Rsyslog).
7. Pour le serveur que vous venez d'ajouter, fournissez les informations de configuration suivantes :
   • Enabled (Activé) : cochez la case pour activer le serveur.
   • IP Address (Adresse IP) : saisissez l'adresse IP de l'agent Bindplane.
   • Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514).
   • Protocol (Protocole) : sélectionnez UDP ou TCP, selon la configuration de votre agent Bindplane.
   • Event Types (Types d'événements) : sélectionnez les types d'événements à transférer (ou sélectionnez all (tout) pour une journalisation complète).
8. Cliquez sur le bouton Update (Mettre à jour) pour enregistrer la configuration.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.