ThreatDown EDR-Logs erfassen
In diesem Dokument wird erläutert, wie Sie ThreatDown EDR (Nebula und OneView) so konfigurieren, dass Logs mithilfe von Webhooks an Google Security Operations gesendet werden.
ThreatDown EDR von Malwarebytes bietet Funktionen zur Endpunkterkennung und -reaktion, einschließlich Bedrohungserkennung, Überwachung verdächtiger Aktivitäten und Endpunktschutz. Die Nebula-Plattform dient für Single-Tenant-Umgebungen, während OneView die Multi-Tenant-Verwaltungskonsole für MSPs ist. Beide Plattformen unterstützen eine native Integration mit Google Security Operations, bei der Daten zu Erkennungen und verdächtigen Aktivitäten als UDM-Ereignisse (Unified Data Model) mit dem Logtyp MALWAREBYTES_EDR exportiert werden.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google Security Operations-Instanz
- ThreatDown EDR (Nebula oder OneView) unterstützt Webhooks für die Logzustellung
- Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln)
- Für Nebula: Super Admin-Zugriff in der Nebula-Konsole und ein aktives Nebula-Konto mit einem aktiven Abo für Endpunkterkennung und -reaktion
- Für OneView: Global Administrator-Zugriff in der OneView-Konsole und eine Website mit einem aktiven Abo für Endpunkterkennung und -reaktion
- Administratorzugriff auf das Google Cloud-Projekt, um einen Google Cloud Platform-API-Schlüssel zu generieren
- Administratorzugriff auf Google Security Operations SIEM
Webhook-Feed in Google Security Operations erstellen
Feed erstellen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Malwarebytes. - Wählen Sie Webhook als Quelltyp aus.
- Wählen Sie Malwarebytes EDR als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Split delimiter (optional): Lassen Sie das Feld leer. Jede Webhook-Anfrage von ThreatDown enthält strukturierte Ereignisdaten.
- Asset-Namespace: Der Asset-Namespace
- Ingestion labels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
- Klicken Sie auf Weiter.
- Prüfen Sie die Konfiguration des neuen Feeds auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Feed-Endpunkt-URL abrufen
- Rufen Sie den Tab Details des Feeds auf.
- Kopieren Sie im Abschnitt Endpunktinformationen die Feed-Endpunkt-URL.
Das URL-Format lautet:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateoder
https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateSpeichern Sie diese URL für die nächsten Schritte.
Geheimen Schlüssel generieren und speichern
Nachdem Sie den Feed erstellt haben, müssen Sie einen geheimen Schlüssel für die Authentifizierung generieren:
- Rufen Sie den Tab Geheimer Schlüssel des Feeds auf.
- Klicken Sie auf Geheimen Schlüssel generieren.
- In einem Dialogfeld wird der geheime Schlüssel angezeigt.
Kopieren und speichern Sie den geheimen Schlüssel an einem sicheren Ort.
Wichtig: Der geheime Schlüssel wird nur einmal angezeigt und kann später nicht mehr abgerufen werden. Wenn Sie ihn verlieren, müssen Sie einen neuen geheimen Schlüssel generieren.
Klicken Sie auf Fertig.
Google Cloud-API-Schlüssel erstellen
Für die ThreatDown-Integration mit Google Security Operations ist ein Google Cloud Platform-API-Schlüssel (GCP) erforderlich.
API-Schlüssel erstellen
- Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
- Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Chronicle-Instanz verknüpft ist).
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
- Kopieren Sie den API-Schlüssel und speichern Sie ihn an einem sicheren Ort.
- Klicken Sie im Pop-up-Fenster auf API-Schlüssel bearbeiten.
API-Schlüssel einschränken
- Auf der Seite mit den Einstellungen für den API-Schlüssel :
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
Chronicle Webhook API Key.
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
- Wählen Sie Schlüssel einschränken aus.
Wählen Sie im Drop-down-Menü Chronicle API aus.
Klicken Sie auf Speichern.
ThreatDown EDR-Webhook konfigurieren
ThreatDown bietet eine native Google Security Operations SIEM-Integration auf der Seite Integrate (Integrieren) in den Konsolen von Nebula und OneView. Wählen Sie den Abschnitt aus, der Ihrer Plattform entspricht.
Option A: Nebula konfigurieren
- Melden Sie sich mit Super Admin-Anmeldedaten in der ThreatDown Nebula -Konsole unter cloud.malwarebytes.com an.
- Rufen Sie im linken Navigationsmenü die Seite Integrate (Integrieren) auf.
- Suchen Sie Google Security Operations SIEM und klicken Sie auf Configure (Konfigurieren).
- Geben Sie die folgenden Konfigurationsdetails an:
- Webhook-URL: Fügen Sie die URL ein, die Sie aus dem Feld Endpoint Information (Endpunktinformationen) auf der Seite mit den Google Security Operations-Feeddetails kopiert haben.
- Webhook Secret: Fügen Sie den geheimen Schlüssel ein, der auf dem Tab **Secret Key** (Geheimer Schlüssel) des Google Security Operations-Feeds generiert wurde.
- GCP API Key: Fügen Sie den API-Schlüssel ein, den Sie von Google Cloud erhalten haben.
- Klicken Sie auf Speichern.
Nach dem Speichern beginnt Nebula mit dem Export von Logs zu Erkennungen und verdächtigen Aktivitäten direkt nach Google Security Operations.
Option B: OneView konfigurieren
- Melden Sie sich mit Global Administrator-Anmeldedaten in der ThreatDown OneView -Konsole unter cloud.malwarebytes.com an.
- Rufen Sie im linken Navigationsmenü die Seite Integrate (Integrieren) auf.
- Suchen Sie Google Security Operations SIEM und klicken Sie auf Configure (Konfigurieren).
- Aktivieren Sie Enable Setup (Einrichtung aktivieren).
- Geben Sie die folgenden Konfigurationsdetails an:
- Webhook-URL: Fügen Sie die URL ein, die Sie aus dem Feld Endpoint Information (Endpunktinformationen) auf der Seite mit den Google Security Operations-Feeddetails kopiert haben.
- Webhook Secret: Fügen Sie den geheimen Schlüssel ein, der auf dem Tab **Secret Key** (Geheimer Schlüssel) des Google Security Operations-Feeds generiert wurde.
- GCP API Key: Fügen Sie den API-Schlüssel ein, den Sie von Google Cloud erhalten haben.
- Site Selection(Standortauswahl): Wählen Sie die Standorte aus, von denen Daten aufgenommen werden sollen.
- Klicken Sie auf Speichern.
Nach dem Speichern beginnt OneView mit dem Export von Logs zu Erkennungen und verdächtigen Aktivitäten von den ausgewählten Standorten direkt nach Google Security Operations.
Logaufnahme bestätigen
Nachdem Sie die Integration konfiguriert haben, prüfen Sie, ob ThreatDown EDR-Logs in Google Security Operations aufgenommen werden:
- Rufen Sie in Google Security Operations Investigation > SIEM Search (Untersuchung > SIEM-Suche) auf.
Geben Sie die folgende UDM-Suchanfrage ein:
metadata.vendor_name = "Malwarebytes" and metadata.log_type = "MALWAREBYTES_EDR"Wählen Sie den gewünschten Zeitraum aus.
Klicken Sie auf Run Search (Suche ausführen).
Klicken Sie auf den Tab Events (Ereignisse). Die von ThreatDown EDR aufgenommenen Daten werden mit einem UDM (Unified Data Model) angezeigt.
Webhook-Limits und Best Practices
Anfragelimits
| Limit | Wert |
|---|---|
| Maximale Anfragengröße | 4 MB |
| Maximale Anzahl von Abfragen pro Sekunde | 15.000 |
| Zeitlimit für Anfragen | 30 Sekunden |
| Wiederholungsverhalten | Automatisch mit exponentiellem Backoff |
Benötigen Sie weitere Hilfe?
- Nebula-Integration mit Google Security Operations SIEM aktivieren – support.threatdown.com
- OneView-Integration mit Google Security Operations SIEM aktivieren – support.threatdown.com
- Anforderungen für die Nebula-Integration mit Google Security Operations SIEM – support.threatdown.com
- Anforderungen für die OneView-Integration mit Google Security Operations SIEM – support.threatdown.com
- Blogpost zu ThreatDown Nebula und OneView mit Google Security Operations SIEM – threatdown.com
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.description | metadata.description | Wert direkt kopiert |
| has_principal | metadata.event_type | Zuerst auf „GENERIC_EVENT“ festgelegt, dann auf „SCAN_FILE“, wenn has_principal und has_target_file, „STATUS_UPDATE“, wenn has_principal, „USER_UNCATEGORIZED“, wenn has_user, andernfalls „GENERIC_EVENT“ |
| has_user | metadata.event_type | |
| has_target_file | metadata.event_type | |
| type | metadata.product_event_type | Wert direkt kopiert |
| id | metadata.product_log_id | Wert direkt kopiert |
| machine.id | principal.asset.asset_id | Verkettet aus „MACHINE:“ und machine.id |
| machine.name | principal.asset.hostname | Wert direkt kopiert |
| payload.payload.group_name | principal.group.group_display_name | Wert direkt kopiert |
| account.default_group_id | principal.group.product_object_id | Wert direkt kopiert |
| machine.name | principal.hostname | Wert direkt kopiert |
| account.id | principal.user.product_object_id | Wert direkt kopiert |
| account.name | principal.user.user_display_name | Wert direkt kopiert |
| account.owner_user_id | principal.user.userid | Wert direkt kopiert |
| payload.payload.category | security_result.category_details | Wert direkt kopiert |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.name | security_result.detection_fields | Jeder Satz als Label mit Schlüssel festgelegt, dann zusammengeführt |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.description | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.hyperlink | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.tag | security_result.detection_fields | |
| payload.payload.policy_id | security_result.detection_fields | |
| payload.payload.policy_name | security_result.detection_fields | |
| payload.id | security_result.detection_fields | |
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.tag | security_result.summary | Wert direkt kopiert |
| payload.payload.threat_name | security_result.threat_name | Wert direkt kopiert |
| payload.payload.sa_details.data.list.0.user | target.administrative_domain | Mit Grok-Muster extrahiert, um Domain zu erhalten |
| payload.payload.path | target.file.full_path | Wert direkt kopiert |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_path | target.process.file.full_path | Wert direkt kopiert |
| payload.payload.sa_process_graph.data.children.0.node_info.process_path | target.process.parent_process.file.full_path | Wert direkt kopiert |
| payload.payload.sa_process_graph.data.children.0.node_info.process_id | target.process.parent_process.pid | Wert direkt kopiert |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_id | target.process.pid | Wert direkt kopiert |
| payload.payload.sa_details.data.list.0.user | target.user.userid | Mit Grok-Muster extrahiert, um tar_user zu erhalten |
| metadata.product_name | metadata.product_name | Auf „Malwarebytes EDR“ festgelegt |
| metadata.vendor_name | metadata.vendor_name | Auf „Malwarebytes“ festgelegt |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google Security Operations-Experten erhalten