Mengumpulkan log ThreatDown EDR
Dokumen ini menjelaskan cara mengonfigurasi ThreatDown EDR (Nebula dan OneView) untuk mengirim log ke Google Security Operations menggunakan webhook.
ThreatDown EDR, yang didukung oleh Malwarebytes, menyediakan kemampuan deteksi dan respons endpoint, termasuk deteksi ancaman, pemantauan aktivitas mencurigakan, dan perlindungan endpoint. Platform Nebula melayani lingkungan single-tenant, sedangkan OneView adalah konsol pengelolaan multi-tenant untuk MSP. Kedua platform mendukung integrasi native dengan Google Security Operations yang mengekspor data deteksi dan aktivitas mencurigakan sebagai peristiwa Unified Data Model (UDM) menggunakan jenis log MALWAREBYTES_EDR.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- ThreatDown EDR (Nebula atau OneView) mendukung webhook untuk pengiriman log
- Akses ke Konsol Google Cloud (untuk pembuatan kunci API)
- Untuk Nebula: Akses Admin Super di konsol Nebula dan akun Nebula aktif dengan langganan aktif untuk Endpoint Detection and Response
- Untuk OneView: Akses Administrator Global di konsol OneView dan situs dengan langganan aktif untuk Endpoint Detection and Response
- Akses admin ke Project Google Cloud untuk membuat Kunci API Google Cloud Platform
- Akses admin ke Google Chronicle SIEM
Membuat feed webhook di Google SecOps
Buat feed
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Malwarebytes). - Pilih Webhook sebagai Jenis sumber.
- Pilih Malwarebytes EDR sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan (opsional): Biarkan kosong. Setiap permintaan webhook dari ThreatDown berisi data peristiwa terstruktur.
- Namespace aset: Namespace aset
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
- Klik Berikutnya.
- Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Mendapatkan URL endpoint feed
- Buka tab Detail untuk feed tersebut.
- Di bagian Endpoint Information, salin Feed endpoint URL.
Format URL-nya adalah:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateatau
https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateSimpan URL ini untuk langkah berikutnya.
Buat dan simpan kunci rahasia
Setelah membuat feed, Anda harus membuat kunci rahasia untuk autentikasi:
- Buka tab Secret Key feed.
- Klik Generate Secret Key.
- Dialog akan menampilkan kunci rahasia.
Salin dan simpan kunci rahasia dengan aman.
Penting: Kunci rahasia hanya ditampilkan satu kali dan tidak dapat diambil lagi. Jika Anda kehilangan kunci ini, Anda harus membuat kunci rahasia baru.
Klik Done.
Membuat kunci Google Cloud API
Integrasi ThreatDown dengan Google SecOps memerlukan Kunci API Google Cloud Platform (GCP).
Buat kunci API
- Buka halaman Credentials Google Cloud Console.
- Pilih project Anda (project yang terkait dengan instance Chronicle Anda).
- Klik Create credentials > API key.
- Kunci API dibuat dan ditampilkan dalam dialog.
- Salin kunci API dan simpan dengan aman.
- Di jendela pop-up, klik Edit kunci API.
Membatasi kunci API
- Di halaman setelan kunci API:
- Nama: Masukkan nama deskriptif (misalnya,
Chronicle Webhook API Key)
- Nama: Masukkan nama deskriptif (misalnya,
- Pilih Restrict Key.
Di menu drop-down, pilih Chronicle API.
Klik Simpan.
Mengonfigurasi webhook ThreatDown EDR
ThreatDown menyediakan integrasi Google Chronicle SIEM native di halaman Integrate di konsol Nebula dan OneView. Pilih bagian di bawah yang sesuai dengan platform Anda.
Opsi A: Mengonfigurasi Nebula
- Login ke konsol ThreatDown Nebula di cloud.malwarebytes.com dengan kredensial Admin Super.
- Buka halaman Integrasikan di menu navigasi kiri.
- Temukan Google Chronicle SIEM, lalu klik Configure.
- Berikan detail konfigurasi berikut:
- Webhook URL: Tempelkan URL yang disalin dari kolom Endpoint Information di halaman Google SecOps Feed Details.
- Webhook Secret: Tempelkan kunci rahasia yang dibuat dari tab Google SecOps Feed Secret Key.
- Kunci API GCP: Tempelkan kunci API yang diperoleh dari Google Cloud.
- Klik Simpan.
Setelah menyimpan, Nebula akan mulai mengekspor log deteksi dan aktivitas mencurigakan langsung ke Google SecOps.
Opsi B: Mengonfigurasi OneView
- Login ke konsol ThreatDown OneView di cloud.malwarebytes.com dengan kredensial Administrator Global.
- Buka halaman Integrasikan di menu navigasi kiri.
- Temukan Google Chronicle SIEM, lalu klik Configure.
- Aktifkan Aktifkan Penyiapan.
- Berikan detail konfigurasi berikut:
- Webhook URL: Tempelkan URL yang disalin dari kolom Endpoint Information di halaman Google SecOps Feed Details.
- Webhook Secret: Tempelkan kunci rahasia yang dibuat dari tab Google SecOps Feed Secret Key.
- Kunci API GCP: Tempelkan kunci API yang diperoleh dari Google Cloud.
- Pemilihan Situs: Pilih situs untuk menyerap data dari.
- Klik Simpan.
Setelah menyimpan, OneView akan mulai mengekspor log deteksi dan aktivitas mencurigakan dari situs yang dipilih langsung ke Google SecOps.
Memverifikasi penyerapan log
Setelah mengonfigurasi integrasi, verifikasi bahwa log ThreatDown EDR sedang di-ingest ke Google SecOps:
- Di Google SecOps, buka Investigasi > Penelusuran SIEM.
Masukkan kueri penelusuran UDM berikut:
metadata.vendor_name = "Malwarebytes" and metadata.log_type = "MALWAREBYTES_EDR"Pilih rentang tanggal yang diinginkan.
Klik Run Search.
Klik tab Peristiwa. Data yang di-ingest dari ThreatDown EDR ditampilkan menggunakan Model Data Terpadu (UDM).
Batasan dan praktik terbaik webhook
Batas permintaan
| Batas | Nilai |
|---|---|
| Ukuran permintaan maksimum | 4 MB |
| QPS Maks (kueri per detik) | 15.000 |
| Waktu tunggu permintaan | 30 seconds |
| Perilaku percobaan ulang | Otomatis dengan backoff eksponensial |
Perlu bantuan lain?
- Mengaktifkan integrasi Nebula dengan Google Chronicle SIEM - support.threatdown.com
- Enable OneView integration with Google Chronicle SIEM - support.threatdown.com
- Persyaratan untuk integrasi Nebula dengan Google Chronicle SIEM - support.threatdown.com
- Persyaratan untuk integrasi OneView dengan Google Chronicle SIEM - support.threatdown.com
- Postingan blog ThreatDown Nebula dan OneView dengan Google Chronicle SIEM - threatdown.com
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.description | metadata.description | Nilai disalin secara langsung |
| has_principal | metadata.event_type | Awalnya ditetapkan ke "GENERIC_EVENT", lalu "SCAN_FILE" jika has_principal dan has_target_file, "STATUS_UPDATE" jika has_principal, "USER_UNCATEGORIZED" jika has_user, atau "GENERIC_EVENT" |
| has_user | metadata.event_type | |
| has_target_file | metadata.event_type | |
| jenis | metadata.product_event_type | Nilai disalin secara langsung |
| id | metadata.product_log_id | Nilai disalin secara langsung |
| machine.id | principal.asset.asset_id | Digabungkan dari "MACHINE:" dan machine.id |
| machine.name | principal.asset.hostname | Nilai disalin secara langsung |
| payload.payload.group_name | principal.group.group_display_name | Nilai disalin secara langsung |
| account.default_group_id | principal.group.product_object_id | Nilai disalin secara langsung |
| machine.name | principal.hostname | Nilai disalin secara langsung |
| account.id | principal.user.product_object_id | Nilai disalin secara langsung |
| account.name | principal.user.user_display_name | Nilai disalin secara langsung |
| account.owner_user_id | principal.user.userid | Nilai disalin secara langsung |
| payload.payload.category | security_result.category_details | Nilai disalin secara langsung |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.name | security_result.detection_fields | Setiap set sebagai label dengan kunci, lalu digabungkan |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.description | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.hyperlink | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.tag | security_result.detection_fields | |
| payload.payload.policy_id | security_result.detection_fields | |
| payload.payload.policy_name | security_result.detection_fields | |
| payload.id | security_result.detection_fields | |
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.tag | security_result.summary | Nilai disalin secara langsung |
| payload.payload.threat_name | security_result.threat_name | Nilai disalin secara langsung |
| payload.payload.sa_details.data.list.0.user | target.administrative_domain | Diekstrak menggunakan pola grok untuk mendapatkan domain |
| payload.payload.path | target.file.full_path | Nilai disalin secara langsung |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_path | target.process.file.full_path | Nilai disalin secara langsung |
| payload.payload.sa_process_graph.data.children.0.node_info.process_path | target.process.parent_process.file.full_path | Nilai disalin secara langsung |
| payload.payload.sa_process_graph.data.children.0.node_info.process_id | target.process.parent_process.pid | Nilai disalin secara langsung |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_id | target.process.pid | Nilai disalin secara langsung |
| payload.payload.sa_details.data.list.0.user | target.user.userid | Diekstrak menggunakan pola grok untuk mendapatkan tar_user |
| metadata.product_name | metadata.product_name | Ditetapkan ke "Malwarebytes EDR" |
| metadata.vendor_name | metadata.vendor_name | Ditetapkan ke "Malwarebytes" |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.