Raccogliere i log di ThreatDown EDR
Questo documento spiega come configurare ThreatDown EDR (Nebula e OneView) per inviare i log a Google Security Operations utilizzando i webhook.
ThreatDown EDR, basato su Malwarebytes, fornisce funzionalità di rilevamento e risposta degli endpoint, tra cui rilevamento delle minacce, monitoraggio delle attività sospette e protezione degli endpoint. La piattaforma Nebula serve ambienti a tenant singolo, mentre OneView è la console di gestione multi-tenant per i provider di servizi gestiti. Entrambe le piattaforme supportano un'integrazione nativa con Google Security Operations che esporta i dati di rilevamento e i dati delle attività sospette come eventi UDM (Unified Data Model) utilizzando il tipo di log MALWAREBYTES_EDR.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- ThreatDown EDR (Nebula o OneView) supporta i webhook per la distribuzione dei log
- Accesso a Google Cloud Console (per la creazione della chiave API)
- Per Nebula: accesso come super amministratore nella console Nebula e un account Nebula attivo con un abbonamento attivo per il rilevamento e la risposta degli endpoint
- Per OneView: accesso come amministratore globale nella console OneView e un sito con un abbonamento attivo per il rilevamento e la risposta degli endpoint
- Accesso amministrativo al progetto Google Cloud per generare una chiave API Google Cloud Platform
- Accesso amministrativo a Google Chronicle SIEM
Creare un feed webhook in Google SecOps
Creare il feed
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio,
Malwarebytes). - Seleziona Webhook come Tipo di fonte.
- Seleziona Malwarebytes EDR come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Split delimiter (Delimitatore di divisione) (facoltativo): lascia vuoto. Ogni richiesta webhook da ThreatDown contiene dati sugli eventi strutturati.
- Asset namespace (Spazio dei nomi dell'asset): lo spazio dei nomi dell'asset
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed
- Fai clic su Avanti.
- Esamina la nuova configurazione del feed nella schermata Finalizza, quindi fai clic su Invia.
Recuperare l'URL dell'endpoint del feed
- Vai alla scheda Dettagli del feed.
- Nella sezione Endpoint Information (Informazioni sull'endpoint), copia l'URL dell'endpoint del feed.
Il formato dell'URL è:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateo
https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateSalva questo URL per i passaggi successivi.
Generare e salvare la chiave segreta
Dopo aver creato il feed, devi generare una chiave segreta per l'autenticazione:
- Vai alla scheda Secret Key (Chiave segreta) del feed.
- Fai clic su Generate Secret Key (Genera chiave segreta).
- Viene visualizzata una finestra di dialogo con la chiave segreta.
Copia e salva la chiave segreta in modo sicuro.
Importante: la chiave segreta viene visualizzata una sola volta e non può essere recuperata in un secondo momento. Se la perdi, devi generare una nuova chiave segreta.
Fai clic su Fine.
Creare una chiave API Google Cloud
L'integrazione di ThreatDown con Google SecOps richiede una chiave API Google Cloud Platform (GCP).
Creare la chiave API
- Vai alla pagina Credenziali di Google Cloud Console.
- Seleziona il tuo progetto (il progetto associato alla tua istanza Chronicle).
- Fai clic su Crea credenziali > Chiave API.
- Viene creata una chiave API e visualizzata in una finestra di dialogo.
- Copia la chiave API e memorizzala in un luogo sicuro.
- Nel popup, fai clic su Modifica chiave API.
Limitare la chiave API
- Nella pagina delle impostazioni Chiave API :
- Nome: inserisci un nome descrittivo (ad esempio,
Chronicle Webhook API Key)
- Nome: inserisci un nome descrittivo (ad esempio,
- Seleziona Limita chiave.
Nel menu a discesa, seleziona API Chronicle.
Fai clic su Salva.
Configurare il webhook di ThreatDown EDR
ThreatDown fornisce un'integrazione nativa di Google Chronicle SIEM nella pagina Integra nelle console Nebula e OneView. Scegli la sezione di seguito che corrisponde alla tua piattaforma.
Opzione A: configurare Nebula
- Accedi alla console ThreatDown Nebula all'indirizzo cloud.malwarebytes.com con le credenziali di super amministratore.
- Vai alla pagina Integra nel menu di navigazione a sinistra.
- Individua Google Chronicle SIEM e fai clic su Configura.
- Fornisci i seguenti dettagli di configurazione:
- URL webhook: incolla l'URL copiato dal campo Informazioni sull'endpoint della pagina dei dettagli del feed di Google SecOps.
- Webhook Secret (Secret webhook): incolla la chiave segreta generata dalla scheda Chiave segreta del feed di Google SecOps.
- Chiave API Google Cloud: incolla la chiave API ottenuta da Google Cloud.
- Fai clic su Salva.
Dopo il salvataggio, Nebula inizia a esportare i log di rilevamento e attività sospette direttamente in Google SecOps.
Opzione B: configurare OneView
- Accedi alla console ThreatDown OneView all'indirizzo cloud.malwarebytes.com con le credenziali di amministratore globale.
- Vai alla pagina Integra nel menu di navigazione a sinistra.
- Individua Google Chronicle SIEM e fai clic su Configura.
- Attiva Enable Setup (Attiva configurazione).
- Fornisci i seguenti dettagli di configurazione:
- URL webhook: incolla l'URL copiato dal campo Informazioni sull'endpoint della pagina dei dettagli del feed di Google SecOps.
- Webhook Secret (Secret webhook): incolla la chiave segreta generata dalla scheda Chiave segreta del feed di Google SecOps.
- Chiave API Google Cloud: incolla la chiave API ottenuta da Google Cloud.
- Site Selection(Selezione sito): seleziona i siti da cui importare i dati.
- Fai clic su Salva.
Dopo il salvataggio, OneView inizia a esportare i log di rilevamento e attività sospette dai siti selezionati direttamente in Google SecOps.
Verificare l'importazione dei log
Dopo aver configurato l'integrazione, verifica che i log di ThreatDown EDR vengano importati in Google SecOps:
- In Google SecOps, vai a Indagine > Ricerca SIEM.
Inserisci la seguente query di ricerca UDM:
metadata.vendor_name = "Malwarebytes" and metadata.log_type = "MALWAREBYTES_EDR"Seleziona l'intervallo di date desiderato.
Fai clic su Esegui ricerca.
Fai clic sulla scheda Eventi. I dati importati da ThreatDown EDR vengono visualizzati utilizzando un modello UDM (Unified Data Model).
Limiti e best practice per i webhook
Limiti per le richieste
| Limite | Valore |
|---|---|
| Dimensioni massime della richiesta | 4 MB |
| QPS max (query al secondo) | 15.000 |
| Timeout richieste | 30 secondi |
| Comportamento di nuovi tentativi | Automatico con backoff esponenziale |
Hai bisogno di ulteriore assistenza?
- Attivare l'integrazione di Nebula con Google Chronicle SIEM - support.threatdown.com
- Attivare l'integrazione di OneView con Google Chronicle SIEM - support.threatdown.com
- Requisiti per l'integrazione di Nebula con Google Chronicle SIEM - support.threatdown.com
- Requisiti per l'integrazione di OneView con Google Chronicle SIEM - support.threatdown.com
- Post di blog su ThreatDown Nebula e OneView con Google Chronicle SIEM - threatdown.com
Tabella di mapping UDM
| Campo log | Mapping UDM | Funzione logica |
|---|---|---|
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.description | metadata.description | Valore copiato direttamente |
| has_principal | metadata.event_type | Inizialmente impostato su "GENERIC_EVENT", poi su "SCAN_FILE" se has_principal e has_target_file, su "STATUS_UPDATE" se has_principal, su "USER_UNCATEGORIZED" se has_user, altrimenti su "GENERIC_EVENT" |
| has_user | metadata.event_type | |
| has_target_file | metadata.event_type | |
| type | metadata.product_event_type | Valore copiato direttamente |
| id | metadata.product_log_id | Valore copiato direttamente |
| machine.id | principal.asset.asset_id | Concatenato da "MACHINE:" e machine.id |
| machine.name | principal.asset.hostname | Valore copiato direttamente |
| payload.payload.group_name | principal.group.group_display_name | Valore copiato direttamente |
| account.default_group_id | principal.group.product_object_id | Valore copiato direttamente |
| machine.name | principal.hostname | Valore copiato direttamente |
| account.id | principal.user.product_object_id | Valore copiato direttamente |
| account.name | principal.user.user_display_name | Valore copiato direttamente |
| account.owner_user_id | principal.user.userid | Valore copiato direttamente |
| payload.payload.category | security_result.category_details | Valore copiato direttamente |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.name | security_result.detection_fields | Ogni set come etichetta con chiave, poi unito |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.description | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.hyperlink | security_result.detection_fields | |
| payload.payload.sa_details.data.mitre_attack_mapping.hosts file change.0.tactic.tag | security_result.detection_fields | |
| payload.payload.policy_id | security_result.detection_fields | |
| payload.payload.policy_name | security_result.detection_fields | |
| payload.id | security_result.detection_fields | |
| payload.payload.sa_details.data.list.0.details.0.detected_by.0.tag | security_result.summary | Valore copiato direttamente |
| payload.payload.threat_name | security_result.threat_name | Valore copiato direttamente |
| payload.payload.sa_details.data.list.0.user | target.administrative_domain | Estratto utilizzando il pattern grok per ottenere il dominio |
| payload.payload.path | target.file.full_path | Valore copiato direttamente |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_path | target.process.file.full_path | Valore copiato direttamente |
| payload.payload.sa_process_graph.data.children.0.node_info.process_path | target.process.parent_process.file.full_path | Valore copiato direttamente |
| payload.payload.sa_process_graph.data.children.0.node_info.process_id | target.process.parent_process.pid | Valore copiato direttamente |
| payload.payload.sa_process_graph.data.children.0.children.0.node_info.process_id | target.process.pid | Valore copiato direttamente |
| payload.payload.sa_details.data.list.0.user | target.user.userid | Estratto utilizzando il pattern grok per ottenere tar_user |
| metadata.product_name | metadata.product_name | Impostato su "Malwarebytes EDR" |
| metadata.vendor_name | metadata.vendor_name | Impostato su "Malwarebytes" |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.