收集 McAfee ESM 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane 代理程式,將 Trellix Enterprise Security Manager 記錄擷取至 Google Security Operations。
Trellix Enterprise Security Manager (前身為 McAfee ESM) 是一種安全資訊與事件管理 (SIEM) 平台,可提供即時威脅偵測、關聯性和法規遵循監控功能。這項服務會收集、正規化及分析企業的安全性事件資料,讓資安團隊透過集中式資訊主頁、進階分析和自動警報功能,識別及應對威脅。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 搭載
systemd的 Windows 2016 以上版本或 Linux 主機 - 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
- Trellix Enterprise Security Manager 控制台的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
- 將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 從「機構詳細資料」部分複製並儲存客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID_HERE endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'MCAFEE_ESM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
- 視基礎架構需求替換通訊埠和 IP 位址。
- 將
YOUR_CUSTOMER_ID_HERE替換為實際的客戶 ID。 - 將
/path/to/ingestion-authentication-file.json更新為您在步驟 1 中儲存驗證檔案的檔案路徑。 - 請更新
endpoint值,確保與租戶的區域相符。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart observiq-otel-collector如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」主控台,或輸入下列指令:
net stop observiq-otel-collector && net start observiq-otel-collector
設定 Trellix Enterprise Security Manager 系統記錄轉送
- 登入 Trellix Enterprise Security Manager 控制台。
- 前往「系統屬性」>「事件轉送」。
- 按一下「新增」,建立新的事件轉送目的地。
- 在「Name」(名稱) 欄位中,輸入描述性名稱 (例如
Chronicle-Bindplane)。 - 在「目的地」部分,提供下列設定詳細資料:
- IP 位址:輸入 Bindplane 代理程式主機的 IP 位址 (例如
192.168.1.100)。 - 「Port」(通訊埠):輸入
514(或在 Bindplane 中設定的通訊埠)。 - 「通訊協定」:選取「TCP」。
- 格式:選取「Syslog」 (CEF 或標準 Syslog 格式)。
- IP 位址:輸入 Bindplane 代理程式主機的 IP 位址 (例如
- 在「篩選器」部分,選取要轉送的事件類型和嚴重程度:
- 選取「所有事件」即可轉送所有事件,或設定特定篩選器。
- 視需要設定「嚴重性」門檻 (例如 1 到 100 代表所有嚴重性等級)。
- 選取「Enabled」(已啟用) 核取方塊,啟用轉送規則。
- 按一下「確定」儲存設定。
- 按一下「套用」,啟用事件轉送功能。
在 ESM 控制台中檢查「事件轉送」狀態,確認事件是否已轉送。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
about |
about |
已合併 |
about_token |
about |
已合併 |
deviceNtDomain |
about.administrative_domain |
已重新命名/對應 |
deviceExternalId |
about.asset.asset_id |
直接對應 |
device_product |
about.asset.asset_id |
直接對應 |
device_vendor |
about.asset.asset_id |
直接對應 |
fileHash |
about.file.full_path |
直接對應 |
filePath |
about.file.full_path |
已重新命名/對應 |
_hash |
about.file.sha256 |
已重新命名/對應 |
fileHash |
about.file.sha256 |
已重新命名/對應 |
fsize |
about.file.size |
已重新命名/對應 |
dvchost |
about.hostname |
已重新命名/對應 |
ips |
about.ip |
已合併 |
subjectLogonId_label |
about.labels |
已合併 |
dvcmac |
about.mac |
已合併 |
mac_address |
about.mac |
已合併 |
deviceTranslatedAddress |
about.nat_ip |
已合併 |
Emne |
about.process.command_line |
直接對應 |
Path |
about.process.command_line |
直接對應 |
Subject |
about.process.command_line |
直接對應 |
deviceProcessName |
about.process.command_line |
已重新命名/對應 |
dvcpid |
about.process.pid |
已重新命名/對應 |
permissions |
about.resource.attribute.permissions |
已合併 |
ARCH_label |
additional.fields |
已合併 |
AUID_label |
additional.fields |
已合併 |
EGID_label |
additional.fields |
已合併 |
EUID_label |
additional.fields |
已合併 |
FSGID_label |
additional.fields |
已合併 |
FSUID_label |
additional.fields |
已合併 |
GID_label |
additional.fields |
已合併 |
SGID_label |
additional.fields |
已合併 |
SUID_label |
additional.fields |
已合併 |
SYSCALL_label |
additional.fields |
已合併 |
UID_label |
additional.fields |
已合併 |
additional_cfp1 |
additional.fields |
已合併 |
additional_cfp2 |
additional.fields |
已合併 |
additional_cfp3 |
additional.fields |
已合併 |
additional_cfp4 |
additional.fields |
已合併 |
additional_cn1 |
additional.fields |
已合併 |
additional_cn2 |
additional.fields |
已合併 |
additional_cn3 |
additional.fields |
已合併 |
additional_cs1 |
additional.fields |
已合併 |
additional_cs2 |
additional.fields |
已合併 |
additional_cs3 |
additional.fields |
已合併 |
additional_cs4 |
additional.fields |
已合併 |
additional_cs5 |
additional.fields |
已合併 |
additional_cs6 |
additional.fields |
已合併 |
additional_cs7 |
additional.fields |
已合併 |
additional_devicePayloadId |
additional.fields |
已合併 |
additional_euid |
additional.fields |
已合併 |
additional_eventId |
additional.fields |
已合併 |
additional_flexString1 |
additional.fields |
已合併 |
additional_fname |
additional.fields |
已合併 |
additional_logname |
additional.fields |
已合併 |
additional_rsa_signature |
additional.fields |
已合併 |
additional_tty |
additional.fields |
已合併 |
arch_label |
additional.fields |
已合併 |
attack_count_label |
additional.fields |
已合併 |
auid_label |
additional.fields |
已合併 |
category_label |
additional.fields |
已合併 |
cmd_param_a0_label |
additional.fields |
已合併 |
cmd_param_a1_label |
additional.fields |
已合併 |
cmd_param_a2_label |
additional.fields |
已合併 |
cmd_param_a3_label |
additional.fields |
已合併 |
cs5_label |
additional.fields |
已合併 |
egid_label |
additional.fields |
已合併 |
euid_label |
additional.fields |
已合併 |
execution_status_label |
additional.fields |
已合併 |
exit_code_label |
additional.fields |
已合併 |
fsgid_label |
additional.fields |
已合併 |
fsuid_label |
additional.fields |
已合併 |
interface_label |
additional.fields |
已合併 |
items_label |
additional.fields |
已合併 |
key_label |
additional.fields |
已合併 |
node_label |
additional.fields |
已合併 |
proctitle_label |
additional.fields |
已合併 |
sensor_name_label |
additional.fields |
已合併 |
severity_label |
additional.fields |
已合併 |
sgid_label |
additional.fields |
已合併 |
suid_label |
additional.fields |
已合併 |
syscall_label |
additional.fields |
已合併 |
tty_label |
additional.fields |
已合併 |
auth_mechanism |
extensions.auth.mechanism |
已合併 |
vuln_token |
extensions.vulns.vulnerabilities |
已合併 |
intermediary |
intermediary |
已合併 |
Hostname |
intermediary.hostname |
直接對應 |
msg |
metadata.description |
直接對應 |
event_type |
metadata.event_type |
直接對應 |
log_category |
metadata.log_type |
直接對應 |
device_event_class_id |
metadata.product_event_type |
直接對應 |
event_name |
metadata.product_event_type |
直接對應 |
log_type |
metadata.product_event_type |
直接對應 |
type |
metadata.product_event_type |
直接對應 |
column1 |
metadata.product_log_id |
直接對應 |
externalId |
metadata.product_log_id |
直接對應 |
device_product |
metadata.product_name |
直接對應 |
sourceName |
metadata.product_name |
直接對應 |
device_version |
metadata.product_version |
直接對應 |
device_vendor |
metadata.vendor_name |
已重新命名/對應 |
app_protocol_output |
network.application_protocol |
直接對應 |
requestMethod |
network.http.method |
已重新命名/對應 |
requestClientApplication |
network.http.user_agent |
已重新命名/對應 |
ip_protocol_out |
network.ip_protocol |
直接對應 |
in |
network.received_bytes |
已重新命名/對應 |
out |
network.sent_bytes |
已重新命名/對應 |
ses |
network.session_id |
直接對應 |
session_id |
network.session_id |
直接對應 |
sntdom |
principal.administrative_domain |
已重新命名/對應 |
sourceServiceName |
principal.application |
已重新命名/對應 |
Group_name |
principal.group.group_display_name |
直接對應 |
Gruppenavn |
principal.group.group_display_name |
直接對應 |
Device_name |
principal.hostname |
直接對應 |
Enhetsnavn |
principal.hostname |
直接對應 |
hostname |
principal.hostname |
直接對應 |
shost |
principal.hostname |
已重新命名/對應 |
data.src_ip |
principal.ip |
已合併 |
principal_ip |
principal.ip |
已合併 |
shost |
principal.ip |
已合併 |
src_ip |
principal.ip |
已合併 |
valid_src_ip |
principal.ip |
已合併 |
data.src_mac |
principal.mac |
直接對應 |
mac |
principal.mac |
已合併 |
sourceTranslatedAddress |
principal.nat_ip |
已合併 |
sourceTranslatedPort |
principal.nat_port |
已重新命名/對應 |
INT:principal_port |
principal.port |
直接對應 |
data.src_port |
principal.port |
直接對應 |
principal_port |
principal.port |
已重新命名/對應 |
source_port |
principal.port |
已重新命名/對應 |
spt |
principal.port |
已重新命名/對應 |
comm |
principal.process.command_line |
直接對應 |
sproc |
principal.process.command_line |
已重新命名/對應 |
exe |
principal.process.file.full_path |
直接對應 |
ppid |
principal.process.parent_pid |
直接對應 |
pid |
principal.process.pid |
直接對應 |
spid |
principal.process.pid |
已重新命名/對應 |
principal_role |
principal.user.attribute.roles |
已合併 |
gid |
principal.user.groupid |
直接對應 |
ruser |
principal.user.user_display_name |
直接對應 |
suser |
principal.user.user_display_name |
直接對應 |
data.UserIDSrc |
principal.user.userid |
直接對應 |
suid |
principal.user.userid |
已重新命名/對應 |
uid |
principal.user.userid |
直接對應 |
user_id |
principal.user.userid |
直接對應 |
data.Source_UserID |
principal.user.windows_sid |
直接對應 |
security_result |
security_result |
已合併 |
security_token |
security_result |
已合併 |
_action |
security_result.action |
已合併 |
Action_Taken |
security_result.action_details |
直接對應 |
act |
security_result.action_details |
直接對應 |
cat |
security_result.category_details |
已合併 |
Scan_Type |
security_result.description |
直接對應 |
Type |
security_result.description |
直接對應 |
data.sig.name |
security_result.description |
直接對應 |
msg_data_2 |
security_result.description |
直接對應 |
infection_channel_label |
security_result.detection_fields |
已合併 |
operasjon_label |
security_result.detection_fields |
已合併 |
operation_label |
security_result.detection_fields |
已合併 |
permission_label |
security_result.detection_fields |
已合併 |
spyware_Grayware_Type_label |
security_result.detection_fields |
已合併 |
threat_probability_label |
security_result.detection_fields |
已合併 |
tillatelse_label |
security_result.detection_fields |
已合併 |
mwProfile |
security_result.rule_name |
直接對應 |
Result |
security_result.summary |
直接對應 |
appcategory |
security_result.summary |
直接對應 |
reason |
security_result.summary |
已重新命名/對應 |
Spyware |
security_result.threat_name |
直接對應 |
Unknown_Threat |
security_result.threat_name |
直接對應 |
Virus_Malware_Name |
security_result.threat_name |
直接對應 |
oldFilePath |
src.file.full_path |
已重新命名/對應 |
oldFileSize |
src.file.size |
已重新命名/對應 |
old_permissions |
src.resource.attribute.permissions |
已合併 |
data.DomainID |
target.administrative_domain |
直接對應 |
dntdom |
target.administrative_domain |
已重新命名/對應 |
data.AppID |
target.application |
直接對應 |
destinationServiceName |
target.application |
已重新命名/對應 |
data.Destination_Hostname |
target.hostname |
直接對應 |
data.HostID |
target.hostname |
直接對應 |
temp_dhost |
target.hostname |
直接對應 |
IPv6_Address |
target.ip |
已合併 |
data.dst_ip |
target.ip |
已合併 |
dest_ip |
target.ip |
已合併 |
dst_ip |
target.ip |
已合併 |
data.dst_mac |
target.mac |
直接對應 |
mac_address |
target.mac |
已合併 |
destination_translated_address |
target.nat_ip |
已合併 |
destinationTranslatedPort |
target.nat_port |
已重新命名/對應 |
INT:target_port |
target.port |
直接對應 |
data.dst_port |
target.port |
直接對應 |
destination_port |
target.port |
已重新命名/對應 |
dpt |
target.port |
已重新命名/對應 |
target_port |
target.port |
已重新命名/對應 |
data.Process_Name |
target.process.command_line |
直接對應 |
dproc |
target.process.command_line |
已重新命名/對應 |
File_name |
target.process.file.full_path |
直接對應 |
Infected_Resource |
target.process.file.full_path |
直接對應 |
Object |
target.process.file.full_path |
直接對應 |
Objekt |
target.process.file.full_path |
直接對應 |
data.PID |
target.process.pid |
直接對應 |
dpid |
target.process.pid |
已重新命名/對應 |
resource_Type_label |
target.resource.attribute.labels |
已合併 |
request |
target.url |
直接對應 |
target_role |
target.user.attribute.roles |
已合併 |
CustomerName |
target.user.user_display_name |
直接對應 |
temp_duser |
target.user.user_display_name |
直接對應 |
username |
target.user.user_display_name |
直接對應 |
Bruker |
target.user.userid |
直接對應 |
User_value |
target.user.userid |
直接對應 |
data.UserIDDst |
target.user.userid |
直接對應 |
temp_duid |
target.user.userid |
直接對應 |
data.Destination_UserID |
target.user.windows_sid |
直接對應 |
| 不適用 | about |
常數:about_token |
| 不適用 | about.ip |
常數:ips |
| 不適用 | about.labels |
常數:subjectLogonId_label |
| 不適用 | about.mac |
常數:mac_address |
| 不適用 | about.nat_ip |
常數:deviceTranslatedAddress |
| 不適用 | about.resource.attribute.permissions |
常數:permissions |
| 不適用 | additional.fields |
常數:severity_label |
| 不適用 | extensions.auth.auth_details |
常數:UNKNOWN_AUTHENTICATION_STATUS |
| 不適用 | extensions.auth.mechanism |
常數:auth_mechanism |
| 不適用 | extensions.vulns.vulnerabilities |
常數:vuln_token |
| 不適用 | intermediary |
常數:intermediary |
| 不適用 | metadata.event_type |
常數:GENERIC_EVENT |
| 不適用 | metadata.vendor_name |
常數:MCAFEE |
| 不適用 | network.application_protocol |
常數:SSH |
| 不適用 | network.direction |
常數:INBOUND |
| 不適用 | principal.ip |
常數:src_ip |
| 不適用 | principal.mac |
常數:mac |
| 不適用 | principal.nat_ip |
常數:sourceTranslatedAddress |
| 不適用 | principal.user.attribute.roles |
常數:principal_role |
| 不適用 | security_result |
常數:security_token |
| 不適用 | security_result.action |
常數:_action |
| 不適用 | security_result.category_details |
常數:cat |
| 不適用 | security_result.detection_fields |
常數:operation_label |
| 不適用 | security_result.severity |
常數:LOW |
| 不適用 | src.resource.attribute.permissions |
常數:old_permissions |
| 不適用 | target.ip |
常數:dest_ip |
| 不適用 | target.mac |
常數:mac_address |
| 不適用 | target.nat_ip |
常數:destination_translated_address |
| 不適用 | target.resource.attribute.labels |
常數:resource_Type_label |
| 不適用 | target.user.attribute.roles |
常數:target_role |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。