本頁面由 Cloud Translation API 翻譯而成。

收集 Trellix IPS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Trellix (前身為 McAfee) IPS (入侵防禦系統) Network Security Manager 記錄檔擷取至 Google Security Operations。剖析器會從 McAfee IPS 系統記錄訊息中擷取安全性事件資料。這項服務會使用一系列 grok 模式來識別及對應來源和目的地 IP、通訊埠、通訊協定、攻擊詳細資料和嚴重程度等欄位，並將資訊結構化為 Google SecOps 統合式資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
McAfee Network Security Platform Manager 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_IPS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 McAfee Network Security Platform Manager Syslog

登入 McAfee Network Security Platform Manager 介面。
依序點選「設定」「資源樹」「IPS 設定」。
依序點選「快訊通知」分頁標籤 >「系統記錄」分頁標籤。
提供下列設定詳細資料：
- 選取「是」，啟用 McAfee Network Security Platform 的系統記錄通知。
- 管理員網域：選取「目前」核取方塊，即可傳送目前網域中快訊的系統記錄通知。
- 伺服器名稱或 IP 位址：輸入 Bindplane 代理程式 IP 位址。
- UDP 通訊埠：輸入通訊埠 514。
- 設施：選取系統記錄設施值 local0。
- 嚴重程度：選取「資訊」。
- 傳送通知條件：選取「全部」選項，即可一律接收系統記錄
- IPS 隔離警示通知：選取「否」。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
箭頭		這個欄位會用於剖析器，但不會對應至最終 UDM。
資料		這個欄位會用於剖析器，但不會對應至最終 UDM。
機構		這個欄位會用於剖析器，但不會對應至最終 UDM。
forwarderName		這個欄位會用於剖析器，但不會對應至最終 UDM。
訊息		這個欄位會用於剖析器，但不會對應至最終 UDM。
principal_ip	read_only_udm.principal.ip	使用 grok 模式從 `message` 欄位擷取。
principal_port	read_only_udm.principal.port	使用 grok 模式從 `message` 欄位擷取。
通訊協定		這個欄位會用於剖析器，但不會對應至最終 UDM。
result		這個欄位會用於剖析器，但不會對應至最終 UDM。
scanHost	read_only_udm.intermediary.hostname	使用 grok 模式從 `message` 欄位擷取。
嚴重性		這個欄位會用於剖析器，但不會對應至最終 UDM。
sysdate		這個欄位會用於剖析器，但不會對應至最終 UDM。
target_ip	read_only_udm.target.ip	使用 grok 模式從 `message` 欄位擷取。
target_port	read_only_udm.target.port	使用 grok 模式從 `message` 欄位擷取。
	is_alert	如果 `forwarderName` 欄位包含「`Alert`」一詞，請設為 `true`。
	is_significant	如果 `severity` 欄位為 `Medium` 或 `High`，請設為 `true`。
	read_only_udm.metadata.event_timestamp	從「`collection_time`」欄位複製。
	read_only_udm.metadata.event_type	預設為 `NETWORK_CONNECTION`。如果找不到主體和目標的 IP 位址，則變更為 `GENERIC_EVENT`。
	read_only_udm.metadata.log_type	設為 `MCAFEE_IPS`。
	read_only_udm.metadata.product_name	設為 `MCafee IPS`。
	read_only_udm.metadata.vendor_name	設為 `MCafee`。
	read_only_udm.network.application_protocol	如果 `protocol` 欄位為 `HTTP`，請設為 `HTTP`。如果 `protocol` 欄位為 `SSL`，請設為 `HTTPS`。
	read_only_udm.network.direction	如果擷取的 `conn_direction` 欄位為 `Inbound`，請設為 `INBOUND`。如果擷取的 `conn_direction` 欄位為 `Outbound`，則設為 `OUTBOUND`。
	read_only_udm.network.ip_protocol	如果 `protocol` 欄位為 `HTTP`、`SSL` 或 `TCP`，請設為 `TCP`。如果 `protocol` 欄位為 `ICMP`，請設為 `ICMP`。如果 `protocol` 欄位為 `SNMP`，且 `alert_message` 欄位包含 `Empty UDP Attack DoS`，則設為 `UDP`。
	read_only_udm.security_result.action	如果 `result` 欄位為 `Attack Blocked`、`Attack Failed` 或 `Attack SmartBlocked`，請設為 `BLOCK`。如果 `result` 欄位為 `Attack Successful`，請設為 `ALLOW`。如果 `result` 欄位為 `Inconclusive`，請設為 `UNKNOWN_ACTION`。如果 `alert_message` 欄位符合規則運算式 `File Submitted .*? for Analysis`，請設為 `QUARANTINE`。
	read_only_udm.security_result.category	根據 `alert_message` 欄位分類。如果 `result` 欄位為 `n/a`，則會設為 `NETWORK_SUSPICIOUS`。
	read_only_udm.security_result.description	`alert_message` 欄位會與 `_result` 變數的值串連，如果 `result` 欄位不是 `n/a`，則會設為 `(result)`。
	read_only_udm.security_result.severity	從 `severity` 欄位對應：`Informational` 對應至 `INFORMATIONAL`、`Low` 對應至 `LOW`、`Medium` 對應至 `MEDIUM`、`High` 對應至 `HIGH`。
	read_only_udm.security_result.summary	`event_description` 變數的值，根據 `message` 欄位設為 `Detected {attack type}`。
	時間戳記	從「`collection_time`」欄位複製。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。