Coletar registros do ESET EDR

Neste documento, explicamos como ingerir registros do ESET no Google Security Operations usando o Bindplane. Primeiro, o código do analisador do Logstash tenta extrair campos dos registros do ESET EDR no formato SYSLOG ou JSON usando uma série de padrões grok. Dependendo dos campos extraídos e do formato deles, o sistema processa ainda mais os dados usando filtros de chave-valor (kv) ou análise JSON para estruturar as informações em uma representação do Modelo Unificado de Dados (UDM, na sigla em inglês).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Windows 2016 ou mais recente ou um host Linux com systemd
• Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
• Acesso privilegiado ao ESET Protect

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'ESET_EDR'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID do cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Syslog para o ESET PROTECT local

1. Faça login no console da Web do ESET Protect.
2. Acesse Mais > Configurações > Configurações avançadas > Servidor Syslog.
3. Selecione o botão ao lado de Ativar Syslog.
4. Informe os seguintes detalhes de configuração:
   • Host: insira o endereço IP do agente do Bindplane.
   • Porta: insira o número da porta do agente Bindplane (514 para UDP).
   • Formato: selecione Syslog.
   • Transporte: selecione UDP.
   • Nível de detalhe do registro de rastreamento: selecione Informativo.
   • Alternância "Exportar registros para Syslog": selecione Ativar.
   • Formato dos registros exportados: selecione JSON.
5. Clique em Salvar.

Configurar o Syslog para o ESET PROTECT Cloud

1. Faça login no console da Web do ESET Protect.
2. Acesse Mais > Configurações > Servidor Syslog.
3. Selecione o botão ao lado de Ativar Syslog.
4. Informe os seguintes detalhes de configuração:
   • Formato do payload: selecione JSON.
   • Formato do envelope: selecione Syslog.
   • Nível mínimo de registro: selecione Informativo.
   • Tipos de eventos a serem registrados: selecione Todos os tipos de eventos.
   • IP de destino: insira o endereço IP do agente do Bindplane.
   • Porta: insira o número da porta do agente Bindplane (514 para UDP).
5. Clique em Salvar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.