Coletar os registros do General Dynamics Fidelis XPS

Neste documento, descrevemos como coletar os registros do General Dynamics Fidelis XPS usando um encaminhador do Google Security Operations.

Para mais informações, consulte Visão geral da ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FIDELIS_NETWORK.

Configurar o General Dynamics Fidelis XPS

1. Faça login no CommandPost para gerenciar seu dispositivo Fidelis XPS.
2. Selecione Sistema > Exportar.
3. Clique na guia Novo.
4. Na lista Método de exportação, selecione ArcSight.
5. No campo Destino, insira o endereço IP e o número da porta do servidor encaminhador do Google Security Operations, como 514.
6. Na seção Exportar alertas, marque a caixa de seleção Todos.
7. Na seção Frequência de exportação, marque a caixa de seleção Todos os alertas.
8. Na seção Transporte, marque a caixa de seleção UDP ou TCP.
9. No campo Salvar como, insira um nome para a configuração de exportação.

10. Na caixa Lista de colunas, mova as entradas para que apareçam na seguinte ordem:

    • TIME

    • AÇÃO

    • ALERTUUID

    • APPLICATION_USER

    • COMPONENTE

    • COMPR

    • DSTADDR

    • DSTPORT

    • FILENAME

    • FROM

    • GROUP

    • NOME DO MALWARE

    • TIPO DE MALWARE

    • MD5

    • POLÍTICA

    • PROTO

    • REQUEST_METHOD

    • REQUEST_AGENT

    • REQUEST_URL

    • RULE

    • SENIP

    • GRAVIDADE

    • SRCADDR

    • SRCPORT

    • RESUMO

    • TARGET

    • PARA

    • VIOLATION_INFO

    • VLAN_ID

    A versão 8.1 do Fidelis XPS apresenta dados adicionais que podem ser configurados para exportar novos dados. Os novos campos incluem REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO e VLAN_ID.

    VIOLATION_INFO inclui todos os dados da seção Informações da violação da página Detalhes do alerta. Esses dados incluem informações correspondentes que geram alertas. Ele também inclui outras informações nos dados do feed quando há uma correspondência. O VIOLATION_INFO pode ser grande. Você precisa ativar o TCP ao usar esse recurso em exportações do syslog.

11. Selecione Sistema > Malware > Detecção de malware.

12. Marque as caixas de seleção Mecanismo de detecção de malware e Política automática de malware.

13. Clique em Salvar.

Configurar o encaminhador do Google Security Operations para ingerir registros da rede Fidelis

1. Selecione Configurações do SIEM > Encaminhadores.
2. Clique em Adicionar novo encaminhador.
3. Insira um nome exclusivo no campo Nome do encaminhador.
4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
5. No campo Nome do coletor, insira um nome exclusivo para ele.
6. Selecione Fidelis Network como o Tipo de registro.
7. Selecione Syslog como o Tipo de coletor.
8. Configure os seguintes parâmetros de entrada:
   • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
   • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
   • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador processa registros da Fidelis Network nos formatos SYSLOG, par de chave-valor e JSON, transformando-os em UDM. Ele extrai campos, processa várias estruturas de registro e mapeia para campos do UDM.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.