Recopila registros de FireEye HX
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo recopilar registros de FireEye Endpoint Security (HX) en Google Security Operations con Bindplane. El analizador intenta procesar el mensaje de entrada como JSON. Si el mensaje no está en formato JSON, usa patrones de Grok para extraer campos y, luego, realiza una asignación condicional del UDM según el tipo de evento extraído y otros criterios.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd. - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a FireEye Endpoint Security.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FIREEYE_HX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura el syslog de Event Streamer de FireEye HX con la IU
- Accede a la consola de administración de FireEye HX.
- Ve a Event Streamer.
- Selecciona Habilitar Event Streamer en el host.
- Guarda los cambios en la política.
- Ve a Destinations > Server settings > Add syslog destination.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre único para etiquetar el recopilador de registros de Google SecOps.
- Dirección IP: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane.
- Guarda los cambios para aplicarlos.
Configura el syslog de FireEye HX Event Streamer con la CLI
- Accede al dispositivo FireEye HX con la interfaz de línea de comandos (CLI).
Ejecuta el siguiente comando para habilitar el modo de configuración:
enable configure terminalEjecuta el siguiente comando para agregar un destino de servidor syslog remoto:
logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port- Reemplaza lo siguiente:
BINDPLANE_IP_ADDRESS: La dirección IP del reenvío de Google SecOpsPORT_NUMBERes el número de puerto.
- Reemplaza lo siguiente:
Ejecuta el siguiente comando para guardar los detalles de configuración:
write mem
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| alert.agent._id | principal.asset.asset_id | Es el ID del agente del registro sin procesar, con el prefijo AGENT ID:. |
| alert.agent.url | principal.labels.value | Es la URL del agente del registro sin procesar. |
| alert.condition._id | additional.fields.value.string_value | Es el ID de la condición del registro sin procesar, con = caracteres quitados. |
| alert.condition.url | additional.fields.value.string_value | Es la URL de la condición del registro sin procesar, con los caracteres = quitados. |
| alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0 | security_result.threat_name | Es la familia de malware del informe de FireEye en el campo de decoradores del registro sin procesar. |
| alert.decorators[].data.fireeye_report.risk_summary | security_result.description | Es el resumen de riesgo del informe de FireEye en el campo de decoradores del registro sin procesar. |
| alert.decorators[].data.fireeye_verdict | security_result.severity_details | Es el veredicto de FireEye del campo de decoradores del registro sin procesar. |
| alert.event_at | read_only_udm.metadata.event_timestamp | Es la marca de tiempo del evento del registro sin procesar. |
| alert.event_id | read_only_udm.metadata.product_log_id | Es el ID del evento del registro sin procesar. |
| alert.event_type | read_only_udm.metadata.product_event_type | Es el tipo de evento del registro sin procesar. |
| alert.event_values.fileWriteEvent/fullPath | target.file.full_path | Es la ruta de acceso completa del archivo escrito desde el registro sin procesar. |
| alert.event_values.fileWriteEvent/md5 | target.file.md5 | Es el hash MD5 del archivo escrito desde el registro sin procesar. |
| alert.event_values.fileWriteEvent/pid | principal.process.pid | Es el ID del proceso que escribió el archivo del registro sin procesar. |
| alert.event_values.fileWriteEvent/processPath | principal.process.file.full_path | Es la ruta de acceso del proceso que escribió el archivo desde el registro sin procesar. Se combina con alert.event_values.fileWriteEvent/process para crear la ruta de acceso completa si el SO es Windows. |
| alert.event_values.fileWriteEvent/size | target.file.size | Tamaño del archivo escrito desde el registro sin procesar. |
| alert.event_values.fileWriteEvent/username | principal.user.userid | Es el usuario que escribió el archivo desde el registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/localIP | principal.ip | Es la dirección IP local del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/localPort | principal.port | Es el puerto local del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/pid | principal.process.pid | Es el ID del proceso del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/process | principal.process.file.full_path | Nombre del proceso del registro sin procesar. Se combina con alert.event_values.ipv4NetworkEvent/processPath para crear la ruta de acceso completa si el SO es Windows. |
| alert.event_values.ipv4NetworkEvent/processPath | principal.process.file.full_path | Es la ruta de acceso del proceso desde el registro sin procesar. Se combina con alert.event_values.ipv4NetworkEvent/process para crear la ruta de acceso completa si el SO es Windows. |
| alert.event_values.ipv4NetworkEvent/protocol | network.ip_protocol | Es el protocolo de red del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/remoteIP | target.ip | Es la dirección IP remota del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/remotePort | target.port | Es el puerto remoto del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/timestamp | read_only_udm.metadata.event_timestamp | Es la marca de tiempo del evento del registro sin procesar. |
| alert.event_values.ipv4NetworkEvent/username | principal.user.userid | Es el usuario del registro sin procesar. |
| alert.event_values.processEvent/md5 | target.process.file.md5 | Es el hash MD5 del proceso del registro sin procesar. |
| alert.event_values.processEvent/parentPid | principal.process.pid | Es el ID del proceso principal del registro sin procesar. |
| alert.event_values.processEvent/parentProcess | principal.process.file.full_path | Es el nombre del proceso principal del registro sin procesar. |
| alert.event_values.processEvent/parentProcessPath | principal.process.file.full_path | Es la ruta del proceso principal del registro sin procesar. |
| alert.event_values.processEvent/pid | target.process.pid | Es el ID del proceso del registro sin procesar. |
| alert.event_values.processEvent/process | target.process.file.full_path | Nombre del proceso del registro sin procesar. |
| alert.event_values.processEvent/processCmdLine | target.process.command_line | Línea de comandos del proceso del registro sin procesar. |
| alert.event_values.processEvent/processPath | target.process.file.full_path | Es la ruta de acceso del proceso desde el registro sin procesar. |
| alert.event_values.processEvent/timestamp | read_only_udm.metadata.event_timestamp | Es la marca de tiempo del evento del registro sin procesar. |
| alert.event_values.processEvent/username | principal.user.userid | Es el usuario del registro sin procesar. |
| alert.event_values.urlMonitorEvent/hostname | target.hostname | Es el nombre de host del registro sin procesar. |
| alert.event_values.urlMonitorEvent/localPort | principal.port | Es el puerto local del registro sin procesar. |
| alert.event_values.urlMonitorEvent/pid | principal.process.pid | Es el ID del proceso del registro sin procesar. |
| alert.event_values.urlMonitorEvent/process | principal.process.file.full_path | Nombre del proceso del registro sin procesar. Se combina con alert.event_values.urlMonitorEvent/processPath para crear la ruta de acceso completa si el SO es Windows. |
| alert.event_values.urlMonitorEvent/processPath | principal.process.file.full_path | Es la ruta de acceso del proceso desde el registro sin procesar. Se combina con alert.event_values.urlMonitorEvent/process para crear la ruta de acceso completa si el SO es Windows. |
| alert.event_values.urlMonitorEvent/remoteIpAddress | target.ip | Es la dirección IP remota del registro sin procesar. |
| alert.event_values.urlMonitorEvent/remotePort | target.port | Es el puerto remoto del registro sin procesar. |
| alert.event_values.urlMonitorEvent/requestUrl | target.url | Es la URL solicitada del registro sin procesar. |
| alert.event_values.urlMonitorEvent/timestamp | read_only_udm.metadata.event_timestamp | Es la marca de tiempo del evento del registro sin procesar. |
| alert.event_values.urlMonitorEvent/urlMethod | network.http.method | Es el método HTTP del registro sin procesar. |
| alert.event_values.urlMonitorEvent/userAgent | network.http.user_agent | Es el usuario-agente del registro sin procesar. |
| alert.event_values.urlMonitorEvent/username | principal.user.userid | Es el usuario del registro sin procesar. |
| alert.indicator._id | security_result.about.labels.value | Es el ID del indicador del registro sin procesar. |
| alert.indicator.name | read_only_udm.security_result.summary | Es el nombre del indicador del registro sin procesar. |
| alert.indicator.url | security_result.about.labels.value | Es la URL del indicador del registro sin procesar. |
| alert.multiple_match | read_only_udm.metadata.description | Es el mensaje de varias coincidencias del registro sin procesar. |
| alert.source | additional.fields.value.string_value | Es la fuente de la alerta del registro sin procesar. |
| authmethod | extensions.auth.mechanism | Es el método de autenticación del registro sin procesar. Se establece en LOCAL si el valor es local o LOCAL; de lo contrario, se establece en MECHANISM_OTHER. |
| authsubmethod | extensions.auth.auth_details | Submétodo de autenticación del registro sin procesar, convertido a mayúsculas. |
| cliente | principal.ip | Es la dirección IP del cliente del registro sin procesar. |
| conditions.data.tests[].token | security_result.detection_fields.key | Es el token de las pruebas de condiciones en el registro sin procesar. |
| conditions.data.tests[].value | security_result.detection_fields.value | Es el valor de las pruebas de condiciones en el registro sin procesar. |
| descripción | read_only_udm.metadata.description | Es la descripción del registro sin procesar. |
| host.agent_version | read_only_udm.metadata.product_version | Es la versión del agente del registro sin procesar. |
| host.containment_state | read_only_udm.principal.containment_state | Es el estado de contención del registro sin procesar. |
| host.domain | read_only_udm.principal.administrative_domain | Es el dominio del registro sin procesar. |
| host.hostname | read_only_udm.principal.hostname | Es el nombre de host del registro sin procesar. |
| host.os.platform | read_only_udm.principal.platform | Es la plataforma del sistema operativo del registro sin procesar. |
| host.os.product_name | read_only_udm.principal.platform_version | Nombre del producto del sistema operativo del registro sin procesar. |
| host.primary_ip_address | read_only_udm.principal.ip | Es la dirección IP principal del registro sin procesar. |
| host.primary_mac | read_only_udm.principal.mac | Es la dirección MAC principal del registro sin procesar, con los caracteres - reemplazados por :. |
| host_ | principal.hostname | Es el nombre de host del registro sin procesar. |
| host_details.data.agent_version | read_only_udm.metadata.product_version | Es la versión del agente del registro sin procesar. |
| host_details.data.containment_state | read_only_udm.security_result.severity_details | Es el estado de contención del registro sin procesar. |
| host_details.data.domain | read_only_udm.principal.administrative_domain | Es el dominio del registro sin procesar. |
| host_details.data.hostname | read_only_udm.principal.hostname | Es el nombre de host del registro sin procesar. |
| host_details.data.os.platform | read_only_udm.principal.platform | Es la plataforma del sistema operativo del registro sin procesar. |
| host_details.data.os.product_name | read_only_udm.principal.platform_version | Nombre del producto del sistema operativo del registro sin procesar. |
| host_details.data.primary_ip_address | read_only_udm.principal.ip | Es la dirección IP principal del registro sin procesar. |
| host_details.data.primary_mac | read_only_udm.principal.mac | Es la dirección MAC principal del registro sin procesar, con los caracteres - reemplazados por :. |
| indicators.data.description | read_only_udm.metadata.description | Es la descripción del indicador del registro sin procesar. |
| línea | target.application | Es la línea del registro sin procesar. |
| localusername | target.user.user_display_name | Es el nombre de usuario local del registro sin procesar. |
| principal_ip | principal.ip | Es la dirección IP principal del registro sin procesar. |
| inversa | read_only_udm.principal.application | Nombre del proceso del registro sin procesar. |
| process_id | read_only_udm.principal.process.pid | Es el ID del proceso del registro sin procesar. |
| referrer | network.http.referral_url | Es la URL de referencia del registro sin procesar. |
| remoteaddress | principal.ip | Es la dirección remota del registro sin procesar. |
| solicitud | additional.fields.value.string_value | Es la solicitud del registro sin procesar. |
| rol | target.user.role_name | Es el rol del registro sin procesar. |
| servidor | target.resource.attribute.labels.value | Es el servidor del registro sin procesar. |
| sessionID | network.session_id | Es el ID de sesión del registro sin procesar. |
| gravedad, | security_result.severity | Se establece en LOW, MEDIUM o HIGH según la gravedad del registro sin procesar. |
| target_host | read_only_udm.target.hostname | Es el nombre de host de destino del registro sin procesar. |
| target_ip | target.ip | Es la dirección IP de destino del registro sin procesar. |
| target_ip1 | target.ip | Es la dirección IPv6 de destino del registro sin procesar. |
| timestamp | timestamp | Es la marca de tiempo del registro sin procesar. |
| upstream | target.url | Es la URL de origen del registro sin procesar. |
| nombre de usuario | target.user.userid | Es el nombre de usuario del registro sin procesar. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.