Mengumpulkan log FireEye HX
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log FireEye Endpoint Security (HX) ke Google Security Operations menggunakan BindPlane. Parser mencoba memproses pesan input sebagai JSON. Jika pesan tidak dalam format JSON, pesan akan menggunakan pola grok untuk mengekstrak kolom, lalu melakukan pemetaan UDM bersyarat berdasarkan jenis peristiwa yang diekstrak dan kriteria lainnya.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd. - Jika berjalan di belakang proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses istimewa ke FireEye Endpoint Security.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FIREEYE_HX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi syslog FireEye HX Event Streamer menggunakan UI
- Login ke konsol pengelolaan FireEye HX.
- Buka Event Streamer.
- Pilih Aktifkan Event Streamer di host.
- Simpan perubahan kebijakan.
- Buka Tujuan > Setelan server > Tambahkan tujuan syslog.
- Berikan detail konfigurasi berikut:
- Nama: masukkan nama unik untuk memberi label pada pengumpul log Google SecOps.
- Alamat IP: masukkan alamat IP agen Bindplane.
- Port: masukkan nomor port agen Bindplane.
- Simpan perubahan untuk diterapkan.
Mengonfigurasi syslog FireEye HX Event Streamer menggunakan CLI
- Login ke perangkat FireEye HX menggunakan antarmuka command line (CLI).
Jalankan perintah berikut untuk mengaktifkan mode konfigurasi:
enable configure terminalJalankan perintah berikut untuk menambahkan tujuan server syslog jarak jauh:
logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port- Ganti kode berikut:
BINDPLANE_IP_ADDRESS: alamat IP penerusan Google SecOpsPORT_NUMBER: nomor port
- Ganti kode berikut:
Jalankan perintah berikut untuk menyimpan detail konfigurasi:
write mem
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| alert.agent._id | principal.asset.asset_id | ID agen dari log mentah, dengan awalan AGENT ID: |
| alert.agent.url | principal.labels.value | URL agen dari log mentah. |
| alert.condition._id | additional.fields.value.string_value | ID kondisi dari log mentah, dengan karakter = dihapus. |
| alert.condition.url | additional.fields.value.string_value | URL kondisi dari log mentah, dengan = karakter dihapus. |
| alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0 | security_result.threat_name | Jenis malware dari laporan FireEye di kolom decorator log mentah. |
| alert.decorators[].data.fireeye_report.risk_summary | security_result.description | Ringkasan risiko dari laporan FireEye di kolom decorator log mentah. |
| alert.decorators[].data.fireeye_verdict | security_result.severity_details | Keputusan FireEye dari kolom decorator log mentah. |
| alert.event_at | read_only_udm.metadata.event_timestamp | Stempel waktu peristiwa dari log mentah. |
| alert.event_id | read_only_udm.metadata.product_log_id | ID peristiwa dari log mentah. |
| alert.event_type | read_only_udm.metadata.product_event_type | Jenis peristiwa dari log mentah. |
| alert.event_values.fileWriteEvent/fullPath | target.file.full_path | Jalur lengkap file yang ditulis dari log mentah. |
| alert.event_values.fileWriteEvent/md5 | target.file.md5 | Hash MD5 file yang ditulis dari log mentah. |
| alert.event_values.fileWriteEvent/pid | principal.process.pid | ID proses yang menulis file dari log mentah. |
| alert.event_values.fileWriteEvent/processPath | principal.process.file.full_path | Jalur proses yang menulis file dari log mentah. Digabungkan dengan alert.event_values.fileWriteEvent/process untuk membuat jalur lengkap jika OS-nya adalah Windows. |
| alert.event_values.fileWriteEvent/size | target.file.size | Ukuran file yang ditulis dari log mentah. |
| alert.event_values.fileWriteEvent/username | principal.user.userid | Pengguna yang menulis file dari log mentah. |
| alert.event_values.ipv4NetworkEvent/localIP | principal.ip | Alamat IP lokal dari log mentah. |
| alert.event_values.ipv4NetworkEvent/localPort | principal.port | Port lokal dari log mentah. |
| alert.event_values.ipv4NetworkEvent/pid | principal.process.pid | ID proses dari log mentah. |
| alert.event_values.ipv4NetworkEvent/process | principal.process.file.full_path | Nama proses dari log mentah. Digabungkan dengan alert.event_values.ipv4NetworkEvent/processPath untuk membuat jalur lengkap jika OS-nya adalah Windows. |
| alert.event_values.ipv4NetworkEvent/processPath | principal.process.file.full_path | Jalur proses dari log mentah. Digabungkan dengan alert.event_values.ipv4NetworkEvent/process untuk membuat jalur lengkap jika OS-nya adalah Windows. |
| alert.event_values.ipv4NetworkEvent/protocol | network.ip_protocol | Protokol jaringan dari log mentah. |
| alert.event_values.ipv4NetworkEvent/remoteIP | target.ip | Alamat IP jarak jauh dari log mentah. |
| alert.event_values.ipv4NetworkEvent/remotePort | target.port | Port jarak jauh dari log mentah. |
| alert.event_values.ipv4NetworkEvent/timestamp | read_only_udm.metadata.event_timestamp | Stempel waktu peristiwa dari log mentah. |
| alert.event_values.ipv4NetworkEvent/username | principal.user.userid | Pengguna dari log mentah. |
| alert.event_values.processEvent/md5 | target.process.file.md5 | Hash MD5 dari proses dari log mentah. |
| alert.event_values.processEvent/parentPid | principal.process.pid | ID proses induk dari log mentah. |
| alert.event_values.processEvent/parentProcess | principal.process.file.full_path | Nama proses induk dari log mentah. |
| alert.event_values.processEvent/parentProcessPath | principal.process.file.full_path | Jalur proses induk dari log mentah. |
| alert.event_values.processEvent/pid | target.process.pid | ID proses dari log mentah. |
| alert.event_values.processEvent/process | target.process.file.full_path | Nama proses dari log mentah. |
| alert.event_values.processEvent/processCmdLine | target.process.command_line | Command line proses dari log mentah. |
| alert.event_values.processEvent/processPath | target.process.file.full_path | Jalur proses dari log mentah. |
| alert.event_values.processEvent/timestamp | read_only_udm.metadata.event_timestamp | Stempel waktu peristiwa dari log mentah. |
| alert.event_values.processEvent/username | principal.user.userid | Pengguna dari log mentah. |
| alert.event_values.urlMonitorEvent/hostname | target.hostname | Nama host dari log mentah. |
| alert.event_values.urlMonitorEvent/localPort | principal.port | Port lokal dari log mentah. |
| alert.event_values.urlMonitorEvent/pid | principal.process.pid | ID proses dari log mentah. |
| alert.event_values.urlMonitorEvent/process | principal.process.file.full_path | Nama proses dari log mentah. Digabungkan dengan alert.event_values.urlMonitorEvent/processPath untuk membuat jalur lengkap jika OS-nya adalah Windows. |
| alert.event_values.urlMonitorEvent/processPath | principal.process.file.full_path | Jalur proses dari log mentah. Digabungkan dengan alert.event_values.urlMonitorEvent/process untuk membuat jalur lengkap jika OS-nya adalah Windows. |
| alert.event_values.urlMonitorEvent/remoteIpAddress | target.ip | Alamat IP jarak jauh dari log mentah. |
| alert.event_values.urlMonitorEvent/remotePort | target.port | Port jarak jauh dari log mentah. |
| alert.event_values.urlMonitorEvent/requestUrl | target.url | URL yang diminta dari log mentah. |
| alert.event_values.urlMonitorEvent/timestamp | read_only_udm.metadata.event_timestamp | Stempel waktu peristiwa dari log mentah. |
| alert.event_values.urlMonitorEvent/urlMethod | network.http.method | Metode HTTP dari log mentah. |
| alert.event_values.urlMonitorEvent/userAgent | network.http.user_agent | Agen pengguna dari log mentah. |
| alert.event_values.urlMonitorEvent/username | principal.user.userid | Pengguna dari log mentah. |
| alert.indicator._id | security_result.about.labels.value | ID indikator dari log mentah. |
| alert.indicator.name | read_only_udm.security_result.summary | Nama indikator dari log mentah. |
| alert.indicator.url | security_result.about.labels.value | URL indikator dari log mentah. |
| alert.multiple_match | read_only_udm.metadata.description | Pesan beberapa kecocokan dari log mentah. |
| alert.source | additional.fields.value.string_value | Sumber pemberitahuan dari log mentah. |
| authmethod | extensions.auth.mechanism | Metode autentikasi dari log mentah. Tetapkan ke LOCAL jika nilainya adalah local atau LOCAL, jika tidak, tetapkan ke MECHANISM_OTHER. |
| authsubmethod | extensions.auth.auth_details | Submetode autentikasi dari log mentah, dikonversi menjadi huruf besar. |
| klien | principal.ip | Alamat IP klien dari log mentah. |
| conditions.data.tests[].token | security_result.detection_fields.key | Token dari pengujian kondisi dalam log mentah. |
| conditions.data.tests[].value | security_result.detection_fields.value | Nilai dari pengujian kondisi dalam log mentah. |
| deskripsi | read_only_udm.metadata.description | Deskripsi dari log mentah. |
| host.agent_version | read_only_udm.metadata.product_version | Versi agen dari log mentah. |
| host.containment_state | read_only_udm.principal.containment_state | Status pembatasan dari log mentah. |
| host.domain | read_only_udm.principal.administrative_domain | Domain dari log mentah. |
| host.hostname | read_only_udm.principal.hostname | Nama host dari log mentah. |
| host.os.platform | read_only_udm.principal.platform | Platform sistem operasi dari log mentah. |
| host.os.product_name | read_only_udm.principal.platform_version | Nama produk sistem operasi dari log mentah. |
| host.primary_ip_address | read_only_udm.principal.ip | Alamat IP utama dari log mentah. |
| host.primary_mac | read_only_udm.principal.mac | Alamat MAC utama dari log mentah, dengan karakter - diganti dengan :. |
| host_ | principal.hostname | Nama host dari log mentah. |
| host_details.data.agent_version | read_only_udm.metadata.product_version | Versi agen dari log mentah. |
| host_details.data.containment_state | read_only_udm.security_result.severity_details | Status pembatasan dari log mentah. |
| host_details.data.domain | read_only_udm.principal.administrative_domain | Domain dari log mentah. |
| host_details.data.hostname | read_only_udm.principal.hostname | Nama host dari log mentah. |
| host_details.data.os.platform | read_only_udm.principal.platform | Platform sistem operasi dari log mentah. |
| host_details.data.os.product_name | read_only_udm.principal.platform_version | Nama produk sistem operasi dari log mentah. |
| host_details.data.primary_ip_address | read_only_udm.principal.ip | Alamat IP utama dari log mentah. |
| host_details.data.primary_mac | read_only_udm.principal.mac | Alamat MAC utama dari log mentah, dengan karakter - diganti dengan :. |
| indicators.data.description | read_only_udm.metadata.description | Deskripsi indikator dari log mentah. |
| baris | target.application | Baris dari log mentah. |
| localusername | target.user.user_display_name | Nama pengguna lokal dari log mentah. |
| principal_ip | principal.ip | Alamat IP utama dari log mentah. |
| mundur | read_only_udm.principal.application | Nama proses dari log mentah. |
| process_id | read_only_udm.principal.process.pid | ID proses dari log mentah. |
| referrer | network.http.referral_url | URL perujuk dari log mentah. |
| remoteaddress | principal.ip | Alamat jarak jauh dari log mentah. |
| permintaan | additional.fields.value.string_value | Permintaan dari log mentah. |
| peran | target.user.role_name | Peran dari log mentah. |
| server | target.resource.attribute.labels.value | Server dari log mentah. |
| sessionID | network.session_id | ID sesi dari log mentah. |
| tingkat keseriusan, | security_result.severity | Tetapkan ke LOW, MEDIUM, atau HIGH berdasarkan tingkat keparahan dari log mentah. |
| target_host | read_only_udm.target.hostname | Nama host target dari log mentah. |
| target_ip | target.ip | Alamat IP target dari log mentah. |
| target_ip1 | target.ip | Alamat IPv6 target dari log mentah. |
| timestamp | timestamp | Stempel waktu dari log mentah. |
| hulu | target.url | URL upstream dari log mentah. |
| nama pengguna | target.user.userid | Nama pengguna dari log mentah. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.