FireEye HX 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 FireEye Endpoint Security (HX) 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 입력 메시지를 JSON으로 처리하려고 시도합니다. 메시지가 JSON 형식이 아닌 경우 grok 패턴을 사용하여 필드를 추출한 다음 추출된 이벤트 유형 및 기타 기준에 따라 조건부 UDM 매핑을 실행합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상을 사용 중이거나
systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다. - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- FireEye Endpoint Security에 대한 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux의/etc/bindplane-agent/디렉터리 또는 Windows의 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FIREEYE_HX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
UI를 사용하여 FireEye HX Event Streamer syslog 구성
- FireEye HX 관리 콘솔에 로그인합니다.
- Event Streamer로 이동합니다.
- 호스트에서 Event Streamer 사용 설정을 선택합니다.
- 정책 변경사항을 저장합니다.
- 대상 > 서버 설정 > syslog 대상 추가로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름: Google SecOps 로그 수집기에 라벨을 지정할 고유한 이름을 입력합니다.
- IP 주소: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: Bindplane 에이전트 포트 번호를 입력합니다.
- 변경사항을 저장하여 적용합니다.
CLI를 사용하여 FireEye HX Event Streamer syslog 구성
- 명령줄 인터페이스 (CLI)를 사용하여 FireEye HX 어플라이언스에 로그인합니다.
다음 명령어를 실행하여 구성 모드를 사용 설정합니다.
enable configure terminal다음 명령어를 실행하여 원격 syslog 서버 대상을 추가합니다.
logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port- 다음을 바꿉니다.
BINDPLANE_IP_ADDRESS: Google SecOps 전달자 IP 주소PORT_NUMBER: 포트 번호입니다.
- 다음을 바꿉니다.
다음 명령어를 실행하여 구성 세부정보를 저장합니다.
write mem
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| alert.agent._id | principal.asset.asset_id | 원시 로그의 에이전트 ID로, AGENT ID: 접두사가 붙습니다. |
| alert.agent.url | principal.labels.value | 원시 로그의 에이전트 URL입니다. |
| alert.condition._id | additional.fields.value.string_value | 원시 로그의 조건 ID로, = 문자가 삭제됩니다. |
| alert.condition.url | additional.fields.value.string_value | 원시 로그의 조건 URL로, = 문자가 삭제됩니다. |
| alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0 | security_result.threat_name | 원시 로그의 데코레이터 필드에 있는 FireEye 보고서의 멀웨어 패밀리입니다. |
| alert.decorators[].data.fireeye_report.risk_summary | security_result.description | 원시 로그의 데코레이터 필드에 있는 FireEye 보고서의 위험 요약 |
| alert.decorators[].data.fireeye_verdict | security_result.severity_details | 원시 로그의 데코레이터 필드에서 가져온 FireEye 확인 결과입니다. |
| alert.event_at | read_only_udm.metadata.event_timestamp | 원시 로그의 이벤트 타임스탬프입니다. |
| alert.event_id | read_only_udm.metadata.product_log_id | 원시 로그의 이벤트 ID입니다. |
| alert.event_type | read_only_udm.metadata.product_event_type | 원시 로그의 이벤트 유형입니다. |
| alert.event_values.fileWriteEvent/fullPath | target.file.full_path | 원시 로그에서 작성된 파일의 전체 경로입니다. |
| alert.event_values.fileWriteEvent/md5 | target.file.md5 | 원시 로그에서 작성된 파일의 MD5 해시입니다. |
| alert.event_values.fileWriteEvent/pid | principal.process.pid | 원시 로그에서 파일을 작성한 프로세스 ID입니다. |
| alert.event_values.fileWriteEvent/processPath | principal.process.file.full_path | 원시 로그에서 파일을 작성한 프로세스의 경로입니다. OS가 Windows인 경우 alert.event_values.fileWriteEvent/process와 결합하여 전체 경로를 만듭니다. |
| alert.event_values.fileWriteEvent/size | target.file.size | 원시 로그에서 작성된 파일의 크기입니다. |
| alert.event_values.fileWriteEvent/username | principal.user.userid | 원시 로그에서 파일을 작성한 사용자입니다. |
| alert.event_values.ipv4NetworkEvent/localIP | principal.ip | 원시 로그의 로컬 IP 주소입니다. |
| alert.event_values.ipv4NetworkEvent/localPort | principal.port | 원시 로그의 로컬 포트입니다. |
| alert.event_values.ipv4NetworkEvent/pid | principal.process.pid | 원시 로그의 프로세스 ID입니다. |
| alert.event_values.ipv4NetworkEvent/process | principal.process.file.full_path | 원시 로그의 프로세스 이름입니다. OS가 Windows인 경우 alert.event_values.ipv4NetworkEvent/processPath와 결합하여 전체 경로를 만듭니다. |
| alert.event_values.ipv4NetworkEvent/processPath | principal.process.file.full_path | 원시 로그의 프로세스 경로입니다. OS가 Windows인 경우 alert.event_values.ipv4NetworkEvent/process와 결합하여 전체 경로를 만듭니다. |
| alert.event_values.ipv4NetworkEvent/protocol | network.ip_protocol | 원시 로그의 네트워크 프로토콜입니다. |
| alert.event_values.ipv4NetworkEvent/remoteIP | target.ip | 원시 로그의 원격 IP 주소입니다. |
| alert.event_values.ipv4NetworkEvent/remotePort | target.port | 원시 로그의 원격 포트입니다. |
| alert.event_values.ipv4NetworkEvent/timestamp | read_only_udm.metadata.event_timestamp | 원시 로그의 이벤트 타임스탬프입니다. |
| alert.event_values.ipv4NetworkEvent/username | principal.user.userid | 원시 로그의 사용자입니다. |
| alert.event_values.processEvent/md5 | target.process.file.md5 | 원시 로그의 프로세스 MD5 해시입니다. |
| alert.event_values.processEvent/parentPid | principal.process.pid | 원시 로그의 상위 프로세스 ID입니다. |
| alert.event_values.processEvent/parentProcess | principal.process.file.full_path | 원시 로그의 상위 프로세스 이름입니다. |
| alert.event_values.processEvent/parentProcessPath | principal.process.file.full_path | 원시 로그의 상위 프로세스 경로입니다. |
| alert.event_values.processEvent/pid | target.process.pid | 원시 로그의 프로세스 ID입니다. |
| alert.event_values.processEvent/process | target.process.file.full_path | 원시 로그의 프로세스 이름입니다. |
| alert.event_values.processEvent/processCmdLine | target.process.command_line | 원시 로그의 프로세스 명령줄입니다. |
| alert.event_values.processEvent/processPath | target.process.file.full_path | 원시 로그의 프로세스 경로입니다. |
| alert.event_values.processEvent/timestamp | read_only_udm.metadata.event_timestamp | 원시 로그의 이벤트 타임스탬프입니다. |
| alert.event_values.processEvent/username | principal.user.userid | 원시 로그의 사용자입니다. |
| alert.event_values.urlMonitorEvent/hostname | target.hostname | 원시 로그의 호스트 이름입니다. |
| alert.event_values.urlMonitorEvent/localPort | principal.port | 원시 로그의 로컬 포트입니다. |
| alert.event_values.urlMonitorEvent/pid | principal.process.pid | 원시 로그의 프로세스 ID입니다. |
| alert.event_values.urlMonitorEvent/process | principal.process.file.full_path | 원시 로그의 프로세스 이름입니다. OS가 Windows인 경우 alert.event_values.urlMonitorEvent/processPath와 결합하여 전체 경로를 만듭니다. |
| alert.event_values.urlMonitorEvent/processPath | principal.process.file.full_path | 원시 로그의 프로세스 경로입니다. OS가 Windows인 경우 alert.event_values.urlMonitorEvent/process와 결합하여 전체 경로를 만듭니다. |
| alert.event_values.urlMonitorEvent/remoteIpAddress | target.ip | 원시 로그의 원격 IP 주소입니다. |
| alert.event_values.urlMonitorEvent/remotePort | target.port | 원시 로그의 원격 포트입니다. |
| alert.event_values.urlMonitorEvent/requestUrl | target.url | 원시 로그에서 요청된 URL입니다. |
| alert.event_values.urlMonitorEvent/timestamp | read_only_udm.metadata.event_timestamp | 원시 로그의 이벤트 타임스탬프입니다. |
| alert.event_values.urlMonitorEvent/urlMethod | network.http.method | 원시 로그의 HTTP 메서드입니다. |
| alert.event_values.urlMonitorEvent/userAgent | network.http.user_agent | 원시 로그의 사용자 에이전트입니다. |
| alert.event_values.urlMonitorEvent/username | principal.user.userid | 원시 로그의 사용자입니다. |
| alert.indicator._id | security_result.about.labels.value | 원시 로그의 표시기 ID입니다. |
| alert.indicator.name | read_only_udm.security_result.summary | 원시 로그의 표시기 이름입니다. |
| alert.indicator.url | security_result.about.labels.value | 원시 로그의 표시기 URL입니다. |
| alert.multiple_match | read_only_udm.metadata.description | 원시 로그의 여러 일치 메시지 |
| alert.source | additional.fields.value.string_value | 원시 로그의 알림 소스입니다. |
| authmethod | extensions.auth.mechanism | 원시 로그의 인증 방법입니다. 값이 local 또는 LOCAL인 경우 LOCAL로 설정하고, 그렇지 않은 경우에는 MECHANISM_OTHER로 설정합니다. |
| authsubmethod | extensions.auth.auth_details | 원시 로그의 인증 하위 메서드로, 대문자로 변환됩니다. |
| 클라이언트 | principal.ip | 원시 로그의 클라이언트 IP 주소입니다. |
| conditions.data.tests[].token | security_result.detection_fields.key | 원시 로그의 조건 테스트에서 토큰 |
| conditions.data.tests[].value | security_result.detection_fields.value | 원시 로그의 조건 테스트에서 가져온 값입니다. |
| description | read_only_udm.metadata.description | 원시 로그의 설명입니다. |
| host.agent_version | read_only_udm.metadata.product_version | 원시 로그의 에이전트 버전입니다. |
| host.containment_state | read_only_udm.principal.containment_state | 원시 로그의 격리 상태입니다. |
| host.domain | read_only_udm.principal.administrative_domain | 원시 로그의 도메인입니다. |
| host.hostname | read_only_udm.principal.hostname | 원시 로그의 호스트 이름입니다. |
| host.os.platform | read_only_udm.principal.platform | 원시 로그의 운영체제 플랫폼입니다. |
| host.os.product_name | read_only_udm.principal.platform_version | 원시 로그의 운영체제 제품 이름입니다. |
| host.primary_ip_address | read_only_udm.principal.ip | 원시 로그의 기본 IP 주소입니다. |
| host.primary_mac | read_only_udm.principal.mac | 원시 로그의 기본 MAC 주소로, - 문자가 :로 대체됩니다. |
| host_ | principal.hostname | 원시 로그의 호스트 이름입니다. |
| host_details.data.agent_version | read_only_udm.metadata.product_version | 원시 로그의 에이전트 버전입니다. |
| host_details.data.containment_state | read_only_udm.security_result.severity_details | 원시 로그의 격리 상태입니다. |
| host_details.data.domain | read_only_udm.principal.administrative_domain | 원시 로그의 도메인입니다. |
| host_details.data.hostname | read_only_udm.principal.hostname | 원시 로그의 호스트 이름입니다. |
| host_details.data.os.platform | read_only_udm.principal.platform | 원시 로그의 운영체제 플랫폼입니다. |
| host_details.data.os.product_name | read_only_udm.principal.platform_version | 원시 로그의 운영체제 제품 이름입니다. |
| host_details.data.primary_ip_address | read_only_udm.principal.ip | 원시 로그의 기본 IP 주소입니다. |
| host_details.data.primary_mac | read_only_udm.principal.mac | 원시 로그의 기본 MAC 주소로, - 문자가 :로 대체됩니다. |
| indicators.data.description | read_only_udm.metadata.description | 원시 로그의 지표 설명입니다. |
| 선 | target.application | 원시 로그의 줄입니다. |
| localusername | target.user.user_display_name | 원시 로그의 로컬 사용자 이름입니다. |
| principal_ip | principal.ip | 원시 로그의 기본 IP 주소입니다. |
| 역확산 프로세스를 | read_only_udm.principal.application | 원시 로그의 프로세스 이름입니다. |
| process_id | read_only_udm.principal.process.pid | 원시 로그의 프로세스 ID입니다. |
| referrer | network.http.referral_url | 원시 로그의 리퍼러 URL입니다. |
| remoteaddress | principal.ip | 원시 로그의 원격 주소입니다. |
| 요청 | additional.fields.value.string_value | 원시 로그의 요청입니다. |
| 역할 | target.user.role_name | 원시 로그의 역할입니다. |
| 서버 | target.resource.attribute.labels.value | 원시 로그의 서버입니다. |
| sessionID | network.session_id | 원시 로그의 세션 ID입니다. |
| 줄이는 것을 | security_result.severity | 원시 로그의 심각도에 따라 LOW, MEDIUM 또는 HIGH로 설정합니다. |
| target_host | read_only_udm.target.hostname | 원시 로그의 대상 호스트 이름입니다. |
| target_ip | target.ip | 원시 로그의 대상 IP 주소입니다. |
| target_ip1 | target.ip | 원시 로그의 대상 IPv6 주소입니다. |
| 타임스탬프 | 타임스탬프 | 원시 로그의 타임스탬프입니다. |
| 업스트림 | target.url | 원시 로그의 업스트림 URL입니다. |
| 사용자 이름 | target.user.userid | 원시 로그의 사용자 이름입니다. |
변경사항
2024-12-12
개선사항:
- 새 형식의 JSON 로그에 대한 지원이 추가되었습니다.
2024-10-23
개선사항:
cs12를additional.fields에 매핑했습니다.cs9를target.process.file.md5에 매핑했습니다.
2024-10-15
개선사항:
account_name,UUID,Mitre,host_details.data.sysinfo.url,host_details.route,host_details.data.reported_clone,host_details.data.timezone를security_result.detection_fields에 매핑했습니다.Desc를metadata.description에 매핑했습니다.Confidence를security_result.confidence에 매핑했습니다.alert.appliance._id를additional.fields에 매핑했습니다.host_details.data.stats.acqs,host_details.data.stats.alerting_conditions,host_details.data.stats.alerts,host_details.data.stats.exploit_alerts,host_details.data.stats.exploit_blocks,host_details.data.stats.false_positive_alerts를security_result.detection_fields에 매핑했습니다.
2024-09-12
개선사항:
categoryOutcome,cs13를additional.fields에 매핑했습니다.cs6를target.process.file.sha1에 매핑했습니다.cs9를target.process.file.md5에 매핑했습니다.
2024-08-28
개선사항:
host_details.message를security_result.action_details에 매핑했습니다.alert.md5values,alert.resolution,alert.is_false_positive,alert.alert_type를additional.fields에 매핑했습니다.type.threat_type를security_result.threat_name에 매핑했습니다.ent.lms_event_id를metadata.product_log_id에 매핑했습니다.email.smtp.mail_from를network.email.from에 매핑했습니다.email.headers.subject를network.email.subject에 매핑했습니다.email.headers.to를network.email.to에 매핑했습니다.ent.type,ent.id,ent.name,ent.object_source,ent.binary,ent.attributes.scan_id를security_result.detection_fields에 매핑했습니다.
2024-08-13
개선사항:
cs11Label를additional_cs11Label.key에 매핑했습니다.cs11를additional_cs11.value에 매핑했습니다.
2024-04-04
개선사항:
- 파싱되지 않은 로그를 파싱하는 JSON 데이터를 가져오는 Grok 패턴을 추가했습니다.
alert.sysinfo.mac_address를principal.mac에 매핑했습니다.host_details.data.agent_version를metadata.product_version에 매핑했습니다.alert.url를metadata.url_back_to_product에 매핑했습니다.description를metadata.description에 매핑했습니다.alert.event_type를metadata.product_event_type에 매핑했습니다.alert.agent._id를principal.asset.asset_id에 매핑했습니다.alert.event_id를metadata.product_log_id에 매핑했습니다.
2024-04-03
개선사항:
deviceCustomDate1Label를additional_deviceCustomDate1.key에 매핑했습니다.deviceCustomDate1를additional_deviceCustomDate1.value에 매핑했습니다.deviceCustomDate2를additional_deviceCustomDate2.value에 매핑했습니다.
2024-04-02
개선사항:
fileHash에 정규식 검사를 추가하여 각각 md5 및 sha256을 매핑했습니다.
2024-01-04
개선사항:
- 삭제된 로그에 대한 지원을 추가했습니다.
client를principal.ip에 매핑했습니다.principal_ip를principal.ip에 매핑했습니다.remoteaddress를principal.ip에 매핑했습니다.host_를principal.hostname에 매핑했습니다.line를principal.application에 매핑했습니다.username를principal.user.userid에 매핑했습니다.client_app_type를principal.resource.attribute.labels에 매핑했습니다.upstream를target.url에 매핑했습니다.role를target.user.role_name에 매핑했습니다.server를target.resource.attribute.labels에 매핑했습니다.localusername를target.user.user_display_name에 매핑했습니다.request를additional.fields에 매핑했습니다.mlocked를additional.fields에 매핑했습니다.kernel_stack를additional.fields에 매핑했습니다.sessionID를network.session_id에 매핑했습니다.auth_mechanism를extensions.auth.mechanism에 매핑했습니다.authsubmethod를extensions.auth.auth_details에 매핑했습니다.
2023-05-08
개선사항:
- 새로운 유형의 JSON 로그를 지원했습니다.
client_ip가principal.ip에 매핑되었습니다.client_src_port가principal.port에 매핑되었습니다.ssl_version는tonetwork.tls.version_protocol`을 매핑했습니다.ssl_cipher가network.tls.cipher에 매핑되었습니다.method가network.http.method에 매핑되었습니다.uri_path가network.http.referral_url에 매핑되었습니다.persistent_session_id가network.session_id에 매핑되었습니다.uri_query가additional.fields에 매핑되었습니다.rewritten_uri_query가additional.fields에 매핑되었습니다.virtualservice가additional.fields에 매핑되었습니다.service_engine가additional.fields에 매핑되었습니다.etag가additional.fields에 매핑되었습니다.pool가additional.fields에 매핑되었습니다.pool_name가additional.fields에 매핑되었습니다.request_state가additional.fields에 매핑되었습니다.compression가additional.fields에 매핑되었습니다.vs_name가additional.fields에 매핑되었습니다.request_id가additional.fields에 매핑되었습니다.headers_received_from_server.Server가additional.fields에 매핑되었습니다.headers_received_from_server.X-Request-Id가additional.fields에 매핑되었습니다.headers_received_from_server.X-Server-Id가additional.fields에 매핑되었습니다.
2023-04-24
개선사항:
- CEF 형식 로그에 대한 지원이 추가되었습니다.
2022-08-19
버그 수정:
- event_values.ipv4NetworkEvent/localIP를
principal.ip에 매핑했습니다. - 설명자 없음 오류를 방지하기 위해 로그에서 이벤트 이름을 event1로 변경했습니다.
- host_details.data.primary_ip_address가
principal.ip에 매핑되기 전에 null 검사를 추가했습니다. principal.mac에 매핑하기 전에 host_details.data.primary_mac에 null 검사를 추가했습니다.event.timestamp에 매핑하기 전에 alert.reported_at에 null 검사를 추가했습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.