本頁面由 Cloud Translation API 翻譯而成。

收集 FireEye HX 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 收集 FireEye Endpoint Security (HX) 記錄，並傳送至 Google Security Operations。剖析器會嘗試將輸入訊息處理為 JSON。如果訊息不是 JSON 格式，系統會使用 grok 模式擷取欄位，然後根據擷取的事件類型和其他條件執行條件式 UDM 對應。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您擁有 FireEye Endpoint Security 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'FIREEYE_HX'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

使用 UI 設定 FireEye HX Event Streamer syslog

登入 FireEye HX 管理控制台。
前往「活動串流器」。
選取「在主機上啟用 Event Streamer」。
儲存政策變更。
依序前往「目的地」>「伺服器設定」>「新增系統記錄目的地」。
提供下列設定詳細資料：
- 名稱：輸入專屬名稱，為 Google SecOps 記錄收集器加上標籤。
- IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
儲存變更以套用。

使用 CLI 設定 FireEye HX Event Streamer syslog

使用指令列介面 (CLI) 登入 FireEye HX 裝置。
執行下列指令來啟用設定模式：
```
enable
configure terminal
```
執行下列指令，新增遠端系統記錄伺服器目的地：
```
logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port
```
- 取代下列項目：
  - BINDPLANE_IP_ADDRESS：Google SecOps 轉送器 IP 位址
  - PORT_NUMBER：通訊埠編號
執行下列指令來儲存設定詳細資料：
```
write mem
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
alert.agent._id	principal.asset.asset_id	原始記錄中的代理程式 ID，前置字串為 `AGENT ID:`
alert.agent.url	principal.labels.value	原始記錄中的代理程式網址。
alert.condition._id	additional.fields.value.string_value	原始記錄中的條件 ID，已移除 `=` 個字元。
alert.condition.url	additional.fields.value.string_value	原始記錄中的條件網址，已移除 `=` 個字元。
alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0	security_result.threat_name	原始記錄的裝飾器欄位中，FireEye 報告的惡意軟體系列。
alert.decorators[].data.fireeye_report.risk_summary	security_result.description	原始記錄的裝飾器欄位中，FireEye 報告的風險摘要。
alert.decorators[].data.fireeye_verdict	security_result.severity_details	原始記錄的裝飾器欄位中的 FireEye 判決。
alert.event_at	read_only_udm.metadata.event_timestamp	原始記錄中的事件時間戳記。
alert.event_id	read_only_udm.metadata.product_log_id	原始記錄中的事件 ID。
alert.event_type	read_only_udm.metadata.product_event_type	原始記錄中的事件類型。
alert.event_values.fileWriteEvent/fullPath	target.file.full_path	從原始記錄寫入的檔案完整路徑。
alert.event_values.fileWriteEvent/md5	target.file.md5	從原始記錄寫入的檔案 MD5 雜湊。
alert.event_values.fileWriteEvent/pid	principal.process.pid	從原始記錄檔寫入檔案的程序 ID。
alert.event_values.fileWriteEvent/processPath	principal.process.file.full_path	從原始記錄寫入檔案的程序路徑。如果作業系統是 Windows，請與 alert.event_values.fileWriteEvent/process 結合，建立完整路徑。
alert.event_values.fileWriteEvent/size	target.file.size	從原始記錄寫入的檔案大小。
alert.event_values.fileWriteEvent/username	principal.user.userid	從原始記錄寫入檔案的使用者。
alert.event_values.ipv4NetworkEvent/localIP	principal.ip	原始記錄中的本機 IP 位址。
alert.event_values.ipv4NetworkEvent/localPort	principal.port	原始記錄中的本機通訊埠。
alert.event_values.ipv4NetworkEvent/pid	principal.process.pid	原始記錄中的程序 ID。
alert.event_values.ipv4NetworkEvent/process	principal.process.file.full_path	原始記錄中的程序名稱。如果作業系統為 Windows，請與 alert.event_values.ipv4NetworkEvent/processPath 結合，建立完整路徑。
alert.event_values.ipv4NetworkEvent/processPath	principal.process.file.full_path	原始記錄中的程序路徑。如果作業系統是 Windows，請與 alert.event_values.ipv4NetworkEvent/process 結合，建立完整路徑。
alert.event_values.ipv4NetworkEvent/protocol	network.ip_protocol	原始記錄中的網路通訊協定。
alert.event_values.ipv4NetworkEvent/remoteIP	target.ip	原始記錄中的遠端 IP 位址。
alert.event_values.ipv4NetworkEvent/remotePort	target.port	原始記錄中的遠端通訊埠。
alert.event_values.ipv4NetworkEvent/timestamp	read_only_udm.metadata.event_timestamp	原始記錄中的事件時間戳記。
alert.event_values.ipv4NetworkEvent/username	principal.user.userid	原始記錄中的使用者。
alert.event_values.processEvent/md5	target.process.file.md5	原始記錄中的程序 MD5 雜湊。
alert.event_values.processEvent/parentPid	principal.process.pid	原始記錄中的上層程序 ID。
alert.event_values.processEvent/parentProcess	principal.process.file.full_path	原始記錄中的父項程序名稱。
alert.event_values.processEvent/parentProcessPath	principal.process.file.full_path	原始記錄中的父項程序路徑。
alert.event_values.processEvent/pid	target.process.pid	原始記錄中的程序 ID。
alert.event_values.processEvent/process	target.process.file.full_path	原始記錄中的程序名稱。
alert.event_values.processEvent/processCmdLine	target.process.command_line	原始記錄中的程序指令列。
alert.event_values.processEvent/processPath	target.process.file.full_path	原始記錄中的程序路徑。
alert.event_values.processEvent/timestamp	read_only_udm.metadata.event_timestamp	原始記錄中的事件時間戳記。
alert.event_values.processEvent/username	principal.user.userid	原始記錄中的使用者。
alert.event_values.urlMonitorEvent/hostname	target.hostname	原始記錄中的主機名稱。
alert.event_values.urlMonitorEvent/localPort	principal.port	原始記錄中的本機通訊埠。
alert.event_values.urlMonitorEvent/pid	principal.process.pid	原始記錄中的程序 ID。
alert.event_values.urlMonitorEvent/process	principal.process.file.full_path	原始記錄中的程序名稱。如果作業系統為 Windows，請與 alert.event_values.urlMonitorEvent/processPath 結合，建立完整路徑。
alert.event_values.urlMonitorEvent/processPath	principal.process.file.full_path	原始記錄中的程序路徑。如果作業系統是 Windows，請與 alert.event_values.urlMonitorEvent/process 結合，建立完整路徑。
alert.event_values.urlMonitorEvent/remoteIpAddress	target.ip	原始記錄中的遠端 IP 位址。
alert.event_values.urlMonitorEvent/remotePort	target.port	原始記錄中的遠端通訊埠。
alert.event_values.urlMonitorEvent/requestUrl	target.url	原始記錄中的要求網址。
alert.event_values.urlMonitorEvent/timestamp	read_only_udm.metadata.event_timestamp	原始記錄中的事件時間戳記。
alert.event_values.urlMonitorEvent/urlMethod	network.http.method	原始記錄中的 HTTP 方法。
alert.event_values.urlMonitorEvent/userAgent	network.http.user_agent	原始記錄中的使用者代理程式。
alert.event_values.urlMonitorEvent/username	principal.user.userid	原始記錄中的使用者。
alert.indicator._id	security_result.about.labels.value	原始記錄中的指標 ID。
alert.indicator.name	read_only_udm.security_result.summary	原始記錄中的指標名稱。
alert.indicator.url	security_result.about.labels.value	原始記錄中的指標網址。
alert.multiple_match	read_only_udm.metadata.description	原始記錄中的多個相符訊息。
alert.source	additional.fields.value.string_value	原始記錄中的快訊來源。
authmethod	extensions.auth.mechanism	原始記錄中的驗證方法。如果值為 `local` 或 `LOCAL`，請設為 `LOCAL`，否則請設為 `MECHANISM_OTHER`。
authsubmethod	extensions.auth.auth_details	原始記錄中的驗證子方法，已轉換為大寫。
用戶端	principal.ip	原始記錄中的用戶端 IP 位址。
conditions.data.tests[].token	security_result.detection_fields.key	原始記錄中條件測試的權杖。
conditions.data.tests[].value	security_result.detection_fields.value	原始記錄中條件測試的值。
說明	read_only_udm.metadata.description	原始記錄中的說明。
host.agent_version	read_only_udm.metadata.product_version	原始記錄中的代理程式版本。
host.containment_state	read_only_udm.principal.containment_state	原始記錄中的封鎖狀態。
host.domain	read_only_udm.principal.administrative_domain	原始記錄中的網域。
host.hostname	read_only_udm.principal.hostname	原始記錄中的主機名稱。
host.os.platform	read_only_udm.principal.platform	原始記錄中的作業系統平台。
host.os.product_name	read_only_udm.principal.platform_version	原始記錄中的作業系統產品名稱。
host.primary_ip_address	read_only_udm.principal.ip	原始記錄中的主要 IP 位址。
host.primary_mac	read_only_udm.principal.mac	原始記錄中的主要 MAC 位址，其中 `-` 字元已替換為 `:`。
host_	principal.hostname	原始記錄中的主機名稱。
host_details.data.agent_version	read_only_udm.metadata.product_version	原始記錄中的代理程式版本。
host_details.data.containment_state	read_only_udm.security_result.severity_details	原始記錄中的封鎖狀態。
host_details.data.domain	read_only_udm.principal.administrative_domain	原始記錄中的網域。
host_details.data.hostname	read_only_udm.principal.hostname	原始記錄中的主機名稱。
host_details.data.os.platform	read_only_udm.principal.platform	原始記錄中的作業系統平台。
host_details.data.os.product_name	read_only_udm.principal.platform_version	原始記錄中的作業系統產品名稱。
host_details.data.primary_ip_address	read_only_udm.principal.ip	原始記錄中的主要 IP 位址。
host_details.data.primary_mac	read_only_udm.principal.mac	原始記錄中的主要 MAC 位址，其中 `-` 字元已替換為 `:`。
indicators.data.description	read_only_udm.metadata.description	原始記錄中的指標說明。
線條	target.application	原始記錄中的一行。
localusername	target.user.user_display_name	原始記錄中的本機使用者名稱。
principal_ip	principal.ip	原始記錄中的主體 IP 位址。
反向擴散程序	read_only_udm.principal.application	原始記錄中的程序名稱。
process_id	read_only_udm.principal.process.pid	原始記錄中的程序 ID。
參照網址	network.http.referral_url	原始記錄中的參照網址。
remoteaddress	principal.ip	原始記錄中的遠端位址。
要求	additional.fields.value.string_value	原始記錄中的要求。
角色	target.user.role_name	原始記錄檔中的角色。
伺服器	target.resource.attribute.labels.value	原始記錄中的伺服器。
sessionID	network.session_id	原始記錄中的工作階段 ID。
嚴重性	security_result.severity	根據原始記錄的嚴重程度，設為 `LOW`、`MEDIUM` 或 `HIGH`。
target_host	read_only_udm.target.hostname	原始記錄中的目標主機名稱。
target_ip	target.ip	原始記錄中的目標 IP 位址。
target_ip1	target.ip	原始記錄中的目標 IPv6 位址。
時間戳記	時間戳記	原始記錄中的時間戳記。
上游	target.url	原始記錄中的上游網址。
使用者名稱	target.user.userid	原始記錄中的使用者名稱。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。