FireEye NX-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die FireEye Network Security and Forensics (NX)-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label FIREEYE_NX.

FireEye NX konfigurieren

  1. Melden Sie sich auf der FireEye NX-Oberfläche an.
  2. Rufen Sie die Einstellungen > „Benachrichtigungen“ auf.
  3. Wenn Sie eine Syslog-Benachrichtigungskonfiguration aktivieren möchten, wählen Sie das Kästchen rsyslog aus.
  4. Klicken Sie auf rsyslog-Server hinzufügen.
  5. Geben Sie im Feld Name einen Namen ein, mit dem Sie Ihre FireEye-Verbindung zu den Google SecOps-Instanzen kennzeichnen möchten.
  6. Geben Sie im Feld IP-Adresse die IP-Adresse des Google SecOps-Forwarders ein.
  7. Klicken Sie das Kästchen Aktiviert an.
  8. Wählen Sie in der Liste Zustellung die Option Pro Ereignis aus.
  9. Wählen Sie in der Liste Benachrichtigungen die Option Alle Ereignisse aus.
  10. Wählen Sie in der Liste Format die Option CEF aus.
  11. Geben Sie im Feld Konto keine Informationen ein.
  12. Wählen Sie in der Liste Protokoll das Protokoll aus.

  13. Klicken Sie auf Add new rsyslog server (Neuen rsyslog-Server hinzufügen).

Google SecOps-Forwarder für die Aufnahme von FireEye NX-Logs konfigurieren

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
  2. Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
  3. Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
  4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  5. Geben Sie im Feld Logtyp FireEye NX an.
  6. Wählen Sie Syslog als Collector-Typ aus.
  7. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
  8. Klicken Sie auf Senden.

Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.