Collecter les journaux FireEye NX

Compatible avec :

Ce document explique comment collecter les journaux FireEye Network Security and Forensics (NX) à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Présentation de l'ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion FIREEYE_NX.

Configurer FireEye NX

  1. Connectez-vous à l'interface FireEye NX.
  2. Accédez à Paramètres> Notifications.
  3. Pour activer une configuration de notification syslog, cochez la case rsyslog.
  4. Cliquez sur Ajouter un serveur rsyslog.
  5. Dans le champ Nom, saisissez un nom pour identifier votre connexion FireEye aux instances Google SecOps.
  6. Dans le champ Adresse IP, saisissez l'adresse IP du redirecteur Google SecOps.
  7. Cochez la case Activé.
  8. Dans la liste Distribution, sélectionnez Par événement.
  9. Dans la liste Notifications, sélectionnez Tous les événements.
  10. Dans la liste Format, sélectionnez CEF.
  11. Ne saisissez aucune information dans le champ Compte.
  12. Dans la liste Protocole, sélectionnez le protocole.

  13. Cliquez sur Ajouter un serveur rsyslog.

Configurer le redirecteur Google SecOps pour ingérer les journaux FireEye NX

  1. Dans le menu Google SecOps, sélectionnez Settings> Forwarders> Add new forwarder (Paramètres > Relais > Ajouter un relais).
  2. Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
  3. Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, spécifiez FireEye NX.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole : spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations de répartiteurs dans l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google SecOps.