Coletar registros do FireEye NX

Compatível com:

Neste documento, descrevemos como coletar os registros do FireEye Network Security and Forensics (NX) usando um encaminhador do Google Security Operations.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FIREEYE_NX.

Configurar o FireEye NX

  1. Faça login na interface do FireEye NX.
  2. Acesse Configurações > Notificações.
  3. Para ativar uma configuração de notificação do syslog, marque a caixa de seleção rsyslog.
  4. Clique em Adicionar servidor rsyslog.
  5. No campo Nome, insira um nome para rotular sua conexão do FireEye com as instâncias do Google SecOps.
  6. No campo Endereço IP, insira o endereço IP do encaminhador do Google SecOps.
  7. Marque a caixa de seleção Ativado.
  8. Na lista Entrega, selecione Por evento.
  9. Na lista Notificações, selecione Todos os eventos.
  10. Na lista Formato, selecione CEF.
  11. No campo Conta, não insira nenhuma informação.
  12. Na lista Protocolo, selecione o protocolo.

  13. Clique em Adicionar novo servidor rsyslog.

Configurar o encaminhador do Google SecOps para ingerir registros do FireEye NX

  1. No menu do Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  4. No campo Nome do coletor, insira um nome exclusivo para ele.
  5. No campo Tipo de registro, especifique FireEye NX.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para ouvir dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e escuta os dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.