收集 FireEye NX 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器,收集 FireEye Network Security and Forensics (NX) 記錄。

詳情請參閱「將資料擷取至 Google SecOps 總覽」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為結構化 UDM 格式。本文件中的資訊適用於具有 FIREEYE_NX 攝入標籤的剖析器。

設定 FireEye NX

  1. 登入 FireEye NX 介面。
  2. 依序前往「設定」>「通知」
  3. 如要啟用系統記錄通知設定,請選取「rsyslog」rsyslog核取方塊。
  4. 按一下「新增 rsyslog 伺服器」
  5. 在「Name」(名稱) 欄位中,輸入名稱來標示 FireEye 與 Google SecOps 執行個體的連線。
  6. 在「IP address」(IP 位址) 欄位中,輸入 Google SecOps 轉送器 IP 位址。
  7. 勾選「已啟用」核取方塊。
  8. 在「傳送」清單中,選取「每個事件」
  9. 在「通知」清單中,選取「所有事件」
  10. 在「格式」清單中,選取「CEF」
  11. 請勿在「帳戶」欄位中輸入任何資訊。
  12. 在「通訊協定」清單中,選取通訊協定。

  13. 按一下「新增 rsyslog 伺服器」

設定 Google SecOps 轉送器,擷取 FireEye NX 記錄

  1. 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」
  2. 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
  3. 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  4. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  5. 在「記錄類型」欄位中,指定 FireEye NX
  6. 選取「Syslog」做為「收集器類型」
  7. 設定下列輸入參數:
    • 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 連接埠:指定收集器所在並監聽系統記錄檔資料的目標連接埠。
  8. 按一下「提交」

如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google SecOps 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題,請與 Google SecOps 支援團隊聯絡。