Raccogliere i log di McAfee Firewall Enterprise
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di McAfee Firewall Enterprise. Il codice del parser estrae innanzitutto i campi utilizzando una serie di pattern Grok, gestendo sia i formati SYSLOG che JSON. A seconda della categoria di log identificata, applica pattern Grok ed estrazioni chiave-valore specifici per mappare i dati nello schema UDM di Google Security Operations.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con
systemd. - Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso con privilegi a McAfee ESM.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
- Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace with your specific IP and port listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Path to the ingestion authentication file creds: '/path/to/your/ingestion-auth.json' # Your Chronicle customer ID customer_id: 'your_customer_id' endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: log_type: SYSLOG namespace: mcafee_esm raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
In Linux, per riavviare Bindplane Agent, esegui questo comando:
sudo systemctl restart bindplane-agentIn Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare McAfee ESM per l'inoltro di Syslog
- Accedi alla console McAfee ESM.
- Vai a Proprietà di sistema > Inoltro eventi.
- Fai clic su Aggiungi per creare una nuova regola di forwarding syslog.
- Configura le seguenti impostazioni:
- Nome: inserisci un nome descrittivo (ad esempio, Inoltro Google SecOps).
- Indirizzo IP di destinazione: inserisci l'IP del server Syslog (o dell'agente Bindplane).
- Porta di destinazione: utilizza 514 per UDP (puoi specificare un'altra porta, a seconda della configurazione del server Syslog/Bindplane).
- Protocollo: seleziona UDP (le altre scelte sono TCP o TLS, a seconda della configurazione del server Syslog/Bindplane).
- Formato: scegli CEF (Common Event Format) o ASCII (formato consigliato per i log McAfee).
- Filtri: definisci i tipi di eventi che vuoi inoltrare, ad esempio log del firewall, eventi di autenticazione o rilevamenti di minacce.
- Fai clic su Salva.
- Riavvia il servizio McAfee ESM per applicare le modifiche.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| atto | security_result.action_details | Il valore viene estratto dal campo "act" nel payload JSON analizzato. |
| gatto | security_result.category_details | Il valore viene estratto dal campo "cat" nel payload JSON analizzato. |
| data.AppID | target.application | Il valore viene estratto dal campo "AppID" nel payload JSON analizzato. |
| data.Destination_Hostname | target.hostname | Il valore viene estratto dal campo "Destination_Hostname" nel payload JSON analizzato. |
| data.Destination_UserID | target.user.windows_sid | Il valore viene estratto dal campo "Destination_UserID" nel payload JSON analizzato. |
| data.DomainID | target.administrative_domain | Il valore viene estratto dal campo "DomainID" nel payload JSON analizzato. |
| data.dst_ip | target.ip | Il valore viene estratto dal campo "dst_ip" nel payload JSON analizzato. |
| data.dst_mac | target.mac | Il valore viene estratto dal campo "dst_mac" nel payload JSON analizzato. |
| data.dst_port | target.port | Il valore viene estratto dal campo "dst_port" nel payload JSON analizzato e convertito in un numero intero. |
| data.HostID | target.hostname | Il valore viene estratto dal campo "HostID" nel payload JSON analizzato. |
| data.norm_sig.name | Questo campo determina il tipo di evento in base al suo valore. | |
| data.PID | target.process.pid | Il valore viene estratto dal campo "PID" nel payload JSON analizzato. |
| data.Process_Name | target.process.command_line | Il valore viene estratto dal campo "Process_Name" nel payload JSON analizzato. |
| data.severity | security_result.severity | Il valore viene estratto dal campo "severity" del payload JSON analizzato, convertito in un numero intero e mappato a un livello di gravità UDM in base al suo valore: BASSA (1-32), MEDIA (33-65), ALTA (66-100). |
| data.sig.name | security_result.description | Il valore viene estratto dal campo "sig.name" nel payload JSON analizzato. |
| data.Source_Logon_ID | about.labels.value | Il valore viene estratto dal campo "Source_Logon_ID" nel payload JSON analizzato. |
| data.Source_UserID | principal.user.windows_sid | Il valore viene estratto dal campo "Source_UserID" nel payload JSON analizzato. |
| data.src_ip | principal.ip | Il valore viene estratto dal campo "src_ip" nel payload JSON analizzato. |
| data.src_mac | principal.mac | Il valore viene estratto dal campo "src_mac" nel payload JSON analizzato. |
| data.src_port | principal.port | Il valore viene estratto dal campo "src_port" nel payload JSON analizzato e convertito in un numero intero. |
| data.UserIDDst | target.user.userid | Il valore viene estratto dal campo "UserIDDst" nel payload JSON analizzato. |
| data.UserIDSrc | principal.user.userid | Il valore viene estratto dal campo "UserIDSrc" nel payload JSON analizzato. |
| deviceExternalId | about.asset.asset_id | Il valore viene estratto dal campo "deviceExternalId" nel payload JSON analizzato e combinato con il nome del prodotto per creare un ID risorsa univoco. |
| deviceTranslatedAddress | about.nat_ip | Il valore viene estratto dal campo "deviceTranslatedAddress" nel payload JSON analizzato. |
| dst | target.ip | Il valore viene estratto dal campo "dst" nel payload JSON analizzato. |
| dpt | target.port | Il valore viene estratto dal campo "dpt" nel payload JSON analizzato e convertito in un numero intero. |
| eventId | additional.fields.value.string_value | Il valore viene estratto dal campo "eventId" nel payload JSON analizzato. |
| externalId | metadata.product_log_id | Il valore viene estratto dal campo "externalId" nel payload JSON analizzato. |
| nome host | principal.hostname | Il valore viene estratto dal campo "hostname" dal pattern grok. |
| log_category | metadata.log_type | Il valore viene estratto dal campo "log_category" dal pattern grok. |
| log_type | metadata.product_event_type | Il valore viene estratto dal campo "log_type" dal pattern grok. |
| messaggio | Questo campo viene analizzato per estrarre vari campi a seconda della categoria di log. | |
| nitroURL | Questo campo non è mappato all'oggetto IDM nell'UDM. | |
| pid | principal.process.pid | Il valore viene estratto dal campo "pid" dal pattern grok. |
| process_id | about.process.pid | Il valore viene estratto dal campo "process_id" dal pattern grok. |
| proto | network.ip_protocol | Il valore viene estratto dal campo "proto" nel payload JSON analizzato e mappato al protocollo IP corrispondente. |
| rhost | principal.ip | Il valore viene estratto dal campo "rhost" dal pattern grok e analizzato come indirizzo IP. |
| shost | principal.hostname | Il valore viene estratto dal campo "shost" nel payload JSON analizzato. |
| sntdom | principal.administrative_domain | Il valore viene estratto dal campo "sntdom" nel payload JSON analizzato. |
| spt | principal.port | Il valore viene estratto dal campo "spt" nel payload JSON analizzato e convertito in un numero intero. |
| src | principal.ip | Il valore viene estratto dal campo "src" nel payload JSON analizzato. |
| tempo | timestamp | Il valore viene estratto dal campo "time" dal pattern grok e analizzato come timestamp. |
| tipo | metadata.product_event_type | Il valore viene estratto dal campo "type" filtrato dalla coppia chiave-valore. |
| uid | principal.user.userid | Il valore viene estratto dal campo "uid" dal filtro kv. |
| metadata.event_type | metadata.event_type | Il valore viene impostato in base al nome dell'evento e ad altri campi nel log. La logica per determinare il tipo di evento è la seguente: - Se il nome dell'evento contiene "TCP", il tipo di evento è impostato su "NETWORK_CONNECTION". - Se il nome dell'evento contiene "Mail", il tipo di evento è impostato su "EMAIL_TRANSACTION". - Se il nome dell'evento contiene "HTTP" o "http", il tipo di evento è impostato su "NETWORK_HTTP". - Se il nome dell'evento contiene "User Accessed" o "denied by access-list", il tipo di evento è impostato su "USER_RESOURCE_ACCESS". - Se il nome dell'evento contiene "Data Source Idle", il tipo di evento è impostato su "STATUS_UPDATE". - Se il nome dell'evento contiene "Comm with snowflex", il tipo di evento è impostato su "SERVICE_UNSPECIFIED". - Se il nome dell'evento contiene "An account was successfully logged on", il tipo di evento è impostato su "USER_LOGIN". - Se il nome dell'evento contiene "Initialization status for service objects", il tipo di evento è impostato su "GENERIC_EVENT". - Se nessuna delle condizioni precedenti è soddisfatta, il tipo di evento viene impostato su "GENERIC_EVENT". |
| metadata.vendor_name | metadata.vendor_name | Il valore è impostato su "MCAFEE". |
| network.direction | network.direction | Il valore è impostato su "INBOUND" se il campo "deviceDirection" nel payload JSON analizzato è 0. In caso contrario, è impostato su "OUTBOUND". |
| security_result.severity | security_result.severity | Il valore è impostato su "LOW" se il campo "cef_event_severity" nel payload JSON analizzato è 1, su "MEDIUM" se è 2, su "HIGH" se è 3 e su "CRITICAL" se è 9. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.