本頁面由 Cloud Translation API 翻譯而成。

收集 McAfee Firewall Enterprise 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何收集 McAfee Firewall Enterprise 記錄。剖析器程式碼會先使用一系列 Grok 模式擷取欄位，並處理 SYSLOG 和 JSON 格式。然後，系統會根據識別出的記錄類別套用特定 Grok 模式和鍵值擷取作業，將資料對應至 Google Security Operations UDM 結構定義。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 McAfee ESM 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: mcafee_esm
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

在 Linux 中，如要重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如要重新啟動 Bindplane 代理程式，可以使用「服務」主控台，也可以輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 McAfee ESM 轉送系統記錄檔

登入 McAfee ESM 控制台。
前往「系統屬性」>「事件轉送」。
按一下「新增」，建立新的系統記錄轉寄規則。
進行下列設定：
- 名稱：輸入描述性名稱 (例如「Google SecOps 轉送」)。
- 目的地 IP 位址：輸入 Syslog 伺服器 (或 Bindplane 代理程式) 的 IP。
- 目標通訊埠：針對 UDP 使用 514 (您可以指定其他通訊埠，視系統記錄檔伺服器/Bindplane 設定而定)。
- 通訊協定：選取「UDP」 (其他選項為 TCP 或 TLS，視您的 Syslog 伺服器/Bindplane 設定而定)。
- 格式：選擇 CEF (通用事件格式) 或 ASCII (McAfee 記錄的建議格式)。
- 篩選器：定義要轉送的事件類型，例如防火牆記錄、驗證事件或威脅偵測。
按一下 [儲存]。
重新啟動 McAfee ESM 服務，讓變更生效。

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	security_result.action_details	這個值取自已剖析 JSON 酬載中的「act」欄位。
cat	security_result.category_details	這個值取自已剖析 JSON 酬載中的「cat」欄位。
data.AppID	target.application	這個值取自已剖析 JSON 酬載中的「AppID」欄位。
data.Destination_Hostname	target.hostname	這個值取自已剖析 JSON 酬載中的「Destination_Hostname」欄位。
data.Destination_UserID	target.user.windows_sid	這個值取自已剖析 JSON 酬載中的「Destination_UserID」欄位。
data.DomainID	target.administrative_domain	這個值取自已剖析 JSON 酬載中的「DomainID」欄位。
data.dst_ip	target.ip	這個值取自已剖析 JSON 酬載中的「dst_ip」欄位。
data.dst_mac	target.mac	這個值取自已剖析 JSON 酬載中的「dst_mac」欄位。
data.dst_port	target.port	這個值取自已剖析 JSON 酬載中的「dst_port」欄位，並轉換為整數。
data.HostID	target.hostname	這個值取自已剖析 JSON 酬載中的「HostID」欄位。
data.norm_sig.name		這個欄位會根據值判斷事件類型。
data.PID	target.process.pid	這個值取自已剖析 JSON 酬載中的「PID」欄位。
data.Process_Name	target.process.command_line	這個值取自已剖析 JSON 酬載中的「Process_Name」欄位。
data.severity	security_result.severity	系統會從已剖析的 JSON 酬載中擷取「嚴重程度」欄位的值，並轉換為整數，然後根據該值對應至 UDM 嚴重程度：低 (1-32)、中 (33-65)、高 (66-100)。
data.sig.name	security_result.description	這個值取自已剖析 JSON 酬載中的「sig.name」欄位。
data.Source_Logon_ID	about.labels.value	這個值取自已剖析 JSON 酬載中的「Source_Logon_ID」欄位。
data.Source_UserID	principal.user.windows_sid	這個值取自已剖析 JSON 酬載中的「Source_UserID」欄位。
data.src_ip	principal.ip	這個值取自已剖析 JSON 酬載中的「src_ip」欄位。
data.src_mac	principal.mac	這個值取自已剖析 JSON 酬載中的「src_mac」欄位。
data.src_port	principal.port	這個值取自已剖析 JSON 酬載中的「src_port」欄位，並轉換為整數。
data.UserIDDst	target.user.userid	這個值取自已剖析 JSON 酬載中的「UserIDDst」欄位。
data.UserIDSrc	principal.user.userid	這個值取自已剖析 JSON 酬載中的「UserIDSrc」欄位。
deviceExternalId	about.asset.asset_id	這個值取自已剖析 JSON 酬載中的「deviceExternalId」欄位，並與產品名稱合併，建立專屬資產 ID。
deviceTranslatedAddress	about.nat_ip	這個值取自已剖析 JSON 酬載中的「deviceTranslatedAddress」欄位。
dst	target.ip	這個值取自已剖析 JSON 酬載中的「dst」欄位。
dpt	target.port	這個值取自已剖析 JSON 酬載中的「dpt」欄位，並轉換為整數。
eventId	additional.fields.value.string_value	這個值取自已剖析 JSON 酬載中的「eventId」欄位。
externalId	metadata.product_log_id	這個值取自已剖析 JSON 酬載中的「externalId」欄位。
主機名稱	principal.hostname	這個值取自 grok 模式擷取的「hostname」欄位。
log_category	metadata.log_type	這個值取自 grok 模式擷取的「log_category」欄位。
log_type	metadata.product_event_type	這個值取自 grok 模式擷取的「log_type」欄位。
訊息		系統會剖析這個欄位，並視記錄類別擷取各種欄位。
nitroURL		這個欄位不會對應至 UDM 中的 IDM 物件。
pid	principal.process.pid	這個值取自 grok 模式擷取的「pid」欄位。
process_id	about.process.pid	這個值取自 grok 模式擷取的「process_id」欄位。
proto	network.ip_protocol	這個值取自已剖析 JSON 酬載中的「proto」欄位，並對應至相應的 IP 通訊協定。
rhost	principal.ip	這個值取自 grok 模式擷取的「rhost」欄位，並剖析為 IP 位址。
shost	principal.hostname	這個值取自已剖析 JSON 酬載中的「shost」欄位。
sntdom	principal.administrative_domain	這個值取自已剖析 JSON 酬載中的「sntdom」欄位。
spt	principal.port	這個值取自已剖析 JSON 酬載中的「spt」欄位，並轉換為整數。
src	principal.ip	這個值取自已剖析 JSON 酬載中的「src」欄位。
時間	時間戳記	這個值取自 grok 模式擷取的「time」欄位，並剖析為時間戳記。
類型	metadata.product_event_type	這個值取自 kv 篩選器擷取的「type」欄位。
uid	principal.user.userid	這個值取自 kv 篩選器擷取的「uid」欄位。
metadata.event_type	metadata.event_type	系統會根據記錄檔中的事件名稱和其他欄位設定值。判斷事件類型的邏輯如下：- 如果事件名稱包含「TCP」，事件類型會設為「NETWORK_CONNECTION」。- 如果事件名稱包含「Mail」，事件類型會設為「EMAIL_TRANSACTION」。- 如果事件名稱包含「HTTP」或「http」，事件類型會設為「NETWORK_HTTP」。- 如果事件名稱包含「User Accessed」或「denied by access-list」，事件類型會設為「USER_RESOURCE_ACCESS」。- 如果事件名稱包含「Data Source Idle」，事件類型會設為「STATUS_UPDATE」。- 如果事件名稱包含「Comm with snowflex」，事件類型會設為「SERVICE_UNSPECIFIED」。- 如果事件名稱包含「An account was successfully logged on」，事件類型會設為「USER_LOGIN」。- 如果事件名稱包含「Initialization status for service objects」，事件類型會設為「GENERIC_EVENT」。- 如果不符合上述任一條件，事件類型會設為「GENERIC_EVENT」。
metadata.vendor_name	metadata.vendor_name	值設為「MCAFEE」。
network.direction	network.direction	如果已剖析的 JSON 酬載中「deviceDirection」欄位的值為 0，則值會設為「INBOUND」。否則會設為「OUTBOUND」。
security_result.severity	security_result.severity	如果已剖析的 JSON 酬載中的「cef_event_severity」欄位為 1，則值會設為「LOW」；如果為 2，則設為「MEDIUM」；如果為 3，則設為「HIGH」；如果為 9，則設為「CRITICAL」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。