Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Trellix ePO

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Trellix (anteriormente McAfee) ePolicy (ePO) Orchestrator a Google Security Operations con Bindplane. El analizador usa patrones de Grok y filtros XML para extraer campos de los registros con formato XML y CSV, normaliza las direcciones IP y MAC, y asigna los datos extraídos al modelo de datos unificado (UDM). El analizador también controla tipos de eventos y acciones de seguridad específicos, y establece los campos de UDM adecuados según el contenido del registro.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
Acceso privilegiado a McAfee EPO

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_EPO'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de BindPlane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el servidor Syslog de McAfee ePO (Trellix)

Accede a (Trellix) McAfee EPO.
Ve a Menú > Configuración > Servidores registrados.
Haz clic en New Server.
Selecciona Servidor Syslog, especifica un nombre único y, luego, haz clic en Siguiente.
Proporciona los siguientes detalles de configuración:
- Nombre del servidor: Ingresa la dirección IP del agente de Bindplane.
- Número de puerto TCP: Ingresa el puerto TCP del agente de Bindplane (el valor predeterminado es 6514).
- Habilitar el reenvío de eventos: Selecciona esta opción para habilitar el reenvío de eventos desde Agent Handler a este servidor syslog.
- Haz clic en Probar conexión para verificar la conexión a BindPlane.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`AgentGUID`	`principal.asset.id`	El GUID del agente se asigna directamente al ID del activo en el UDM.
`Analyzer`	`idm.read_only_udm.security_result.detection_fields.value`	El valor del analizador se asigna como un campo de detección con la clave "DetectingProductID".
`AnalyzerContentCreationDate`	`idm.read_only_udm.additional.fields.value.string_value`	La fecha de creación del contenido del analizador se asigna a campos adicionales con la clave "Fecha de creación del contenido del analizador".
`AnalyzerContentVersion`	`idm.read_only_udm.additional.fields.value.string_value`	La versión del contenido del Analizador se asigna a campos adicionales con la clave "Versión del contenido del Analizador".
`AnalyzerDATVersion`	`idm.read_only_udm.security_result.detection_fields.value`	La versión del DAT del analizador se asigna como un campo de detección con la clave "datversion".
`AnalyzerDetectionMethod`	`idm.read_only_udm.security_result.detection_fields.value`	El método de detección del analizador se asigna como un campo de detección con la clave "scantype".
`AnalyzerEngineVersion`	`idm.read_only_udm.security_result.detection_fields.value`	La versión del motor del analizador se asigna como un campo de detección con la clave "DetectingAgentVersion".
`AnalyzerHostName`	`idm.read_only_udm.intermediary.hostname`	El nombre de host del analizador se asigna al nombre de host intermedio.
`AnalyzerName`	`idm.read_only_udm.security_result.detection_fields.value`	El nombre del analizador se asigna como un campo de detección con la clave "productname".
`AnalyzerRuleID`	`idm.read_only_udm.additional.fields.value.string_value`	El ID de la regla del Analizador se asigna a campos adicionales con la clave "Analyzer Rule Id".
`AnalyzerRuleName`	`idm.read_only_udm.security_result.rule_name`	El nombre de la regla del analizador se asigna directamente al nombre de la regla del resultado de seguridad.
`AnalyzerVersion`	`idm.read_only_udm.security_result.detection_fields.value`	La versión del analizador se asigna como un campo de detección con la clave "productversion".
`BladeName`	`idm.read_only_udm.additional.fields.value.string_value`	El nombre de la hoja se asigna a campos adicionales con la clave "BladeName".
`DetectedUTC`	`metadata.event_timestamp`	La hora UTC detectada se analiza y se asigna a la marca de tiempo del evento en los metadatos.
`DurationBeforeDetection`	`idm.read_only_udm.additional.fields.value.string_value`	La duración antes de la detección se asigna a campos adicionales con la clave "DurationBeforeDetection".
`EventID`	`idm.read_only_udm.security_result.rule_id`	El ID del evento se asigna al ID de la regla del resultado de seguridad.
`GMTTime`	`metadata.event_timestamp`	La hora GMT se analiza y se asigna a la marca de tiempo del evento en los metadatos.
`IPAddress`	`principal.ip`	La dirección IP se asigna directamente a la IP principal.
`MachineName`	`principal.hostname`	El nombre de la máquina se asigna directamente al nombre de host principal.
`NaturalLangDescription`	`idm.read_only_udm.additional.fields.value.string_value`	La descripción en lenguaje natural se asigna a campos adicionales con la clave "NaturalLangDescription".
`OSName`	`principal.platform`	El nombre del SO se normaliza y se asigna a la plataforma principal (WINDOWS, MAC, LINUX o UNKNOWN_PLATFORM).
`ProductName`	`metadata.product_name`	El nombre del producto se asigna directamente al nombre del producto en los metadatos.
`ProductVersion`	`metadata.product_version`	La versión del producto se asigna directamente a la versión del producto en los metadatos.
`RawMACAddress`	`principal.mac`	La dirección MAC sin procesar se analiza y se asigna a la dirección MAC principal.
`Severity`	`idm.read_only_udm.security_result.severity`	La gravedad se asigna a la gravedad del resultado de seguridad (ALTA, MEDIA o BAJA).
`SourceIPV4`	`idm.read_only_udm.src.ip`	La dirección IPv4 de origen se asigna a la IP de origen.
`SourceProcessName`	`principal.application`	El nombre del proceso de origen se asigna directamente a la aplicación principal.
`SourceUserName`	`principal.user.user_display_name`	El nombre de usuario de la fuente se asigna directamente al nombre visible del usuario principal.
`TargetFileName`	`target.process.file.full_path`	El nombre de archivo de destino se asigna a la ruta de acceso completa del archivo de destino.
`TargetHostName`	`target.hostname`	El nombre de host de destino se asigna al nombre de host de destino.
`TargetPort`	`target.port`	El puerto de destino se asigna al puerto de destino.
`TargetProtocol`	`network.ip_protocol`	El protocolo de destino se asigna al protocolo IP de la red.
`TargetUserName`	`target.user.user_display_name`	El nombre de usuario de destino se asigna al nombre visible del usuario de destino.
`ThreatActionTaken`	`security_result.action_details`	La acción de amenaza tomada se asigna a los detalles de la acción del resultado de seguridad.
`ThreatCategory`	`security_result.category_details`	La categoría de amenaza se asigna a los detalles de la categoría del resultado de seguridad.
`ThreatEventID`	`security_result.rule_id`	El ID del evento de amenaza se asigna al ID de la regla del resultado de seguridad.
`ThreatHandled`	`security_result.detection_fields.value`	El estado de amenaza controlada se asigna como un campo de detección con la clave "ThreatHandled".
`ThreatName`	`security_result.threat_name`	El nombre de la amenaza se asigna directamente al nombre de la amenaza del resultado de seguridad.
`ThreatSeverity`	`security_result.severity`	La gravedad de la amenaza se asigna a la gravedad del resultado de seguridad (ALTA, MEDIA o BAJA).
`ThreatType`	`security_result.threat_id`	El tipo de amenaza se asigna al ID de amenaza del resultado de seguridad.
`UserName`	`principal.user.user_display_name`	El nombre de usuario se asigna al nombre visible del usuario principal.
`collection_time`	`metadata.collected_timestamp`	La hora de recopilación se asigna a la marca de tiempo de recopilación en los metadatos.
`log_type`	`metadata.log_type`	El tipo de registro se asigna directamente al tipo de registro de metadatos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.