Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Trellix ePO

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Trellix (sebelumnya McAfee) ePolicy (ePO) Orchestrator ke Google Security Operations menggunakan BindPlane. Parser menggunakan pola grok dan pemfilteran XML untuk mengekstrak kolom dari log berformat XML dan CSV, menormalisasi alamat IP dan MAC, serta memetakan data yang diekstrak ke Model Data Terpadu (UDM). Parser juga menangani jenis peristiwa dan tindakan keamanan tertentu, serta menetapkan kolom UDM yang sesuai berdasarkan konten log.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke McAfee EPO

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_EPO'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen BindPlane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Server Syslog McAfee ePO (Trellix)

Login ke (Trellix) McAfee EPO.
Buka Menu > Konfigurasi > Server Terdaftar.
Klik Server Baru.
Pilih Syslog Server, tentukan nama unik, lalu klik Berikutnya.
Berikan detail konfigurasi berikut:
- Nama server: Masukkan alamat IP agen Bindplane.
- Nomor port TCP: Masukkan port TCP agen Bindplane (defaultnya adalah 6514).
- Aktifkan penerusan peristiwa: Pilih untuk mengaktifkan penerusan peristiwa dari Agent Handler ke server syslog ini.
- Klik Uji Koneksi untuk memverifikasi koneksi ke Bindplane.
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AgentGUID`	`principal.asset.id`	GUID Agen dipetakan langsung ke ID aset di UDM.
`Analyzer`	`idm.read_only_udm.security_result.detection_fields.value`	Nilai penganalisis dipetakan sebagai kolom deteksi dengan kunci "DetectingProductID".
`AnalyzerContentCreationDate`	`idm.read_only_udm.additional.fields.value.string_value`	Tanggal pembuatan konten Analyzer dipetakan ke kolom tambahan dengan kunci "Tanggal Pembuatan Konten Analyzer".
`AnalyzerContentVersion`	`idm.read_only_udm.additional.fields.value.string_value`	Versi konten Analyzer dipetakan ke kolom tambahan dengan kunci "Versi Konten Analyzer".
`AnalyzerDATVersion`	`idm.read_only_udm.security_result.detection_fields.value`	Versi DAT Analyzer dipetakan sebagai kolom deteksi dengan kunci "datversion".
`AnalyzerDetectionMethod`	`idm.read_only_udm.security_result.detection_fields.value`	Metode deteksi penganalisis dipetakan sebagai kolom deteksi dengan kunci "scantype".
`AnalyzerEngineVersion`	`idm.read_only_udm.security_result.detection_fields.value`	Versi mesin penganalisis dipetakan sebagai kolom deteksi dengan kunci "DetectingAgentVersion".
`AnalyzerHostName`	`idm.read_only_udm.intermediary.hostname`	Nama host penganalisis dipetakan ke nama host perantara.
`AnalyzerName`	`idm.read_only_udm.security_result.detection_fields.value`	Nama penganalisis dipetakan sebagai kolom deteksi dengan kunci "productname".
`AnalyzerRuleID`	`idm.read_only_udm.additional.fields.value.string_value`	ID aturan penganalisis dipetakan ke kolom tambahan dengan kunci "Analyzer Rule Id".
`AnalyzerRuleName`	`idm.read_only_udm.security_result.rule_name`	Nama aturan penganalisis dipetakan langsung ke nama aturan hasil keamanan.
`AnalyzerVersion`	`idm.read_only_udm.security_result.detection_fields.value`	Versi penganalisis dipetakan sebagai kolom deteksi dengan kunci "productversion".
`BladeName`	`idm.read_only_udm.additional.fields.value.string_value`	Nama blade dipetakan ke kolom tambahan dengan kunci "BladeName".
`DetectedUTC`	`metadata.event_timestamp`	Waktu UTC yang terdeteksi diuraikan dan dipetakan ke stempel waktu peristiwa dalam metadata.
`DurationBeforeDetection`	`idm.read_only_udm.additional.fields.value.string_value`	Durasi sebelum deteksi dipetakan ke kolom tambahan dengan kunci "DurationBeforeDetection".
`EventID`	`idm.read_only_udm.security_result.rule_id`	ID peristiwa dipetakan ke ID aturan hasil keamanan.
`GMTTime`	`metadata.event_timestamp`	Waktu GMT diuraikan dan dipetakan ke stempel waktu peristiwa dalam metadata.
`IPAddress`	`principal.ip`	Alamat IP dipetakan langsung ke IP utama.
`MachineName`	`principal.hostname`	Nama komputer dipetakan langsung ke nama host utama.
`NaturalLangDescription`	`idm.read_only_udm.additional.fields.value.string_value`	Deskripsi bahasa alami dipetakan ke kolom tambahan dengan kunci "NaturalLangDescription".
`OSName`	`principal.platform`	Nama OS dinormalisasi dan dipetakan ke platform utama (WINDOWS, MAC, LINUX, atau UNKNOWN_PLATFORM).
`ProductName`	`metadata.product_name`	Nama produk dipetakan langsung ke nama produk dalam metadata.
`ProductVersion`	`metadata.product_version`	Versi produk dipetakan langsung ke versi produk dalam metadata.
`RawMACAddress`	`principal.mac`	Alamat MAC mentah diuraikan dan dipetakan ke MAC utama.
`Severity`	`idm.read_only_udm.security_result.severity`	Tingkat keseriusan dipetakan ke tingkat keseriusan hasil keamanan (TINGGI, SEDANG, atau RENDAH).
`SourceIPV4`	`idm.read_only_udm.src.ip`	Alamat IPv4 sumber dipetakan ke IP sumber.
`SourceProcessName`	`principal.application`	Nama proses sumber dipetakan langsung ke aplikasi utama.
`SourceUserName`	`principal.user.user_display_name`	Nama pengguna sumber dipetakan langsung ke nama tampilan pengguna utama.
`TargetFileName`	`target.process.file.full_path`	Nama file target dipetakan ke jalur lengkap file target.
`TargetHostName`	`target.hostname`	Nama host target dipetakan ke nama host target.
`TargetPort`	`target.port`	Port target dipetakan ke port target.
`TargetProtocol`	`network.ip_protocol`	Protokol target dipetakan ke protokol IP jaringan.
`TargetUserName`	`target.user.user_display_name`	Nama pengguna target dipetakan ke nama tampilan pengguna target.
`ThreatActionTaken`	`security_result.action_details`	Tindakan ancaman yang diambil dipetakan ke detail tindakan hasil keamanan.
`ThreatCategory`	`security_result.category_details`	Kategori ancaman dipetakan ke detail kategori hasil keamanan.
`ThreatEventID`	`security_result.rule_id`	ID peristiwa ancaman dipetakan ke ID aturan hasil keamanan.
`ThreatHandled`	`security_result.detection_fields.value`	Status ancaman yang ditangani dipetakan sebagai kolom deteksi dengan kunci "ThreatHandled".
`ThreatName`	`security_result.threat_name`	Nama ancaman dipetakan langsung ke nama ancaman hasil keamanan.
`ThreatSeverity`	`security_result.severity`	Tingkat keseriusan ancaman dipetakan ke tingkat keseriusan hasil keamanan (TINGGI, SEDANG, atau RENDAH).
`ThreatType`	`security_result.threat_id`	Jenis ancaman dipetakan ke ID ancaman hasil keamanan.
`UserName`	`principal.user.user_display_name`	Nama pengguna dipetakan ke nama tampilan pengguna utama.
`collection_time`	`metadata.collected_timestamp`	Waktu pengumpulan dipetakan ke stempel waktu yang dikumpulkan dalam metadata.
`log_type`	`metadata.log_type`	Jenis log dipetakan langsung ke jenis log metadata.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.