Raccogliere i log di Trellix ePO

Supportato in:

Questo documento spiega come importare i log di Trellix (in precedenza McAfee) ePolicy (ePO) Orchestrator in Google Security Operations utilizzando Bindplane. Il parser utilizza pattern grok e il filtro XML per estrarre i campi dai log formattati in XML e CSV, normalizza gli indirizzi IP e MAC e mappa i dati estratti nel modello Unified Data Model (UDM). Il parser gestisce anche tipi di eventi e azioni di sicurezza specifici, impostando i campi UDM appropriati in base al contenuto del log.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso privilegiato a McAfee EPO

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
        tcplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:6514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'MCAFEE_EPO'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    

Riavvia l'agente BindPlane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent
    
  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurare il server Syslog di (Trellix) McAfee ePO

  1. Accedi a (Trellix) McAfee EPO.
  2. Vai a Menu > Configurazione > Server registrati.
  3. Fai clic su Nuovo server.
  4. Seleziona Syslog Server (Server Syslog), specifica un nome univoco, quindi fai clic su Avanti.
  5. Fornisci i seguenti dettagli di configurazione:
    • Nome del server: inserisci l'indirizzo IP dell'agente Bindplane.
    • Numero di porta TCP: inserisci la porta TCP dell'agente Bindplane (il valore predefinito è 6514).
    • Attiva inoltro eventi: seleziona questa opzione per attivare l'inoltro degli eventi da Agent Handler a questo server syslog.
    • Fai clic su Prova connessione per verificare la connessione a Bindplane.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AgentGUID principal.asset.id Il GUID agente è mappato direttamente all'ID risorsa nell'UDM.
Analyzer idm.read_only_udm.security_result.detection_fields.value Il valore dell'analizzatore viene mappato come campo di rilevamento con la chiave "DetectingProductID".
AnalyzerContentCreationDate idm.read_only_udm.additional.fields.value.string_value La data di creazione dei contenuti di Analyzer viene mappata su campi aggiuntivi con la chiave "Data di creazione dei contenuti di Analyzer".
AnalyzerContentVersion idm.read_only_udm.additional.fields.value.string_value La versione dei contenuti di Analyzer è mappata ad altri campi con la chiave "Versione dei contenuti di Analyzer".
AnalyzerDATVersion idm.read_only_udm.security_result.detection_fields.value La versione DAT di Analyzer viene mappata come campo di rilevamento con la chiave "datversion".
AnalyzerDetectionMethod idm.read_only_udm.security_result.detection_fields.value Il metodo di rilevamento dell'analizzatore viene mappato come campo di rilevamento con la chiave "scantype".
AnalyzerEngineVersion idm.read_only_udm.security_result.detection_fields.value La versione del motore di analisi viene mappata come campo di rilevamento con la chiave "DetectingAgentVersion".
AnalyzerHostName idm.read_only_udm.intermediary.hostname Il nome host dell'analizzatore è mappato al nome host intermedio.
AnalyzerName idm.read_only_udm.security_result.detection_fields.value Il nome dell'analizzatore viene mappato come campo di rilevamento con la chiave "productname".
AnalyzerRuleID idm.read_only_udm.additional.fields.value.string_value L'ID regola dell'analizzatore è mappato su campi aggiuntivi con la chiave "Analyzer Rule Id".
AnalyzerRuleName idm.read_only_udm.security_result.rule_name Il nome della regola dell'analizzatore è mappato direttamente al nome della regola del risultato di sicurezza.
AnalyzerVersion idm.read_only_udm.security_result.detection_fields.value La versione dell'analizzatore è mappata come campo di rilevamento con la chiave "productversion".
BladeName idm.read_only_udm.additional.fields.value.string_value Il nome del riquadro viene mappato su campi aggiuntivi con la chiave "BladeName".
DetectedUTC metadata.event_timestamp L'ora UTC rilevata viene analizzata e mappata al timestamp dell'evento nei metadati.
DurationBeforeDetection idm.read_only_udm.additional.fields.value.string_value La durata prima del rilevamento viene mappata su campi aggiuntivi con la chiave "DurationBeforeDetection".
EventID idm.read_only_udm.security_result.rule_id L'ID evento è mappato all'ID regola del risultato di sicurezza.
GMTTime metadata.event_timestamp L'ora GMT viene analizzata e mappata al timestamp dell'evento nei metadati.
IPAddress principal.ip L'indirizzo IP è mappato direttamente all'IP principale.
MachineName principal.hostname Il nome della macchina è mappato direttamente al nome host principale.
NaturalLangDescription idm.read_only_udm.additional.fields.value.string_value La descrizione in linguaggio naturale viene mappata su campi aggiuntivi con la chiave "NaturalLangDescription".
OSName principal.platform Il nome del sistema operativo è normalizzato e mappato alla piattaforma principale (WINDOWS, MAC, LINUX o UNKNOWN_PLATFORM).
ProductName metadata.product_name Il nome del prodotto è mappato direttamente al nome del prodotto nei metadati.
ProductVersion metadata.product_version La versione del prodotto è mappata direttamente alla versione del prodotto nei metadati.
RawMACAddress principal.mac L'indirizzo MAC non elaborato viene analizzato e mappato all'indirizzo MAC principale.
Severity idm.read_only_udm.security_result.severity La gravità è mappata alla gravità del risultato di sicurezza (ALTA, MEDIA o BASSA).
SourceIPV4 idm.read_only_udm.src.ip L'indirizzo IPv4 di origine è mappato all'IP di origine.
SourceProcessName principal.application Il nome del processo di origine è mappato direttamente all'applicazione principale.
SourceUserName principal.user.user_display_name Il nome utente di origine è mappato direttamente al nome visualizzato dell'utente principale.
TargetFileName target.process.file.full_path Il nome del file di destinazione è mappato al percorso completo del file di destinazione.
TargetHostName target.hostname Il nome host di destinazione è mappato al nome host di destinazione.
TargetPort target.port La porta di destinazione è mappata alla porta di destinazione.
TargetProtocol network.ip_protocol Il protocollo di destinazione è mappato al protocollo IP di rete.
TargetUserName target.user.user_display_name Il nome utente di destinazione è mappato al nome visualizzato dell'utente di destinazione.
ThreatActionTaken security_result.action_details L'azione di contrasto alla minaccia intrapresa viene mappata ai dettagli dell'azione del risultato di sicurezza.
ThreatCategory security_result.category_details La categoria di minaccia è mappata ai dettagli della categoria di risultati di sicurezza.
ThreatEventID security_result.rule_id L'ID evento minaccia è mappato all'ID regola del risultato di sicurezza.
ThreatHandled security_result.detection_fields.value Lo stato della minaccia gestita viene mappato come campo di rilevamento con la chiave "ThreatHandled".
ThreatName security_result.threat_name Il nome della minaccia è mappato direttamente al nome della minaccia del risultato di sicurezza.
ThreatSeverity security_result.severity La gravità della minaccia viene mappata alla gravità del risultato di sicurezza (ALTA, MEDIA o BASSA).
ThreatType security_result.threat_id Il tipo di minaccia è mappato all'ID minaccia del risultato di sicurezza.
UserName principal.user.user_display_name Il nome utente è mappato al nome visualizzato dell'utente principale.
collection_time metadata.collected_timestamp Il tempo di raccolta è mappato al timestamp di raccolta nei metadati.
log_type metadata.log_type Il tipo di log è mappato direttamente al tipo di log dei metadati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.