Raccogliere i log di Trellix ePO
Questo documento spiega come importare i log di Trellix (in precedenza McAfee) ePolicy (ePO) Orchestrator in Google Security Operations utilizzando Bindplane. Il parser utilizza pattern grok e il filtro XML per estrarre i campi dai log formattati in XML e CSV, normalizza gli indirizzi IP e MAC e mappa i dati estratti nel modello Unified Data Model (UDM). Il parser gestisce anche tipi di eventi e azioni di sicurezza specifici, impostando i campi UDM appropriati in base al contenuto del log.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Windows 2016 o versioni successive oppure un host Linux con
systemd
- Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
- Accesso privilegiato a McAfee EPO
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere, si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:6514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'MCAFEE_EPO' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
- Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
- Sostituisci
<customer_id>
con l'ID cliente effettivo. - Aggiorna
/path/to/ingestion-authentication-file.json
al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente BindPlane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agent
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare il server Syslog di (Trellix) McAfee ePO
- Accedi a (Trellix) McAfee EPO.
- Vai a Menu > Configurazione > Server registrati.
- Fai clic su Nuovo server.
- Seleziona Syslog Server (Server Syslog), specifica un nome univoco, quindi fai clic su Avanti.
- Fornisci i seguenti dettagli di configurazione:
- Nome del server: inserisci l'indirizzo IP dell'agente Bindplane.
- Numero di porta TCP: inserisci la porta TCP dell'agente Bindplane (il valore predefinito è
6514
). - Attiva inoltro eventi: seleziona questa opzione per attivare l'inoltro degli eventi da Agent Handler a questo server syslog.
- Fai clic su Prova connessione per verificare la connessione a Bindplane.
- Fai clic su Salva.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
AgentGUID |
principal.asset.id |
Il GUID agente è mappato direttamente all'ID risorsa nell'UDM. |
Analyzer |
idm.read_only_udm.security_result.detection_fields.value |
Il valore dell'analizzatore viene mappato come campo di rilevamento con la chiave "DetectingProductID". |
AnalyzerContentCreationDate |
idm.read_only_udm.additional.fields.value.string_value |
La data di creazione dei contenuti di Analyzer viene mappata su campi aggiuntivi con la chiave "Data di creazione dei contenuti di Analyzer". |
AnalyzerContentVersion |
idm.read_only_udm.additional.fields.value.string_value |
La versione dei contenuti di Analyzer è mappata ad altri campi con la chiave "Versione dei contenuti di Analyzer". |
AnalyzerDATVersion |
idm.read_only_udm.security_result.detection_fields.value |
La versione DAT di Analyzer viene mappata come campo di rilevamento con la chiave "datversion". |
AnalyzerDetectionMethod |
idm.read_only_udm.security_result.detection_fields.value |
Il metodo di rilevamento dell'analizzatore viene mappato come campo di rilevamento con la chiave "scantype". |
AnalyzerEngineVersion |
idm.read_only_udm.security_result.detection_fields.value |
La versione del motore di analisi viene mappata come campo di rilevamento con la chiave "DetectingAgentVersion". |
AnalyzerHostName |
idm.read_only_udm.intermediary.hostname |
Il nome host dell'analizzatore è mappato al nome host intermedio. |
AnalyzerName |
idm.read_only_udm.security_result.detection_fields.value |
Il nome dell'analizzatore viene mappato come campo di rilevamento con la chiave "productname". |
AnalyzerRuleID |
idm.read_only_udm.additional.fields.value.string_value |
L'ID regola dell'analizzatore è mappato su campi aggiuntivi con la chiave "Analyzer Rule Id". |
AnalyzerRuleName |
idm.read_only_udm.security_result.rule_name |
Il nome della regola dell'analizzatore è mappato direttamente al nome della regola del risultato di sicurezza. |
AnalyzerVersion |
idm.read_only_udm.security_result.detection_fields.value |
La versione dell'analizzatore è mappata come campo di rilevamento con la chiave "productversion". |
BladeName |
idm.read_only_udm.additional.fields.value.string_value |
Il nome del riquadro viene mappato su campi aggiuntivi con la chiave "BladeName". |
DetectedUTC |
metadata.event_timestamp |
L'ora UTC rilevata viene analizzata e mappata al timestamp dell'evento nei metadati. |
DurationBeforeDetection |
idm.read_only_udm.additional.fields.value.string_value |
La durata prima del rilevamento viene mappata su campi aggiuntivi con la chiave "DurationBeforeDetection". |
EventID |
idm.read_only_udm.security_result.rule_id |
L'ID evento è mappato all'ID regola del risultato di sicurezza. |
GMTTime |
metadata.event_timestamp |
L'ora GMT viene analizzata e mappata al timestamp dell'evento nei metadati. |
IPAddress |
principal.ip |
L'indirizzo IP è mappato direttamente all'IP principale. |
MachineName |
principal.hostname |
Il nome della macchina è mappato direttamente al nome host principale. |
NaturalLangDescription |
idm.read_only_udm.additional.fields.value.string_value |
La descrizione in linguaggio naturale viene mappata su campi aggiuntivi con la chiave "NaturalLangDescription". |
OSName |
principal.platform |
Il nome del sistema operativo è normalizzato e mappato alla piattaforma principale (WINDOWS, MAC, LINUX o UNKNOWN_PLATFORM). |
ProductName |
metadata.product_name |
Il nome del prodotto è mappato direttamente al nome del prodotto nei metadati. |
ProductVersion |
metadata.product_version |
La versione del prodotto è mappata direttamente alla versione del prodotto nei metadati. |
RawMACAddress |
principal.mac |
L'indirizzo MAC non elaborato viene analizzato e mappato all'indirizzo MAC principale. |
Severity |
idm.read_only_udm.security_result.severity |
La gravità è mappata alla gravità del risultato di sicurezza (ALTA, MEDIA o BASSA). |
SourceIPV4 |
idm.read_only_udm.src.ip |
L'indirizzo IPv4 di origine è mappato all'IP di origine. |
SourceProcessName |
principal.application |
Il nome del processo di origine è mappato direttamente all'applicazione principale. |
SourceUserName |
principal.user.user_display_name |
Il nome utente di origine è mappato direttamente al nome visualizzato dell'utente principale. |
TargetFileName |
target.process.file.full_path |
Il nome del file di destinazione è mappato al percorso completo del file di destinazione. |
TargetHostName |
target.hostname |
Il nome host di destinazione è mappato al nome host di destinazione. |
TargetPort |
target.port |
La porta di destinazione è mappata alla porta di destinazione. |
TargetProtocol |
network.ip_protocol |
Il protocollo di destinazione è mappato al protocollo IP di rete. |
TargetUserName |
target.user.user_display_name |
Il nome utente di destinazione è mappato al nome visualizzato dell'utente di destinazione. |
ThreatActionTaken |
security_result.action_details |
L'azione di contrasto alla minaccia intrapresa viene mappata ai dettagli dell'azione del risultato di sicurezza. |
ThreatCategory |
security_result.category_details |
La categoria di minaccia è mappata ai dettagli della categoria di risultati di sicurezza. |
ThreatEventID |
security_result.rule_id |
L'ID evento minaccia è mappato all'ID regola del risultato di sicurezza. |
ThreatHandled |
security_result.detection_fields.value |
Lo stato della minaccia gestita viene mappato come campo di rilevamento con la chiave "ThreatHandled". |
ThreatName |
security_result.threat_name |
Il nome della minaccia è mappato direttamente al nome della minaccia del risultato di sicurezza. |
ThreatSeverity |
security_result.severity |
La gravità della minaccia viene mappata alla gravità del risultato di sicurezza (ALTA, MEDIA o BASSA). |
ThreatType |
security_result.threat_id |
Il tipo di minaccia è mappato all'ID minaccia del risultato di sicurezza. |
UserName |
principal.user.user_display_name |
Il nome utente è mappato al nome visualizzato dell'utente principale. |
collection_time |
metadata.collected_timestamp |
Il tempo di raccolta è mappato al timestamp di raccolta nei metadati. |
log_type |
metadata.log_type |
Il tipo di log è mappato direttamente al tipo di log dei metadati. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.