收集 Trellix ePO 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Trellix(原 McAfee)ePolicy (ePO) Orchestrator 日志注入到 Google Security Operations。解析器使用 grok 模式和 XML 过滤来从 XML 和 CSV 格式的日志中提取字段,对 IP 和 MAC 地址进行规范化处理,并将提取的数据映射到统一数据模型 (UDM)。解析器还会处理特定事件类型和安全操作,并根据日志内容设置相应的 UDM 字段。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 McAfee EPO 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:6514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'MCAFEE_EPO' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 BindPlane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 (Trellix) McAfee ePO Syslog 服务器
- 登录 (Trellix) McAfee EPO。
- 依次前往菜单 > 配置 > 已注册的服务器。
- 点击 New Server。
- 选择 Syslog 服务器,指定一个唯一名称,然后点击下一步。
- 提供以下配置详细信息:
- 服务器名称:输入 Bindplane 代理 IP 地址。
- TCP 端口号:输入 Bindplane 代理 TCP 端口(默认值为
6514)。 - 启用事件转发:选择此选项可启用从 Agent Handler 到此 syslog 服务器的事件转发。
- 点击 Test Connection(测试连接)以验证与 Bindplane 的连接。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
AgentGUID |
principal.asset.id |
代理 GUID 直接映射到 UDM 中的资产 ID。 |
Analyzer |
idm.read_only_udm.security_result.detection_fields.value |
分析器值映射为键为“DetectingProductID”的检测字段。 |
AnalyzerContentCreationDate |
idm.read_only_udm.additional.fields.value.string_value |
分析器内容创建日期会映射到键为“分析器内容创建日期”的其他字段。 |
AnalyzerContentVersion |
idm.read_only_udm.additional.fields.value.string_value |
分析器内容版本会映射到具有键“分析器内容版本”的其他字段。 |
AnalyzerDATVersion |
idm.read_only_udm.security_result.detection_fields.value |
分析器 DAT 版本映射为键为“datversion”的检测字段。 |
AnalyzerDetectionMethod |
idm.read_only_udm.security_result.detection_fields.value |
分析器检测方法映射为键为“scantype”的检测字段。 |
AnalyzerEngineVersion |
idm.read_only_udm.security_result.detection_fields.value |
分析器引擎版本会映射为检测字段,键为“DetectingAgentVersion”。 |
AnalyzerHostName |
idm.read_only_udm.intermediary.hostname |
分析器主机名已映射到中间主机名。 |
AnalyzerName |
idm.read_only_udm.security_result.detection_fields.value |
分析器名称映射为键为“productname”的检测字段。 |
AnalyzerRuleID |
idm.read_only_udm.additional.fields.value.string_value |
分析器规则 ID 会映射到键为“分析器规则 ID”的其他字段。 |
AnalyzerRuleName |
idm.read_only_udm.security_result.rule_name |
分析器规则名称直接映射到安全结果规则名称。 |
AnalyzerVersion |
idm.read_only_udm.security_result.detection_fields.value |
分析器版本映射为检测字段,键为“productversion”。 |
BladeName |
idm.read_only_udm.additional.fields.value.string_value |
将功能区名称映射到键为“BladeName”的附加字段。 |
DetectedUTC |
metadata.event_timestamp |
检测到的世界协调时间 (UTC) 会被解析并映射到元数据中的事件时间戳。 |
DurationBeforeDetection |
idm.read_only_udm.additional.fields.value.string_value |
检测前的时长会映射到键为“DurationBeforeDetection”的其他字段。 |
EventID |
idm.read_only_udm.security_result.rule_id |
事件 ID 会映射到安全结果规则 ID。 |
GMTTime |
metadata.event_timestamp |
系统会解析 GMT 时间并将其映射到元数据中的事件时间戳。 |
IPAddress |
principal.ip |
IP 地址直接映射到主 IP。 |
MachineName |
principal.hostname |
机器名称直接映射到主账号主机名。 |
NaturalLangDescription |
idm.read_only_udm.additional.fields.value.string_value |
自然语言说明会映射到键为“NaturalLangDescription”的其他字段。 |
OSName |
principal.platform |
操作系统名称已规范化并映射到主要平台(WINDOWS、MAC、LINUX 或 UNKNOWN_PLATFORM)。 |
ProductName |
metadata.product_name |
商品名称直接映射到元数据中的商品名称。 |
ProductVersion |
metadata.product_version |
商品版本直接映射到元数据中的商品版本。 |
RawMACAddress |
principal.mac |
解析原始 MAC 地址并将其映射到主 MAC 地址。 |
Severity |
idm.read_only_udm.security_result.severity |
严重程度会映射到安全结果严重程度(高、中或低)。 |
SourceIPV4 |
idm.read_only_udm.src.ip |
源 IPv4 地址映射到源 IP。 |
SourceProcessName |
principal.application |
源进程名称直接映射到主应用。 |
SourceUserName |
principal.user.user_display_name |
源用户名直接映射到正文用户显示名。 |
TargetFileName |
target.process.file.full_path |
目标文件名映射到目标文件完整路径。 |
TargetHostName |
target.hostname |
目标主机名映射到目标主机名。 |
TargetPort |
target.port |
目标端口映射到目标端口。 |
TargetProtocol |
network.ip_protocol |
目标协议已映射到网络 IP 协议。 |
TargetUserName |
target.user.user_display_name |
目标用户名已映射到目标用户显示名。 |
ThreatActionTaken |
security_result.action_details |
采取的威胁操作会映射到安全结果操作详细信息。 |
ThreatCategory |
security_result.category_details |
威胁类别已映射到安全结果类别详细信息。 |
ThreatEventID |
security_result.rule_id |
威胁事件 ID 已映射到安全结果规则 ID。 |
ThreatHandled |
security_result.detection_fields.value |
已处理的威胁状态会映射为键为“ThreatHandled”的检测字段。 |
ThreatName |
security_result.threat_name |
威胁名称直接映射到安全结果威胁名称。 |
ThreatSeverity |
security_result.severity |
威胁严重程度会映射到安全结果严重程度(高、中或低)。 |
ThreatType |
security_result.threat_id |
威胁类型已映射到安全结果威胁 ID。 |
UserName |
principal.user.user_display_name |
用户名已映射到正文用户显示名称。 |
collection_time |
metadata.collected_timestamp |
收集时间会映射到元数据中的收集时间戳。 |
log_type |
metadata.log_type |
日志类型直接映射到元数据日志类型。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。