本頁面由 Cloud Translation API 翻譯而成。

收集 Trellix ePO 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Trellix (前身為 McAfee) ePolicy (ePO) Orchestrator 記錄檔擷取至 Google Security Operations。剖析器會使用 grok 模式和 XML 篩選功能，從 XML 和 CSV 格式的記錄檔中擷取欄位、將 IP 和 MAC 位址正規化，並將擷取的資料對應至統合式資料模型 (UDM)。剖析器也會處理特定事件類型和安全性動作，並根據記錄內容設定適當的 UDM 欄位。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
McAfee EPO 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_EPO'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 BindPlane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 (Trellix) McAfee ePO Syslog 伺服器

登入 (Trellix) McAfee EPO。
依序前往「選單」>「設定」>「已註冊的伺服器」。

按一下「新增伺服器」。

選取「Syslog Server」(系統記錄伺服器)，指定專屬名稱，然後按一下「Next」(下一步)。

提供下列設定詳細資料：

伺服器名稱：輸入 Bindplane 代理程式 IP 位址。

TCP 通訊埠編號：輸入 Bindplane 代理程式 TCP 通訊埠 (預設為 6514)。

啟用事件轉送：選取這個選項，即可啟用從「代理程式處理常式」到這個系統記錄伺服器的事件轉送功能。

按一下「測試連線」，驗證與 Bindplane 的連線。

按一下 [儲存]。

UDM 對應表

記錄欄位 UDM 對應邏輯

AgentGUID principal.asset.id 代理程式 GUID 會直接對應至 UDM 中的資產 ID。

Analyzer idm.read_only_udm.security_result.detection_fields.value 分析器值會對應為偵測欄位，並以「DetectingProductID」做為鍵。

AnalyzerContentCreationDate idm.read_only_udm.additional.fields.value.string_value 分析器內容建立日期會對應至其他欄位，並以「分析器內容建立日期」為鍵。

AnalyzerContentVersion idm.read_only_udm.additional.fields.value.string_value 分析器內容版本會對應至其他欄位，並使用「分析器內容版本」鍵。

AnalyzerDATVersion idm.read_only_udm.security_result.detection_fields.value 分析器 DAT 版本會對應為偵測欄位，並以「datversion」做為鍵。

AnalyzerDetectionMethod idm.read_only_udm.security_result.detection_fields.value 分析器偵測方法會對應為偵測欄位，並以「scantype」做為鍵。

AnalyzerEngineVersion idm.read_only_udm.security_result.detection_fields.value 分析器引擎版本會對應為偵測欄位，並以「DetectingAgentVersion」做為鍵。

AnalyzerHostName idm.read_only_udm.intermediary.hostname 分析器主機名稱會對應至中介主機名稱。

AnalyzerName idm.read_only_udm.security_result.detection_fields.value 分析器名稱會對應為偵測欄位，並以「productname」做為鍵。

AnalyzerRuleID idm.read_only_udm.additional.fields.value.string_value 分析器規則 ID 會對應至索引鍵為「分析器規則 ID」的其他欄位。

AnalyzerRuleName idm.read_only_udm.security_result.rule_name 分析器規則名稱會直接對應至安全性結果規則名稱。

AnalyzerVersion idm.read_only_udm.security_result.detection_fields.value 分析器版本會對應為偵測欄位，並使用「productversion」鍵。

BladeName idm.read_only_udm.additional.fields.value.string_value 刀鋒伺服器名稱會對應至索引鍵為「BladeName」的其他欄位。

DetectedUTC metadata.event_timestamp 系統會剖析偵測到的世界標準時間，並對應至中繼資料中的事件時間戳記。

DurationBeforeDetection idm.read_only_udm.additional.fields.value.string_value 偵測前時間長度會對應至鍵為「DurationBeforeDetection」的其他欄位。

EventID idm.read_only_udm.security_result.rule_id 事件 ID 會對應至安全性結果規則 ID。

GMTTime metadata.event_timestamp 系統會剖析 GMT 時間，並對應至中繼資料中的事件時間戳記。

IPAddress principal.ip IP 位址直接對應至主體 IP。

MachineName principal.hostname 電腦名稱會直接對應至主體主機名稱。

NaturalLangDescription idm.read_only_udm.additional.fields.value.string_value 自然語言說明會對應至其他欄位，並使用「NaturalLangDescription」鍵。

OSName principal.platform OS 名稱會經過正規化，並對應至主要平台 (WINDOWS、MAC、LINUX 或 UNKNOWN_PLATFORM)。

ProductName metadata.product_name 產品名稱會直接對應至中繼資料中的產品名稱。

ProductVersion metadata.product_version 產品版本會直接對應至中繼資料中的產品版本。

RawMACAddress principal.mac 系統會剖析原始 MAC 位址，並對應至主要 MAC。

Severity idm.read_only_udm.security_result.severity 嚴重程度會對應至安全性結果嚴重程度 (高、中或低)。

SourceIPV4 idm.read_only_udm.src.ip 來源 IPv4 位址會對應至來源 IP。

SourceProcessName principal.application 來源程序名稱會直接對應至主應用程式。

SourceUserName principal.user.user_display_name 來源使用者名稱會直接對應至主要使用者顯示名稱。

TargetFileName target.process.file.full_path 目標檔案名稱會對應至目標檔案完整路徑。

TargetHostName target.hostname 目標主機名稱會對應至目標主機名稱。

TargetPort target.port 目標通訊埠會對應至目標通訊埠。

TargetProtocol network.ip_protocol 目標通訊協定會對應至網路 IP 通訊協定。

TargetUserName target.user.user_display_name 目標使用者名稱會對應至目標使用者顯示名稱。

ThreatActionTaken security_result.action_details 採取的威脅行動會對應至安全結果行動詳細資料。

ThreatCategory security_result.category_details 威脅類別會對應至安全性結果類別詳細資料。

ThreatEventID security_result.rule_id 威脅事件 ID 會對應至安全結果規則 ID。

ThreatHandled security_result.detection_fields.value 威脅處理狀態會對應為偵測欄位，索引鍵為「ThreatHandled」。

ThreatName security_result.threat_name 威脅名稱會直接對應至安全性結果威脅名稱。

ThreatSeverity security_result.severity 威脅嚴重程度會對應至安全性結果嚴重程度 (高、中或低)。

ThreatType security_result.threat_id 威脅類型會對應至安全結果威脅 ID。

UserName principal.user.user_display_name 使用者名稱會對應至主要使用者顯示名稱。

collection_time metadata.collected_timestamp 收集時間會對應至中繼資料中的收集時間戳記。

log_type metadata.log_type 記錄類型會直接對應至中繼資料記錄類型。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。

記錄欄位	UDM 對應	邏輯
`AgentGUID`	`principal.asset.id`	代理程式 GUID 會直接對應至 UDM 中的資產 ID。
`Analyzer`	`idm.read_only_udm.security_result.detection_fields.value`	分析器值會對應為偵測欄位，並以「DetectingProductID」做為鍵。
`AnalyzerContentCreationDate`	`idm.read_only_udm.additional.fields.value.string_value`	分析器內容建立日期會對應至其他欄位，並以「分析器內容建立日期」為鍵。
`AnalyzerContentVersion`	`idm.read_only_udm.additional.fields.value.string_value`	分析器內容版本會對應至其他欄位，並使用「分析器內容版本」鍵。
`AnalyzerDATVersion`	`idm.read_only_udm.security_result.detection_fields.value`	分析器 DAT 版本會對應為偵測欄位，並以「datversion」做為鍵。
`AnalyzerDetectionMethod`	`idm.read_only_udm.security_result.detection_fields.value`	分析器偵測方法會對應為偵測欄位，並以「scantype」做為鍵。
`AnalyzerEngineVersion`	`idm.read_only_udm.security_result.detection_fields.value`	分析器引擎版本會對應為偵測欄位，並以「DetectingAgentVersion」做為鍵。
`AnalyzerHostName`	`idm.read_only_udm.intermediary.hostname`	分析器主機名稱會對應至中介主機名稱。
`AnalyzerName`	`idm.read_only_udm.security_result.detection_fields.value`	分析器名稱會對應為偵測欄位，並以「productname」做為鍵。
`AnalyzerRuleID`	`idm.read_only_udm.additional.fields.value.string_value`	分析器規則 ID 會對應至索引鍵為「分析器規則 ID」的其他欄位。
`AnalyzerRuleName`	`idm.read_only_udm.security_result.rule_name`	分析器規則名稱會直接對應至安全性結果規則名稱。
`AnalyzerVersion`	`idm.read_only_udm.security_result.detection_fields.value`	分析器版本會對應為偵測欄位，並使用「productversion」鍵。
`BladeName`	`idm.read_only_udm.additional.fields.value.string_value`	刀鋒伺服器名稱會對應至索引鍵為「BladeName」的其他欄位。
`DetectedUTC`	`metadata.event_timestamp`	系統會剖析偵測到的世界標準時間，並對應至中繼資料中的事件時間戳記。
`DurationBeforeDetection`	`idm.read_only_udm.additional.fields.value.string_value`	偵測前時間長度會對應至鍵為「DurationBeforeDetection」的其他欄位。
`EventID`	`idm.read_only_udm.security_result.rule_id`	事件 ID 會對應至安全性結果規則 ID。
`GMTTime`	`metadata.event_timestamp`	系統會剖析 GMT 時間，並對應至中繼資料中的事件時間戳記。
`IPAddress`	`principal.ip`	IP 位址直接對應至主體 IP。
`MachineName`	`principal.hostname`	電腦名稱會直接對應至主體主機名稱。
`NaturalLangDescription`	`idm.read_only_udm.additional.fields.value.string_value`	自然語言說明會對應至其他欄位，並使用「NaturalLangDescription」鍵。
`OSName`	`principal.platform`	OS 名稱會經過正規化，並對應至主要平台 (WINDOWS、MAC、LINUX 或 UNKNOWN_PLATFORM)。
`ProductName`	`metadata.product_name`	產品名稱會直接對應至中繼資料中的產品名稱。
`ProductVersion`	`metadata.product_version`	產品版本會直接對應至中繼資料中的產品版本。
`RawMACAddress`	`principal.mac`	系統會剖析原始 MAC 位址，並對應至主要 MAC。
`Severity`	`idm.read_only_udm.security_result.severity`	嚴重程度會對應至安全性結果嚴重程度 (高、中或低)。
`SourceIPV4`	`idm.read_only_udm.src.ip`	來源 IPv4 位址會對應至來源 IP。
`SourceProcessName`	`principal.application`	來源程序名稱會直接對應至主應用程式。
`SourceUserName`	`principal.user.user_display_name`	來源使用者名稱會直接對應至主要使用者顯示名稱。
`TargetFileName`	`target.process.file.full_path`	目標檔案名稱會對應至目標檔案完整路徑。
`TargetHostName`	`target.hostname`	目標主機名稱會對應至目標主機名稱。
`TargetPort`	`target.port`	目標通訊埠會對應至目標通訊埠。
`TargetProtocol`	`network.ip_protocol`	目標通訊協定會對應至網路 IP 通訊協定。
`TargetUserName`	`target.user.user_display_name`	目標使用者名稱會對應至目標使用者顯示名稱。
`ThreatActionTaken`	`security_result.action_details`	採取的威脅行動會對應至安全結果行動詳細資料。
`ThreatCategory`	`security_result.category_details`	威脅類別會對應至安全性結果類別詳細資料。
`ThreatEventID`	`security_result.rule_id`	威脅事件 ID 會對應至安全結果規則 ID。
`ThreatHandled`	`security_result.detection_fields.value`	威脅處理狀態會對應為偵測欄位，索引鍵為「ThreatHandled」。
`ThreatName`	`security_result.threat_name`	威脅名稱會直接對應至安全性結果威脅名稱。
`ThreatSeverity`	`security_result.severity`	威脅嚴重程度會對應至安全性結果嚴重程度 (高、中或低)。
`ThreatType`	`security_result.threat_id`	威脅類型會對應至安全結果威脅 ID。
`UserName`	`principal.user.user_display_name`	使用者名稱會對應至主要使用者顯示名稱。
`collection_time`	`metadata.collected_timestamp`	收集時間會對應至中繼資料中的收集時間戳記。
`log_type`	`metadata.log_type`	記錄類型會直接對應至中繼資料記錄類型。