Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Trellix IPS

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Trellix (anciennement McAfee) IPS (Intrusion Prevention System) Network Security Manager dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les données d'événement de sécurité des messages syslog McAfee IPS. Il utilise une série de modèles Grok pour identifier et mapper des champs tels que l'adresse IP source et de destination, le port, le protocole, les détails de l'attaque et la gravité, en structurant les informations dans le modèle de données unifié (UDM) Google SecOps.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié au gestionnaire McAfee Network Security Platform

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_IPS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le syslog McAfee Network Security Platform Manager

Connectez-vous à l'interface McAfee Network Security Platform Manager.
Cliquez sur Configurer > Arborescence des ressources > Paramètres IPS.
Cliquez sur l'onglet Notification d'alerte> Syslog.
Fournissez les informations de configuration suivantes :
- Sélectionnez Oui pour activer les notifications syslog pour McAfee Network Security Platform.
- Domaine administrateur : cochez la case Actuel pour envoyer des notifications syslog pour les alertes du domaine actuel.
- Nom du serveur ou adresse IP : saisissez l'adresse IP de l'agent Bindplane.
- Port UDP : saisissez le port 514.
- Établissement : sélectionnez la valeur de l'établissement syslog local0.
- Gravité : sélectionnez Informations.
- Envoyer une notification si : sélectionnez toutes les options pour toujours recevoir les messages syslog.
- Notification d'alerte de mise en quarantaine IPS : sélectionnez Non.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
flèche		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
données		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
établissement		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
forwarderName		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
message		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
principal_ip	read_only_udm.principal.ip	Extrait du champ `message` à l'aide d'un modèle Grok.
principal_port	read_only_udm.principal.port	Extrait du champ `message` à l'aide d'un modèle Grok.
protocol		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
résultat		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
scanHost	read_only_udm.intermediary.hostname	Extrait du champ `message` à l'aide d'un modèle Grok.
de gravité,		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
sysdate		Ce champ est utilisé dans l'analyseur, mais n'est pas mappé à l'UDM final.
target_ip	read_only_udm.target.ip	Extrait du champ `message` à l'aide d'un modèle Grok.
target_port	read_only_udm.target.port	Extrait du champ `message` à l'aide d'un modèle Grok.
	is_alert	Définie sur `true` si le champ `forwarderName` contient le mot `Alert`.
	is_significant	Définissez cette valeur sur `true` si le champ `severity` est `Medium` ou `High`.
	read_only_udm.metadata.event_timestamp	Copié depuis le champ `collection_time`.
	read_only_udm.metadata.event_type	Défini sur `NETWORK_CONNECTION` par défaut. La valeur est définie sur `GENERIC_EVENT` si aucune adresse IP n'est trouvée pour le principal et la cible.
	read_only_udm.metadata.log_type	Variable définie sur `MCAFEE_IPS`.
	read_only_udm.metadata.product_name	Variable définie sur `MCafee IPS`.
	read_only_udm.metadata.vendor_name	Variable définie sur `MCafee`.
	read_only_udm.network.application_protocol	Définie sur `HTTP` si le champ `protocol` est `HTTP`. Définie sur `HTTPS` si le champ `protocol` est `SSL`.
	read_only_udm.network.direction	Définie sur `INBOUND` si le champ `conn_direction` extrait est `Inbound`. Définie sur `OUTBOUND` si le champ `conn_direction` extrait est `Outbound`.
	read_only_udm.network.ip_protocol	Définissez-le sur `TCP` si le champ `protocol` est `HTTP`, `SSL` ou `TCP`. Définie sur `ICMP` si le champ `protocol` est `ICMP`. Définissez sur `UDP` si le champ `protocol` est `SNMP` et que le champ `alert_message` contient `Empty UDP Attack DoS`.
	read_only_udm.security_result.action	Définissez-le sur `BLOCK` si le champ `result` est `Attack Blocked`, `Attack Failed` ou `Attack SmartBlocked`. Définie sur `ALLOW` si le champ `result` est `Attack Successful`. Définie sur `UNKNOWN_ACTION` si le champ `result` est `Inconclusive`. Défini sur `QUARANTINE` si le champ `alert_message` correspond à l'expression régulière `File Submitted .*? for Analysis`.
	read_only_udm.security_result.category	Catégorisés en fonction du champ `alert_message`. Si le champ `result` est défini sur `n/a`, il est défini sur `NETWORK_SUSPICIOUS`.
	read_only_udm.security_result.description	Le champ `alert_message` concaténé avec la valeur de la variable `_result`, qui est définie sur `(result)` si le champ `result` n'est pas `n/a`.
	read_only_udm.security_result.severity	Mappé à partir du champ `severity` : `Informational` en `INFORMATIONAL`, `Low` en `LOW`, `Medium` en `MEDIUM`, `High` en `HIGH`.
	read_only_udm.security_result.summary	La valeur de la variable `event_description`, qui est définie sur `Detected {attack type}` en fonction du champ `message`.
	timestamp	Copié depuis le champ `collection_time`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.