Raccogliere i log IPS di Trellix

Supportato in:

Questo documento spiega come importare i log di Trellix (in precedenza McAfee) IPS (Intrusion Prevention System) Network Security Manager in Google Security Operations utilizzando Bindplane. Il parser estrae i dati degli eventi di sicurezza dai messaggi syslog di McAfee IPS. Utilizza una serie di pattern grok per identificare e mappare campi come IP di origine e destinazione, porta, protocollo, dettagli dell'attacco e gravità, strutturando le informazioni nel modello di dati unificato (UDM) di Google SecOps.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso privilegiato a McAfee Network Security Platform Manager

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_IPS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog di McAfee Network Security Platform Manager

  1. Accedi all'interfaccia di McAfee Network Security Platform Manager.
  2. Fai clic su Configura > Struttura risorse > Impostazioni IPS.
  3. Fai clic sulla scheda Notifica avviso > scheda Syslog.
  4. Fornisci i seguenti dettagli di configurazione:
    • Seleziona per abilitare le notifiche syslog per McAfee Network Security Platform.
    • Dominio amministratore: seleziona la casella di controllo Corrente per inviare notifiche syslog per gli avvisi nel dominio corrente.
    • Nome del server o indirizzo IP: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta UDP: inserisci la porta 514.
    • Struttura: seleziona il valore della struttura syslog local0.
    • Gravità: seleziona Informativa.
    • Invia notifica se: seleziona tutte le opzioni per ricevere sempre syslog
    • Notifica di avviso di quarantena IPS: seleziona No.
  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
freccia Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
dati Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
struttura Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
forwarderName Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
messaggio Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
principal_ip read_only_udm.principal.ip Estratto dal campo message utilizzando un pattern grok.
principal_port read_only_udm.principal.port Estratto dal campo message utilizzando un pattern grok.
protocollo Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
result Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
scanHost read_only_udm.intermediary.hostname Estratto dal campo message utilizzando un pattern grok.
gravità Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
sysdate Questo campo viene utilizzato nel parser, ma non è mappato all'UDM finale.
target_ip read_only_udm.target.ip Estratto dal campo message utilizzando un pattern grok.
target_port read_only_udm.target.port Estratto dal campo message utilizzando un pattern grok.
is_alert Imposta su true se il campo forwarderName contiene la parola Alert.
is_significant Imposta su true se il campo severity è Medium o High.
read_only_udm.metadata.event_timestamp Copiato dal campo collection_time.
read_only_udm.metadata.event_type Impostato su NETWORK_CONNECTION per impostazione predefinita. Modificato in GENERIC_EVENT se non vengono trovati indirizzi IP per il principale e il target.
read_only_udm.metadata.log_type Imposta su MCAFEE_IPS.
read_only_udm.metadata.product_name Imposta su MCafee IPS.
read_only_udm.metadata.vendor_name Imposta su MCafee.
read_only_udm.network.application_protocol Imposta su HTTP se il campo protocol è HTTP. Imposta su HTTPS se il campo protocol è SSL.
read_only_udm.network.direction Imposta su INBOUND se il campo conn_direction estratto è Inbound. Imposta su OUTBOUND se il campo conn_direction estratto è Outbound.
read_only_udm.network.ip_protocol Imposta su TCP se il campo protocol è HTTP, SSL o TCP. Imposta su ICMP se il campo protocol è ICMP. Imposta su UDP se il campo protocol è SNMP e il campo alert_message contiene Empty UDP Attack DoS.
read_only_udm.security_result.action Imposta su BLOCK se il campo result è Attack Blocked, Attack Failed o Attack SmartBlocked. Imposta su ALLOW se il campo result è Attack Successful. Imposta su UNKNOWN_ACTION se il campo result è Inconclusive. Impostato su QUARANTINE se il campo alert_message corrisponde all'espressione regolare File Submitted .*? for Analysis.
read_only_udm.security_result.category Classificati in base al campo alert_message. Se il campo result è n/a, viene impostato su NETWORK_SUSPICIOUS.
read_only_udm.security_result.description Il campo alert_message concatenato al valore della variabile _result, impostato su (result) se il campo result non è n/a.
read_only_udm.security_result.severity Mappato dal campo severity: da Informational a INFORMATIONAL, da Low a LOW, da Medium a MEDIUM, da High a HIGH.
read_only_udm.security_result.summary Il valore della variabile event_description, impostato su Detected {attack type} in base al campo message.
timestamp Copiato dal campo collection_time.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.