Trellix IPS ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Trellix(旧 McAfee)IPS(侵入防止システム)Network Security Manager ログを Google Security Operations に取り込む方法について説明します。パーサーは、McAfee IPS syslog メッセージからセキュリティ イベントデータを抽出します。一連の grok パターンを使用して、送信元と宛先の IP、ポート、プロトコル、攻撃の詳細、重大度などのフィールドを特定してマッピングし、情報を Google SecOps Unified Data Model(UDM)に構造化します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- McAfee Network Security Platform Manager への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'MCAFEE_IPS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
McAfee Network Security Platform Manager の Syslog を構成する
- McAfee Network Security Platform Manager インターフェースにログインします。
- [構成> リソース ツリー> IPS 設定] をクリックします。
- [Alert Notification] タブ > [Syslog] タブをクリックします。
- 次の構成の詳細を指定します。
- McAfee Network Security Platform の syslog 通知を有効にするには、[はい] を選択します。
- 管理ドメイン: [現在] チェックボックスをオンにすると、現在のドメインのアラートの Syslog 通知が送信されます。
- サーバー名または IP アドレス: Bindplane エージェントの IP アドレスを入力します。
- UDP ポート: ポート
514を入力します。 - ファシリティ: syslog ファシリティ値
local0を選択します。 - 重大度: [情報] を選択します。
- Send Notification If: syslog を常に受信するには、すべてのオプションを選択します。
- IPS Quarantine Alert Notification: [No](いいえ)を選択します。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| 矢 | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| データ | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| facility | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| forwarderName | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| メッセージ | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| principal_ip | read_only_udm.principal.ip | grok パターンを使用して message フィールドから抽出されます。 |
| principal_port | read_only_udm.principal.port | grok パターンを使用して message フィールドから抽出されます。 |
| プロトコル | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| 結果 | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| scanHost | read_only_udm.intermediary.hostname | grok パターンを使用して message フィールドから抽出されます。 |
| 重要度 | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| sysdate | このフィールドはパーサーで使用されますが、最終的な UDM にはマッピングされません。 | |
| target_ip | read_only_udm.target.ip | grok パターンを使用して message フィールドから抽出されます。 |
| target_port | read_only_udm.target.port | grok パターンを使用して message フィールドから抽出されます。 |
| is_alert | forwarderName フィールドに Alert という単語が含まれている場合は、true に設定します。 |
|
| is_significant | severity フィールドが Medium または High の場合、true に設定します。 |
|
| read_only_udm.metadata.event_timestamp | collection_time フィールドからコピーされます。 |
|
| read_only_udm.metadata.event_type | デフォルトでは NETWORK_CONNECTION に設定されています。プリンシパルとターゲットの IP アドレスが見つからない場合は GENERIC_EVENT に変更されます。 |
|
| read_only_udm.metadata.log_type | MCAFEE_IPS に設定します。 |
|
| read_only_udm.metadata.product_name | MCafee IPS に設定します。 |
|
| read_only_udm.metadata.vendor_name | MCafee に設定します。 |
|
| read_only_udm.network.application_protocol | protocol フィールドが HTTP の場合、HTTP に設定します。protocol フィールドが SSL の場合、HTTPS に設定します。 |
|
| read_only_udm.network.direction | 抽出された conn_direction フィールドが Inbound の場合、INBOUND に設定します。抽出された conn_direction フィールドが Outbound の場合、OUTBOUND に設定します。 |
|
| read_only_udm.network.ip_protocol | protocol フィールドが HTTP、SSL、または TCP の場合、TCP に設定します。protocol フィールドが ICMP の場合、ICMP に設定します。protocol フィールドが SNMP で、alert_message フィールドに Empty UDP Attack DoS が含まれている場合は、UDP に設定します。 |
|
| read_only_udm.security_result.action | result フィールドが Attack Blocked、Attack Failed、または Attack SmartBlocked の場合、BLOCK に設定します。result フィールドが Attack Successful の場合、ALLOW に設定します。result フィールドが Inconclusive の場合、UNKNOWN_ACTION に設定します。alert_message フィールドが正規表現 File Submitted .*? for Analysis と一致する場合は QUARANTINE に設定します。 |
|
| read_only_udm.security_result.category | alert_message フィールドに基づいて分類されます。result フィールドが n/a の場合、NETWORK_SUSPICIOUS に設定されます。 |
|
| read_only_udm.security_result.description | alert_message フィールドと _result 変数の値が連結されます。result フィールドが n/a でない場合、_result 変数は (result) に設定されます。 |
|
| read_only_udm.security_result.severity | severity フィールドからマッピング: Informational から INFORMATIONAL、Low から LOW、Medium から MEDIUM、High から HIGH。 |
|
| read_only_udm.security_result.summary | message フィールドに基づいて Detected {attack type} に設定された event_description 変数の値。 |
|
| timestamp | collection_time フィールドからコピーされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。