此页面由 Cloud Translation API 翻译。

收集 Trellix IPS 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Trellix（原 McAfee）IPS（入侵防御系统）网络安全管理器日志注入到 Google Security Operations。解析器从 McAfee IPS syslog 消息中提取安全事件数据。它使用一系列 grok 模式来识别和映射源 IP、目标 IP、端口、协议、攻击详情和严重程度等字段，并将信息结构化为 Google SecOps Unified Data Model (UDM)。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
对 McAfee Network Security Platform Manager 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_IPS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 McAfee Network Security Platform Manager Syslog

登录 McAfee Network Security Platform Manager 界面。
依次点击配置 > 资源树 > IPS 设置。
依次点击“提醒通知”标签页 >“Syslog”标签页。
提供以下配置详细信息：
- 选择是，为 McAfee Network Security Platform 启用 syslog 通知。
- 管理网域：选中当前复选框，以针对当前网域中的提醒发送 syslog 通知。
- 服务器名称或 IP 地址：输入 Bindplane 代理的 IP 地址。
- UDP 端口：输入端口 514。
- 设备：选择 syslog 设备值 local0。
- 严重程度：选择信息。
- Send Notification If（发送通知的条件）：选择所有选项，以便始终接收 syslog
- IPS 隔离区提醒通知：选择否。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
箭		此字段在解析器中使用，但未映射到最终 UDM。
数据		此字段在解析器中使用，但未映射到最终 UDM。
facility		此字段在解析器中使用，但未映射到最终 UDM。
forwarderName		此字段在解析器中使用，但未映射到最终 UDM。
消息		此字段在解析器中使用，但未映射到最终 UDM。
principal_ip	read_only_udm.principal.ip	使用 Grok 模式从 `message` 字段中提取。
principal_port	read_only_udm.principal.port	使用 Grok 模式从 `message` 字段中提取。
协议		此字段在解析器中使用，但未映射到最终 UDM。
结果		此字段在解析器中使用，但未映射到最终 UDM。
scanHost	read_only_udm.intermediary.hostname	使用 Grok 模式从 `message` 字段中提取。
和程度上减少		此字段在解析器中使用，但未映射到最终 UDM。
sysdate		此字段在解析器中使用，但未映射到最终 UDM。
target_ip	read_only_udm.target.ip	使用 Grok 模式从 `message` 字段中提取。
target_port	read_only_udm.target.port	使用 Grok 模式从 `message` 字段中提取。
	is_alert	如果 `forwarderName` 字段包含字词 `Alert`，则设置为 `true`。
	is_significant	如果 `severity` 字段为 `Medium` 或 `High`，则设置为 `true`。
	read_only_udm.metadata.event_timestamp	从 `collection_time` 字段复制。
	read_only_udm.metadata.event_type	默认设置为 `NETWORK_CONNECTION`。如果找不到正文和目标的 IP 地址，则更改为 `GENERIC_EVENT`。
	read_only_udm.metadata.log_type	设置为 `MCAFEE_IPS`。
	read_only_udm.metadata.product_name	设置为 `MCafee IPS`。
	read_only_udm.metadata.vendor_name	设置为 `MCafee`。
	read_only_udm.network.application_protocol	如果 `protocol` 字段为 `HTTP`，则设置为 `HTTP`。如果 `protocol` 字段为 `SSL`，则设置为 `HTTPS`。
	read_only_udm.network.direction	如果提取的 `conn_direction` 字段为 `Inbound`，则设置为 `INBOUND`。如果提取的 `conn_direction` 字段为 `Outbound`，则设置为 `OUTBOUND`。
	read_only_udm.network.ip_protocol	如果 `protocol` 字段为 `HTTP`、`SSL` 或 `TCP`，则设置为 `TCP`。如果 `protocol` 字段为 `ICMP`，则设置为 `ICMP`。如果 `protocol` 字段为 `SNMP` 且 `alert_message` 字段包含 `Empty UDP Attack DoS`，则设置为 `UDP`。
	read_only_udm.security_result.action	如果 `result` 字段为 `Attack Blocked`、`Attack Failed` 或 `Attack SmartBlocked`，则设置为 `BLOCK`。如果 `result` 字段为 `Attack Successful`，则设置为 `ALLOW`。如果 `result` 字段为 `Inconclusive`，则设置为 `UNKNOWN_ACTION`。如果 `alert_message` 字段与正则表达式 `File Submitted .*? for Analysis` 匹配，则设置为 `QUARANTINE`。
	read_only_udm.security_result.category	根据 `alert_message` 字段进行分类。如果 `result` 字段为 `n/a`，则将其设置为 `NETWORK_SUSPICIOUS`。
	read_only_udm.security_result.description	`alert_message` 字段与 `_result` 变量的值串联，如果 `result` 字段不是 `n/a`，则该变量设置为 `(result)`。
	read_only_udm.security_result.severity	从 `severity` 字段映射：`Informational` 到 `INFORMATIONAL`、`Low` 到 `LOW`、`Medium` 到 `MEDIUM`、`High` 到 `HIGH`。
	read_only_udm.security_result.summary	`event_description` 变量的值，根据 `message` 字段设置为 `Detected {attack type}`。
	时间戳	从 `collection_time` 字段复制。