Instala Carbon Black Event Forwarder

Compatible con:

Introducción

En este documento, analizaremos el proceso de configuración de Carbon Black (CB) Event Forwarder para que envíe la telemetría del extremo a Google Security Operations.

Guía de inicio rápido

En términos generales, seguiremos la guía de inicio rápido de CB Event Forwarder oficial (consulta aquí) con algunos elementos:

  1. Instala CB Event Forwarder directamente en el servidor de respuesta de CB o en otra VM.
  2. Asegúrate de que los eventos que desees que se envíen a Google Security Operations estén configurados en el servidor de respuesta de CB.
  3. Configura algunos campos en la configuración del reenviador de eventos de CB para habilitar el envío de eventos a Google Security Operations

Configurar respuesta de CB

Configura la respuesta de CB para exportar los eventos deseados. Consulta Configurar la respuesta de CB en la documentación oficial del Reenviador de eventos de CB para obtener más información.

Por ejemplo, si deseas habilitar la exportación de eventos de conexión de red a través de un reenviador de eventos de CB que también se ejecuta en el servidor de respuesta de CB, debes hacer lo siguiente:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configurar CB Event Forwarder

Configura CB Event Forwarder para exportar datos con HTTP(S) a la API de transferencia de Google Security Operations. Consulta Configura cb-event-forwarder de la documentación oficial de CB Event Forwarder para obtener más información.

Se necesitan varias marcas para configurar CB Event Forwarder. Te brindaremos una configuración con esas marcas.

  1. Crea una copia de seguridad de la configuración oficial de CB Event Forwarder:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
  1. Actualiza los siguientes campos en cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}

Recuerda reemplazar por la clave de API de transferencia de Backstory que se te proporcionó.

Inicia y detén CB Event Forwarder

Consulte el artículo Cómo iniciar y detener el servicio en la documentación oficial de CB Event Forwarder.

Instructivos

Cómo depurar si CB Event Forwarder no se inicia

Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cómo saber si CB Event Forwarder envía datos a Google Security Operations

Si CB Event Forwarder envía datos a Google Security Operations, deberías ver lo siguiente en el registro. Los registros se pueden encontrar en /var/log/cb/Integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Información de contacto

Si tienes preguntas técnicas, incluida la ayuda con las instrucciones de este documento: forwarder@chronicle.security

Preguntas generales: product@chronicle.security

Preguntas sobre ventas: ventas@chronicle.security