Se usó la API de Cloud Translation para traducir esta página.

Instala Carbon Black Event Forwarder

Compatible con:

Google SecOps SIEM

Introducción

En este documento, explicaremos el proceso de configuración del reenviador de eventos de Carbon Black (CB) para que envíe telemetría de extremos a Google Security Operations.

Guía de inicio rápido

En un nivel alto, seguiremos la guía de inicio rápido del CB Event Forwarder oficial (consulta aquí) con algunos elementos de la siguiente manera:

Instala el CB Event Forwarder directamente en el servidor de CB Response o en otra VM.
Asegúrate de que los eventos que deseas enviar a Google SecOps estén configurados en el servidor de CB Response.
Configura algunos campos en la configuración del retransmisor de eventos de CB para habilitar el envío de eventos a Google SecOps

Configura la respuesta de CB

Configura CB Response para exportar los eventos deseados. Para obtener más información, consulta Configure CB Response en la documentación oficial de CB Event Forwarder.

Por ejemplo, si deseas habilitar la exportación de eventos de conexión de red a través de un reenviador de eventos de CB que también se ejecuta en el servidor de respuesta de CB, haz lo siguiente:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configura el reenvío de eventos de CB

Configura CB Event Forwarder para exportar datos a través de HTTP(S) a la API de Chronicle Ingestion. Para obtener más información, consulta Cómo configurar cb-event-forwarder en la documentación oficial de CB Event Forwarder.

Se necesitan varios parámetros para configurar el CB Event Forwarder. Te proporcionaremos una configuración con esas marcas.

Crea una copia de seguridad de la configuración oficial del CB Event Forwarder:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

Actualiza los siguientes campos en cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}

Recuerda reemplazar por la clave de API de Backstory Ingestion que se te proporcionó.

Cómo iniciar y detener el reenvío de eventos de CB

Consulta Cómo iniciar y detener el servicio en la documentación oficial de CB Event Forwarder.

Instructivos

Cómo depurar si el servidor de reenvío de eventos de CB no se inicia

Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cómo saber si el reenviador de eventos de CB envía datos a Google SecOps

Si CB Event Forwarder envía datos a Google SecOps, deberías ver lo siguiente en el registro. El registro se puede encontrar en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Información de contacto

Preguntas técnicas, incluida la ayuda sobre las instrucciones de este documento: forwarder@chronicle.security

Preguntas generales: product@chronicle.security

Preguntas sobre ventas: sales@chronicle.security

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.