Instalar Carbon Black Event Forwarder
Introducción
En este documento, explicaremos el proceso de configuración de Carbon Black (CB) Event Forwarder para que envíe telemetría de endpoints a Google Security Operations.
Guía de inicio rápido
A grandes rasgos, seguiremos la guía de inicio rápido del Event Forwarder oficial de CB (consulta este enlace) con algunos elementos, como los siguientes:
- Instala CB Event Forwarder directamente en el servidor de CB Response o en otra máquina virtual.
- Asegúrate de que los eventos que quieras enviar a Google SecOps estén configurados en el servidor de CB Response.
- Configura algunos campos en la configuración de CB Event Forwarder para habilitar el envío de eventos a Google SecOps.
Configurar respuesta de CB
Configura CB Response para exportar los eventos que quieras. Para obtener más información, consulta la sección Configurar la respuesta de CB de la documentación oficial de CB Event Forwarder.
Por ejemplo, si quiere habilitar la exportación de eventos de conexión de red a través de un reenviador de eventos de CB que también se ejecute en el servidor de respuesta de CB, haga lo siguiente:
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
Configurar el reenviador de eventos de CB
Configure CB Event Forwarder para exportar datos mediante HTTP(S) a la API de ingestión de Chronicle. Para obtener más información, consulta el artículo Configurar cb-event-forwarder de la documentación oficial de CB Event Forwarder.
Para configurar el reenviador de eventos de CB, se necesitan varias marcas. Te proporcionaremos una configuración con esas marcas.
- Crea una copia de seguridad de la configuración oficial de CB Event Forwarder:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- Actualiza los siguientes campos en cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
Recuerda sustituir
Iniciar y detener CB Event Forwarder
Consulta la sección Iniciar y detener el servicio de la documentación oficial de CB Event Forwarder.
Instrucciones
Cómo depurar si no se inicia el reenviador de eventos de CB
Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.
Cómo saber si CB Event Forwarder está enviando datos a Google SecOps
Si CB Event Forwarder envía datos a Google SecOps, deberías ver lo siguiente en el registro. El registro se encuentra en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
Información de contacto
Preguntas técnicas, incluida la ayuda sobre las instrucciones de este documento: forwarder@chronicle.security
Preguntas generales: product@chronicle.security
Preguntas sobre ventas: sales@chronicle.security
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.