Installare Carbon Black Event Forwarder
Introduzione
In questo documento, esamineremo la procedura di configurazione di Carbon Black (CB) Event Forwarder in modo che invii la telemetria degli endpoint a Google Security Operations.
Guida rapida
A livello generale, seguiremo la guida rapida di CB Event Forwarder ufficiale (vedi qui) con alcuni elementi come segue:
- Installa CB Event Forwarder direttamente sul server CB Response o su un'altra VM.
- Assicurati che gli eventi che vuoi inviare a Google SecOps siano configurati sul server CB Response.
- Configura alcuni campi nella configurazione di CB Event Forwarder per attivare l'invio di eventi a Google SecOps
Configura risposta CB
Configura CB Response per esportare gli eventi desiderati. Per saperne di più, consulta la sezione Configurare la risposta CB della documentazione ufficiale di CB Event Forwarder.
Ad esempio, se vuoi attivare l'esportazione degli eventi di connessione di rete tramite un programma di inoltro degli eventi CB che viene eseguito anche sul server CB Response, devi procedere nel seguente modo:
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
Configura l'agente di inoltro eventi CB
Configura CB Event Forwarder per esportare i dati utilizzando HTTP(S) nell'API Chronicle Ingestion. Per ulteriori informazioni, consulta la sezione Configurare cb-event-forwarder della documentazione ufficiale di CB Event Forwarder.
Per configurare CB Event Forwarder sono necessari diversi flag. Ti forniremo una configurazione con questi flag.
- Esegui il backup della configurazione ufficiale dell'agente di inoltro eventi CB:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- Aggiorna i seguenti campi in cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
Ricorda di sostituire
Avvio e arresto di CB Event Forwarder
Consulta la sezione Avvio e arresto del servizio della documentazione ufficiale di CB Event Forwarder.
Procedure
Come eseguire il debug se CB Event Forwarder non viene avviato
Gli errori di avvio verranno registrati nel file /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.
Come scoprire se CB Event Forwarder invia dati a Google SecOps
Se CB Event Forwarder invia dati a Google SecOps, nel log dovresti visualizzare quanto segue. Il log si trova in /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
Dati di contatto
Domande tecniche, inclusa l'assistenza per queste istruzioni riportate in questo documento: forwarder@chronicle.security
Domande generali: product@chronicle.security
Domande sulle vendite: sales@chronicle.security
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.