Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Trellix (ehemals FireEye) PX-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie FireEye-Logs (jetzt Trellix) mit dem Bindplane-Agenten in Google Security Operations aufnehmen.

Trellix PX (Network Forensics) erfasst vollständige Netzwerkpakete und generiert Metadatenprotokolle zu erfassten Sitzungen, erkannten Bedrohungen und Netzwerkartefakten. Der Parser ordnet diese Logs dem Unified Data Model (UDM) zu und extrahiert Details zur Netzwerkverbindung, DNS-Anfragen und ‑Antworten, HTTP-Metadaten und Attribute auf Flussebene.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und der Trellix PX-Appliance
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Trellix PX-Appliance mit Administratorrolle

Authentifizierungsdatei für die Google SecOps-Datenaufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Datenaufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fireeye_px:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FIREEYE_PX
        raw_log_field: body

service:
    pipelines:
        logs/fireeye_px_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/fireeye_px

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:
- listen_address: IP-Adresse und Port, auf die gewartet werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Port 514 ist der Standard-Syslog-Port (erfordert Root unter Linux; verwenden Sie 1514 für Nicht-Root).
Exporter-Konfiguration:
- creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Die Kundennummer, die aus der Google SecOps Console kopiert wurde
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Logs auf Fehler prüfen:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Logs auf Fehler prüfen:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für FireEye PX konfigurieren

Melden Sie sich in der FireEye PX-Webverwaltungsoberfläche an.
Rufen Sie die Einstellungen > Benachrichtigungen > Syslog auf.
Klicken Sie auf Syslog-Server hinzufügen oder bearbeiten Sie einen vorhandenen Eintrag.
Geben Sie die folgenden Konfigurationsdetails an:
- Server: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein, z. B. 192.168.1.100.
- Port: Geben Sie 514 ein.
- Protokoll: Wählen Sie TCP aus.
Wählen Sie die weiterzuleitenden Ereignistypen aus:
- Sitzungsmetadaten
- Erkannte Bedrohungen
- Netzwerkartefakte
- DNS-Abfragen und ‑Antworten
- HTTP-Metadaten
Klicken Sie auf Speichern.
Prüfen Sie anhand der Bindplane-Agent-Logs, ob Logs empfangen werden.

Hinweis :FireEye PX unterstützt auch den REST API-basierten Logexport. Achten Sie bei der Syslog-Weiterleitung darauf, dass die PX-Appliance über den konfigurierten Port eine Netzwerkverbindung zum Bindplane-Agent hat.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
dns.authorities.0.rrname	dns_answers.name	Wert wird direkt kopiert, wenn er nicht leer ist
dns.authorities.0.ttl	dns_answers.ttl	Wird in einen String und dann in eine Ganzzahl ohne Vorzeichen umgewandelt, wenn er nicht leer ist
dns.authorities.0.rrtype	dns_answers.type	Wird basierend auf dem rrtype-String einem numerischen Wert zugeordnet (A=1, AAAA=28 usw.) und dann in „uinteger“ konvertiert, sofern nicht leer.
dns.dnsQName	dns_question.name	Wert wird direkt kopiert, wenn er nicht leer ist
dns.dnsQRType	dns_question.type	Wird basierend auf dem rrtype-String einem numerischen Wert zugeordnet (A=1, AAAA=28 usw.) und dann in „uinteger“ konvertiert, sofern nicht leer.
dns.dnsFlags, pxflow.octetDeltaCount, pxflow.octetDeltaCountReverse	event.idm.read_only_udm.additional.fields	Zusammengeführt als Labels (flags_label, octetDeltaCount_label, octetDeltaCountReverse_label), falls nicht leer
event_type	metadata.event_type	Auf NETWORK_HTTP setzen, wenn event_type == „http“ und has_principal und has_target; auf NETWORK_DNS setzen, wenn event_type == „dns“ und has_principal und has_target; andernfalls auf NETWORK_CONNECTION setzen, wenn has_principal und has_target; andernfalls auf GENERIC_EVENT setzen
pxuuid	metadata.product_log_id	Wert wird direkt kopiert, wenn er nicht leer ist
dns_answers	network.dns.answers	Direkt zusammengeführt, wenn nicht leer
dns.dnsId	network.dns.id	Umbenannt und in „uinteger“ konvertiert, sofern nicht leer
dns_question	network.dns.questions	Direkt zusammengeführt, wenn nicht leer
dns.rcode	network.dns.response_code	Wird dem numerischen Antwortcode basierend auf dem RCODE-String zugeordnet (NOERROR=0, FORMERR=1 usw.) und dann in „uinteger“ konvertiert.
http.httpMethod	network.http.method	Wert wird direkt kopiert, wenn er nicht leer ist
http.http_user_agent	network.http.user_agent	Wert wird direkt kopiert, wenn er nicht leer ist
protocolIdentifierName	network.ip_protocol	Wert wird direkt kopiert, wenn er nicht leer ist
flow_id	network.session_id	Wird in einen String konvertiert und dann direkt kopiert, wenn er nicht leer ist
pxflow.egressInterface	principal.asset.attribute.labels	Wird als „egress_interface“-Label zusammengeführt, wenn es nicht leer ist
http.httpHost	principal.hostname	Der Wert wird direkt kopiert und „has_principal“ wird auf „true“ gesetzt, wenn er nicht leer ist.
sourceIPv4Address	principal.ip	Extrahierte Daten mit dem Grok-Muster %{IP:ip}, zusammengeführt, wenn Grok erfolgreich ist
pxflow.sourceEtherAddress	principal.mac	Wird direkt zusammengeführt und „has_principal“ wird auf „true“ gesetzt, wenn der Wert nicht leer ist.
sourceTransportPort	principal.port	Umbenannt und in eine Ganzzahl konvertiert, falls nicht leer
Sensor	security_result.about.labels	Wird als „sensor_label“ zusammengeführt, wenn nicht leer
in_iface	security_result.rule_labels	Wird als „in_iface_label“ zusammengeführt, wenn nicht leer
pxflow.ingressInterface	target.asset.attribute.labels	Wird als „ingress_interface“-Label zusammengeführt, wenn es nicht leer ist
destinationIPv4Address	target.ip	Extrahierte Daten mit dem Grok-Muster %{IP:ip}, zusammengeführt, wenn Grok erfolgreich ist
pxflow.destinationEtherAddress	target.mac	Direkt zusammengeführt und „has_target“ wird auf „true“ gesetzt, wenn nicht leer
destinationTransportPort	target.port	Umbenannt und in eine Ganzzahl konvertiert, falls nicht leer
http.httpURL	target.url	Wert wird direkt kopiert, wenn er nicht leer ist
	metadata.vendor_name	Auf „Fireeye“ festgelegt
	metadata.product_name	Auf „PX“ festgelegt

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten