FireEye NX-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie die FireEye Network Security and Forensics (NX)-Protokolle mit einem Google Security Operations-Weiterleiter erfassen.
Weitere Informationen finden Sie unter Dateneinnahme in Google SecOps.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel FIREEYE_NX
.
FireEye NX konfigurieren
- Melden Sie sich in der FireEye NX-Oberfläche an.
- Gehen Sie zu Einstellungen > Benachrichtigungen.
- Wenn Sie eine syslog-Benachrichtigungskonfiguration aktivieren möchten, klicken Sie das Kästchen rsyslog an.
- Klicken Sie auf Rsyslog-Server hinzufügen.
- Geben Sie im Feld Name einen Namen ein, um Ihre FireEye-Verbindung zu den Google SecOps-Instanzen zu kennzeichnen.
- Geben Sie im Feld IP-Adresse die IP-Adresse des Google SecOps-Weiterleitungsservers ein.
- Klicken Sie das Kästchen Aktiviert an.
- Wählen Sie in der Liste Übermittlung die Option Pro Ereignis aus.
- Wählen Sie in der Liste Benachrichtigungen die Option Alle Ereignisse aus.
- Wählen Sie in der Liste Format die Option CEF aus.
- Geben Sie im Feld Konto keine Informationen ein.
- Wählen Sie in der Liste Protokoll das Protokoll aus.
Klicken Sie auf Neuen Rsyslog-Server hinzufügen.
Google SecOps-Weiterleiter für die Aufnahme von FireEye NX-Logs konfigurieren
- Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Geben Sie im Feld Logtyp die Option
FireEye NX
an. - Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem der Collector syslog-Daten empfängt.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.