FireEye NX-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die FireEye Network Security and Forensics (NX)-Protokolle mit einem Google Security Operations-Weiterleiter erfassen.

Weitere Informationen finden Sie unter Dateneinnahme in Google SecOps.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel FIREEYE_NX.

FireEye NX konfigurieren

  1. Melden Sie sich in der FireEye NX-Oberfläche an.
  2. Gehen Sie zu Einstellungen > Benachrichtigungen.
  3. Wenn Sie eine syslog-Benachrichtigungskonfiguration aktivieren möchten, klicken Sie das Kästchen rsyslog an.
  4. Klicken Sie auf Rsyslog-Server hinzufügen.
  5. Geben Sie im Feld Name einen Namen ein, um Ihre FireEye-Verbindung zu den Google SecOps-Instanzen zu kennzeichnen.
  6. Geben Sie im Feld IP-Adresse die IP-Adresse des Google SecOps-Weiterleitungsservers ein.
  7. Klicken Sie das Kästchen Aktiviert an.
  8. Wählen Sie in der Liste Übermittlung die Option Pro Ereignis aus.
  9. Wählen Sie in der Liste Benachrichtigungen die Option Alle Ereignisse aus.
  10. Wählen Sie in der Liste Format die Option CEF aus.
  11. Geben Sie im Feld Konto keine Informationen ein.
  12. Wählen Sie in der Liste Protokoll das Protokoll aus.

  13. Klicken Sie auf Neuen Rsyslog-Server hinzufügen.

Google SecOps-Weiterleiter für die Aufnahme von FireEye NX-Logs konfigurieren

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
  2. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  3. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  5. Geben Sie im Feld Logtyp die Option FireEye NX an.
  6. Wählen Sie Syslog als Typ des Collectors aus.
  7. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
    • Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem der Collector syslog-Daten empfängt.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
  8. Klicken Sie auf Senden.

Weitere Informationen zu Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.