Recopila registros de FireEye NX
En este documento, se describe cómo puedes recopilar los registros de FireEye Network Security and Forensics (NX) con un reenviador de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia FIREEYE_NX
.
Configura FireEye NX
- Accede a la interfaz de FireEye NX.
- Ve a Configuración > Notificaciones.
- Para habilitar una configuración de notificación de syslog, selecciona la casilla de verificación rsyslog.
- Haz clic en Agregar servidor rsyslog.
- En el campo Nombre, ingresa un nombre para etiquetar tu conexión de FireEye a las instancias de SecOps de Google.
- En el campo Dirección IP, ingresa la dirección IP del reenviador de SecOps de Google.
- Selecciona la casilla de verificación Habilitado.
- En la lista Publicación, selecciona Por evento.
- En la lista Notificaciones, selecciona Todos los eventos.
- En la lista Formato, selecciona CEF.
- En el campo Cuenta, no ingreses información.
- En la lista Protocolo, selecciona el protocolo.
Haz clic en Agregar nuevo servidor rsyslog.
Configura el reenviador de Google SecOps para transferir registros de FireEye NX
- En el menú de Google SecOps, selecciona Configuración > Reenvío > Agregar reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
- En el campo Tipo de registro, especifica
FireEye NX
. - Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google SecOps, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google SecOps.
Si tienes problemas para crear reenvío, comunícate con el equipo de asistencia de SecOps de Google.