Collecter les journaux FireEye NX

Compatible avec:

Ce document explique comment collecter les journaux de sécurité et d'analyse FireEye (NX) à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez la section Présentation de l'ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion FIREEYE_NX.

Configurer FireEye NX

  1. Connectez-vous à l'interface FireEye NX.
  2. Accédez à Paramètres > Notifications.
  3. Pour activer une configuration de notification syslog, cochez la case rsyslog.
  4. Cliquez sur Ajouter un serveur rsyslog.
  5. Dans le champ Nom, saisissez un nom pour identifier votre connexion FireEye aux instances Google SecOps.
  6. Dans le champ Adresse IP, saisissez l'adresse IP du forwarder Google SecOps.
  7. Cochez la case Activé.
  8. Dans la liste Diffusion, sélectionnez Par événement.
  9. Dans la liste Notifications, sélectionnez Tous les événements.
  10. Dans la liste Format, sélectionnez CEF.
  11. Dans le champ Compte, ne saisissez aucune information.
  12. Dans la liste Protocole, sélectionnez le protocole.

  13. Cliquez sur Ajouter un serveur rsyslog.

Configurer le transpondeur Google SecOps pour ingérer les journaux FireEye NX

  1. Dans le menu Google SecOps, sélectionnez Paramètres > redirecteurs > Ajouter un redirecteur.
  2. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  3. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, spécifiez FireEye NX.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google SecOps.