Raccogliere i log di FireEye NX
Questo documento descrive come raccogliere i log di FireEye Network Security and Forensics (NX) utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FIREEYE_NX
.
Configura FireEye NX
- Accedi all'interfaccia di FireEye NX.
- Vai a Impostazioni > Notifiche.
- Per attivare una configurazione di notifica syslog, seleziona la casella di controllo rsyslog.
- Fai clic su Aggiungi server rsyslog.
- Nel campo Nome, inserisci un nome per etichettare la connessione FireEye alle istanze Google SecOps.
- Nel campo Indirizzo IP, inserisci l'indirizzo IP del forwarder Google SecOps.
- Seleziona la casella di controllo Attivata.
- Nell'elenco Pubblicazione, seleziona Per evento.
- Nell'elenco Notifiche, seleziona Tutti gli eventi.
- Nell'elenco Formato, seleziona CEF.
- Nel campo Account, non inserire alcuna informazione.
- Nell'elenco Protocollo, seleziona il protocollo.
Fai clic su Aggiungi nuovo server rsyslog.
Configura il forwarder Google SecOps per importare i log FireEye NX
- Nel menu Google SecOps, seleziona Impostazioni > Inoltro > Aggiungi nuovo inoltro.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
- Nel campo Tipo di log, specifica
FireEye NX
. - Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input:
- Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il collector e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google SecOps, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google SecOps.
Se riscontri problemi durante la creazione dei forwarder, contatta l'assistenza Google SecOps.