FireEye NX ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して FireEye ネットワーク セキュリティとフォレンジック(NX)のログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル FIREEYE_NX が付加されたパーサーに適用されます。

FireEye NX を構成する

  1. FireEye NX インターフェースにログインします。
  2. [Settings] > [Notifications] に移動します。
  3. syslog 通知構成を有効にするには、[rsyslog] チェックボックスをオンにします。
  4. [Add rsyslog server] をクリックします。
  5. [Notifications] フィールドに、Google SecOps インスタンスへの FireEye 接続のラベルを付ける名前を入力します。
  6. [IP address] フィールドに、Google SecOps フォワーダーの IP アドレスを入力します。
  7. [Enabled] チェックボックスをオンにします。
  8. [Delivery] リストで [Per event] を選択します。
  9. [Notifications] リストで [All events] を選択します。
  10. [Format] リストで [CEF] を選択します。
  11. [Account] フィールドには何も入力しないでください。
  12. [Protocol] リストでプロトコルを選択します。

  13. [Add new rsyslog server] をクリックします。

FireEye NX ログを取り込むように Google SecOps フォワーダーを構成する

  1. Google SecOps メニューで、[Settings] > [Forwarders] > [Add new forwarder] を選択します。
  2. [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
  3. [送信] をクリックします。フォワーダーが追加され、[Add collector configuration] ウィンドウが表示されます。
  4. [Collector name] フィールドに、コレクタの一意の名前を入力します。
  5. [Log type] フィールドに FireEye NX を指定します。
  6. [Collector type] として [Syslog] を選択します。
  7. 次の入力パラメータを構成します。
    • Protocol: コレクタが Syslog データをリッスンするために使用する接続プロトコルを指定します。
    • Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • Port: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
  8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google SecOps UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。