FireEye NX ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して FireEye ネットワーク セキュリティとフォレンジック(NX)のログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル FIREEYE_NX が付加されたパーサーに適用されます。

FireEye NX を構成する

  1. FireEye NX インターフェースにログインします。
  2. [設定] > [通知] に移動します。
  3. syslog 通知構成を有効にするには、[rsyslog] チェックボックスをオンにします。
  4. [Add rsyslog server] をクリックします。
  5. [名前] フィールドに、Google SecOps インスタンスへの FireEye 接続のラベルを付ける名前を入力します。
  6. [IP アドレス] フィールドに、Google SecOps 転送元の IP アドレスを入力します。
  7. [有効] チェックボックスをオンにします。
  8. [配信] リストで、[イベントごと] を選択します。
  9. [通知] リストで、[すべてのイベント] を選択します。
  10. [Format] リストで [CEF] を選択します。
  11. [アカウント] フィールドには何も入力しないでください。
  12. [プロトコル] リストでプロトコルを選択します。

  13. [Add new rsyslog server] をクリックします。

FireEye NX ログを取り込むように Google SecOps フォワーダーを構成する

  1. Google SecOps メニューで、[設定] > [転送元] > [新しい転送元を追加] を選択します。
  2. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
  3. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  4. [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
  5. [ログタイプ] フィールドに FireEye NX を指定します。
  6. [Collector type] として [Syslog] を選択します。
  7. 次の入力パラメータを構成します。
    • プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
    • アドレス: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
  8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google SecOps UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。