FireEye NX 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 전달자를 사용하여 FireEye 네트워크 보안 및 포렌식 (NX) 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 FIREEYE_NX
수집 라벨이 있는 파서에 적용됩니다.
FireEye NX 구성
- FireEye NX 인터페이스에 로그인합니다.
- 설정 > 알림으로 이동합니다.
- syslog 알림 구성을 사용 설정하려면 rsyslog 체크박스를 선택합니다.
- rsyslog 서버 추가를 클릭합니다.
- 이름 필드에 Google SecOps 인스턴스에 대한 FireEye 연결의 라벨을 지정할 이름을 입력합니다.
- IP 주소 필드에 Google SecOps 전달자 IP 주소를 입력합니다.
- 사용 설정됨 체크박스를 선택합니다.
- 전송 목록에서 이벤트별을 선택합니다.
- 알림 목록에서 모든 이벤트를 선택합니다.
- 형식 목록에서 CEF를 선택합니다.
- 계정 필드에는 아무것도 입력하지 않습니다.
- 프로토콜 목록에서 프로토콜을 선택합니다.
새 rsyslog 서버 추가를 클릭합니다.
FireEye NX 로그를 수집하도록 Google SecOps 전달자 구성
- Google SecOps 메뉴에서 설정 > 전달자 > 새 전달자 추가를 선택합니다.
- 전달자 이름 입력란에 전달자의 고유한 이름을 입력합니다.
- 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 입력란에 수집기의 고유한 이름을 입력합니다.
- 로그 유형 필드에
FireEye NX
을 지정합니다. - 수집기 유형으로 Syslog를 선택합니다.
- 다음 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google SecOps 전달자에 관한 자세한 내용은 Google SecOps UI를 통해 전달자 구성 관리를 참고하세요.
전달자를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.