Coletar registros do FireEye NX

Compatível com:

Este documento descreve como coletar os registros de segurança de rede e forense (NX) do FireEye usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência FIREEYE_NX.

Configurar o FireEye NX

  1. Faça login na interface do FireEye NX.
  2. Acesse Configurações > Notificações.
  3. Para ativar uma configuração de notificação do syslog, marque a caixa de seleção rsyslog.
  4. Clique em Adicionar servidor rsyslog.
  5. No campo Nome, insira um nome para rotular sua conexão do FireEye com as instâncias do Google SecOps.
  6. No campo Endereço IP, insira o endereço IP do encaminhador do Google SecOps.
  7. Marque a caixa de seleção Ativado.
  8. Na lista Entrega, selecione Por evento.
  9. Na lista Notificações, selecione Todos os eventos.
  10. Na lista Format, selecione CEF.
  11. No campo Conta, não insira nenhuma informação.
  12. Na lista Protocolo, selecione o protocolo.

  13. Clique em Adicionar novo servidor rsyslog.

Configurar o forwarder do Google SecOps para ingerir registros do FireEye NX

  1. No menu Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
  4. No campo Nome do coletor, insira um nome exclusivo.
  5. No campo Tipo de registro, especifique FireEye NX.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e escuta os dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.