收集 FireEye NX 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 FireEye 网络安全和取证 (NX) 日志。
如需了解详情,请参阅将数据提取到 Google SecOps 概览。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIREEYE_NX
注入标签的解析器。
配置 FireEye NX
- 登录 FireEye NX 界面。
- 依次前往设置 > 通知。
- 如需启用 syslog 通知配置,请选中 rsyslog 复选框。
- 点击添加 rsyslog 服务器。
- 在名称字段中,输入一个名称来标记 FireEye 与 Google SecOps 实例之间的连接。
- 在 IP 地址字段中,输入 Google SecOps 转发器 IP 地址。
- 选中已启用复选框。
- 在传送列表中,选择按事件。
- 在通知列表中,选择所有事件。
- 在 Format 列表中,选择 CEF。
- 在账号字段中,请勿输入任何信息。
- 在协议列表中,选择相应协议。
点击添加新的 rsyslog 服务器。
配置 Google SecOps 转发器以提取 FireEye NX 日志
- 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新的转发器。
- 在转发器名称字段中,为转发器输入一个唯一名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 在日志类型字段中,指定
FireEye NX
。 - 选择 Syslog 作为收集器类型。
- 配置以下输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。