收集 FireEye NX 記錄檔
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 Google 安全作業轉送器收集 FireEye Network Security and Forensics (NX) 記錄。
詳情請參閱「將資料匯入 Google SecOps 總覽」。
擷取標籤可識別剖析器,將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 FIREEYE_NX 攝入標籤的剖析器。
設定 FireEye NX
- 登入 FireEye NX 介面。
- 依序前往「設定」>「通知」。
- 如要啟用 syslog 通知設定,請勾選「rsyslog」核取方塊。
- 按一下「新增 rsyslog 伺服器」。
- 在「Name」欄位中,輸入 FireEye 連線的標籤名稱,以便連線至 Google SecOps 執行個體。
- 在「IP 位址」欄位中,輸入 Google SecOps 轉送器 IP 位址。
- 勾選「Enabled」(已啟用) 核取方塊。
- 在「Delivery」清單中,選取「Per event」。
- 在「通知」清單中,選取「所有事件」。
- 在「Format」清單中,選取「CEF」。
- 請勿在「帳戶」欄位中輸入任何資訊。
- 在「Protocol」清單中,選取通訊協定。
按一下「新增 rsyslog 伺服器」。
設定 Google SecOps 轉送器,以便擷取 FireEye NX 記錄
- 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」。
- 在「轉介器名稱」欄位中,輸入轉介器的專屬名稱。
- 按一下「提交」。系統會新增轉送器,並顯示「Add collector configuration」視窗。
- 在「收集器名稱」欄位中,輸入收集器的專屬名稱。
- 在「Log type」欄位中指定
FireEye NX。 - 選取「Syslog」做為「收集器類型」。
- 設定下列輸入參數:
- Protocol:指定收集器用來監聽 syslog 資料的連線通訊協定。
- Address:指定收集器所在位置和收聽 syslog 資料的目標 IP 位址或主機名稱。
- Port:指定收集器所在位置的目標連接埠,並監聽 syslog 資料。
- 點選「提交」。
如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google SecOps UI 管理轉送器設定」。
如果在建立轉送器時遇到問題,請與 Google SecOps 支援團隊聯絡。