FireEye HX 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 FireEye Endpoint Security (HX) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 입력 메시지를 JSON으로 처리하려고 시도합니다. 메시지가 JSON 형식이 아닌 경우 grok 패턴을 사용하여 필드를 추출한 다음 추출된 이벤트 유형 및 기타 기준에 따라 조건부 UDM 매핑을 실행합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • FireEye Endpoint Security에 대한 권한 있는 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'FIREEYE_HX'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

UI를 사용하여 FireEye HX Event Streamer syslog 구성

  1. FireEye HX 관리 콘솔에 로그인합니다.
  2. 이벤트 스트리머로 이동합니다.
  3. 호스트에서 이벤트 스트리머 사용 설정을 선택합니다.
  4. 정책 변경사항을 저장합니다.
  5. 대상 > 서버 설정 > syslog 대상 추가로 이동합니다.
  6. 다음 구성 세부정보를 제공합니다.
    • 이름: Google SecOps 로그 수집기에 라벨을 지정할 고유한 이름을 입력합니다.
    • IP 주소: Bindplane 에이전트 IP 주소를 입력합니다.
    • 포트: Bindplane 에이전트 포트 번호를 입력합니다.
  7. 변경사항을 저장하여 적용합니다.

CLI를 사용하여 FireEye HX Event Streamer syslog 구성

  1. 명령줄 인터페이스 (CLI)를 사용하여 FireEye HX 어플라이언스에 로그인합니다.

  2. 다음 명령어를 실행하여 구성 모드를 사용 설정합니다.

    enable
configure terminal

  3. 다음 명령어를 실행하여 원격 syslog 서버 대상을 추가합니다.

    logging BINDPLANE_IP_ADDRESS port PORT_NUMBER port
    • 다음을 바꿉니다.
      • BINDPLANE_IP_ADDRESS: Google SecOps 전달자 IP 주소
      • PORT_NUMBER: 포트 번호입니다.

  4. 다음 명령어를 실행하여 구성 세부정보를 저장합니다.

    write mem

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
alert.agent._id principal.asset.asset_id 원시 로그의 에이전트 ID이며 AGENT ID:이(가) 앞에 붙습니다.
alert.agent.url principal.labels.value 원시 로그의 에이전트 URL입니다.
alert.condition._id additional.fields.value.string_value = 문자가 삭제된 원시 로그의 조건 ID입니다.
alert.condition.url additional.fields.value.string_value 원시 로그의 조건 URL로, = 문자가 삭제되었습니다.
alert.decorators[].data.fireeye_report.indicator_verdict.malware_families.0 security_result.threat_name 원시 로그의 데코레이터 필드에 있는 FireEye 보고서의 멀웨어 패밀리입니다.
alert.decorators[].data.fireeye_report.risk_summary security_result.description 원시 로그의 데코레이터 필드에 있는 FireEye 보고서의 위험 요약입니다.
alert.decorators[].data.fireeye_verdict security_result.severity_details 원시 로그의 데코레이터 필드에서 가져온 FireEye 평결입니다.
alert.event_at read_only_udm.metadata.event_timestamp 원시 로그의 이벤트 타임스탬프입니다.
alert.event_id read_only_udm.metadata.product_log_id 원시 로그의 이벤트 ID입니다.
alert.event_type read_only_udm.metadata.product_event_type 원시 로그의 이벤트 유형입니다.
alert.event_values.fileWriteEvent/fullPath target.file.full_path 원시 로그에서 작성된 파일의 전체 경로입니다.
alert.event_values.fileWriteEvent/md5 target.file.md5 원시 로그에서 작성된 파일의 MD5 해시입니다.
alert.event_values.fileWriteEvent/pid principal.process.pid 원시 로그에서 파일을 작성한 프로세스 ID입니다.
alert.event_values.fileWriteEvent/processPath principal.process.file.full_path 원시 로그에서 파일을 작성한 프로세스의 경로입니다. OS가 Windows인 경우 alert.event_values.fileWriteEvent/process와 결합하여 전체 경로를 만듭니다.
alert.event_values.fileWriteEvent/size target.file.size 원시 로그에서 작성된 파일의 크기입니다.
alert.event_values.fileWriteEvent/username principal.user.userid 원시 로그에서 파일을 작성한 사용자입니다.
alert.event_values.ipv4NetworkEvent/localIP principal.ip 원시 로그의 로컬 IP 주소입니다.
alert.event_values.ipv4NetworkEvent/localPort principal.port 원시 로그의 로컬 포트입니다.
alert.event_values.ipv4NetworkEvent/pid principal.process.pid 원시 로그의 프로세스 ID입니다.
alert.event_values.ipv4NetworkEvent/process principal.process.file.full_path 원시 로그의 프로세스 이름입니다. OS가 Windows인 경우 전체 경로를 만들기 위해 alert.event_values.ipv4NetworkEvent/processPath와 결합됩니다.
alert.event_values.ipv4NetworkEvent/processPath principal.process.file.full_path 원시 로그의 프로세스 경로입니다. OS가 Windows인 경우 전체 경로를 만들기 위해 alert.event_values.ipv4NetworkEvent/process와 결합됩니다.
alert.event_values.ipv4NetworkEvent/protocol network.ip_protocol 원시 로그의 네트워크 프로토콜입니다.
alert.event_values.ipv4NetworkEvent/remoteIP target.ip 원시 로그의 원격 IP 주소입니다.
alert.event_values.ipv4NetworkEvent/remotePort target.port 원시 로그의 원격 포트입니다.
alert.event_values.ipv4NetworkEvent/timestamp read_only_udm.metadata.event_timestamp 원시 로그의 이벤트 타임스탬프입니다.
alert.event_values.ipv4NetworkEvent/username principal.user.userid 원시 로그의 사용자입니다.
alert.event_values.processEvent/md5 target.process.file.md5 원시 로그의 프로세스 MD5 해시입니다.
alert.event_values.processEvent/parentPid principal.process.pid 원시 로그의 상위 프로세스 ID입니다.
alert.event_values.processEvent/parentProcess principal.process.file.full_path 원시 로그의 상위 프로세스 이름입니다.
alert.event_values.processEvent/parentProcessPath principal.process.file.full_path 원시 로그의 상위 프로세스 경로입니다.
alert.event_values.processEvent/pid target.process.pid 원시 로그의 프로세스 ID입니다.
alert.event_values.processEvent/process target.process.file.full_path 원시 로그의 프로세스 이름입니다.
alert.event_values.processEvent/processCmdLine target.process.command_line 원시 로그의 프로세스 명령줄입니다.
alert.event_values.processEvent/processPath target.process.file.full_path 원시 로그의 프로세스 경로입니다.
alert.event_values.processEvent/timestamp read_only_udm.metadata.event_timestamp 원시 로그의 이벤트 타임스탬프입니다.
alert.event_values.processEvent/username principal.user.userid 원시 로그의 사용자입니다.
alert.event_values.urlMonitorEvent/hostname target.hostname 원시 로그의 호스트 이름입니다.
alert.event_values.urlMonitorEvent/localPort principal.port 원시 로그의 로컬 포트입니다.
alert.event_values.urlMonitorEvent/pid principal.process.pid 원시 로그의 프로세스 ID입니다.
alert.event_values.urlMonitorEvent/process principal.process.file.full_path 원시 로그의 프로세스 이름입니다. OS가 Windows인 경우 alert.event_values.urlMonitorEvent/processPath와 결합하여 전체 경로를 만듭니다.
alert.event_values.urlMonitorEvent/processPath principal.process.file.full_path 원시 로그의 프로세스 경로입니다. OS가 Windows인 경우 전체 경로를 만들기 위해 alert.event_values.urlMonitorEvent/process와 결합됩니다.
alert.event_values.urlMonitorEvent/remoteIpAddress target.ip 원시 로그의 원격 IP 주소입니다.
alert.event_values.urlMonitorEvent/remotePort target.port 원시 로그의 원격 포트입니다.
alert.event_values.urlMonitorEvent/requestUrl target.url 원시 로그에서 요청된 URL입니다.
alert.event_values.urlMonitorEvent/timestamp read_only_udm.metadata.event_timestamp 원시 로그의 이벤트 타임스탬프입니다.
alert.event_values.urlMonitorEvent/urlMethod network.http.method 원시 로그의 HTTP 메서드입니다.
alert.event_values.urlMonitorEvent/userAgent network.http.user_agent 원시 로그의 사용자 에이전트입니다.
alert.event_values.urlMonitorEvent/username principal.user.userid 원시 로그의 사용자입니다.
alert.indicator._id security_result.about.labels.value 원시 로그의 표시기 ID입니다.
alert.indicator.name read_only_udm.security_result.summary 원시 로그의 표시기 이름입니다.
alert.indicator.url security_result.about.labels.value 원시 로그의 표시기 URL입니다.
alert.multiple_match read_only_udm.metadata.description 원시 로그의 여러 일치 메시지입니다.
alert.source additional.fields.value.string_value 원시 로그의 알림 소스입니다.
authmethod extensions.auth.mechanism 원시 로그의 인증 방법입니다. 값이 local 또는 LOCAL인 경우 LOCAL로 설정하고, 그렇지 않은 경우 MECHANISM_OTHER로 설정합니다.
authsubmethod extensions.auth.auth_details 원시 로그의 인증 하위 메서드로, 대문자로 변환됩니다.
클라이언트 principal.ip 원시 로그의 클라이언트 IP 주소입니다.
conditions.data.tests[].token security_result.detection_fields.key 원시 로그의 조건 테스트에서 가져온 토큰입니다.
conditions.data.tests[].value security_result.detection_fields.value 원시 로그의 조건 테스트 값입니다.
description read_only_udm.metadata.description 원시 로그의 설명입니다.
host.agent_version read_only_udm.metadata.product_version 원시 로그의 에이전트 버전입니다.
host.containment_state read_only_udm.principal.containment_state 원시 로그의 격리 상태입니다.
host.domain read_only_udm.principal.administrative_domain 원시 로그의 도메인입니다.
host.hostname read_only_udm.principal.hostname 원시 로그의 호스트 이름입니다.
host.os.platform read_only_udm.principal.platform 원시 로그의 운영체제 플랫폼입니다.
host.os.product_name read_only_udm.principal.platform_version 원시 로그의 운영체제 제품 이름입니다.
host.primary_ip_address read_only_udm.principal.ip 원시 로그의 기본 IP 주소입니다.
host.primary_mac read_only_udm.principal.mac 원시 로그의 기본 MAC 주소입니다. - 문자는 :으로 대체됩니다.
host_ principal.hostname 원시 로그의 호스트 이름입니다.
host_details.data.agent_version read_only_udm.metadata.product_version 원시 로그의 에이전트 버전입니다.
host_details.data.containment_state read_only_udm.security_result.severity_details 원시 로그의 격리 상태입니다.
host_details.data.domain read_only_udm.principal.administrative_domain 원시 로그의 도메인입니다.
host_details.data.hostname read_only_udm.principal.hostname 원시 로그의 호스트 이름입니다.
host_details.data.os.platform read_only_udm.principal.platform 원시 로그의 운영체제 플랫폼입니다.
host_details.data.os.product_name read_only_udm.principal.platform_version 원시 로그의 운영체제 제품 이름입니다.
host_details.data.primary_ip_address read_only_udm.principal.ip 원시 로그의 기본 IP 주소입니다.
host_details.data.primary_mac read_only_udm.principal.mac 원시 로그의 기본 MAC 주소입니다. - 문자는 :으로 대체됩니다.
indicators.data.description read_only_udm.metadata.description 원시 로그의 표시기 설명입니다.
target.application 원시 로그의 줄입니다.
localusername target.user.user_display_name 원시 로그의 로컬 사용자 이름입니다.
principal_ip principal.ip 원시 로그의 기본 IP 주소입니다.
역확산 프로세스를 read_only_udm.principal.application 원시 로그의 프로세스 이름입니다.
process_id read_only_udm.principal.process.pid 원시 로그의 프로세스 ID입니다.
referrer network.http.referral_url 원시 로그의 리퍼러 URL입니다.
remoteaddress principal.ip 원시 로그의 원격 주소입니다.
요청 additional.fields.value.string_value 원시 로그의 요청입니다.
역할 target.user.role_name 원시 로그의 역할입니다.
서버 target.resource.attribute.labels.value 원시 로그의 서버입니다.
sessionID network.session_id 원시 로그의 세션 ID입니다.
줄이는 것을 security_result.severity 원시 로그의 심각도에 따라 LOW, MEDIUM 또는 HIGH로 설정합니다.
target_host read_only_udm.target.hostname 원시 로그의 타겟 호스트 이름입니다.
target_ip target.ip 원시 로그의 타겟 IP 주소입니다.
target_ip1 target.ip 원시 로그의 타겟 IPv6 주소입니다.
타임스탬프 타임스탬프 원시 로그의 타임스탬프입니다.
업스트림 target.url 원시 로그의 업스트림 URL입니다.
사용자 이름 target.user.userid 원시 로그의 사용자 이름입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.