Recoger registros de FireEye NX

Disponible en:

En este documento se describe cómo puede recoger los registros de FireEye Network Security y Forensics (NX) mediante un reenviador de Google Security Operations.

Para obtener más información, consulta el artículo Descripción general de la ingesta de datos en Google SecOps.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión FIREEYE_NX.

Configurar FireEye NX

  1. Inicia sesión en la interfaz de FireEye NX.
  2. Ve a Ajustes > Notificaciones.
  3. Para habilitar una configuración de notificaciones de syslog, selecciona la casilla rsyslog.
  4. Haz clic en Añadir servidor rsyslog.
  5. En el campo Nombre, introduce un nombre para etiquetar tu conexión de FireEye a las instancias de Google SecOps.
  6. En el campo Dirección IP, introduce la dirección IP del reenviador de Google SecOps.
  7. Seleccione la casilla Habilitado.
  8. En la lista Entrega, selecciona Por evento.
  9. En la lista Notificaciones, selecciona Todos los eventos.
  10. En la lista Formato, seleccione CEF.
  11. No introduzcas ninguna información en el campo Cuenta.
  12. En la lista Protocolo, selecciona el protocolo.

  13. Haz clic en Añadir nuevo servidor rsyslog.

Configurar el reenviador de Google SecOps para ingerir registros de FireEye NX

  1. En el menú de Google SecOps, selecciona Configuración > Reenvíos > Añadir nuevo reenvío.
  2. En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
  3. Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
  4. En el campo Nombre del recolector, introduzca un nombre único para el recolector.
  5. En el campo Tipo de registro, especifica FireEye NX.
  6. Seleccione Syslog como Tipo de recogida.
  7. Configure los siguientes parámetros de entrada:
    • Protocol: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
    • Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  8. Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google SecOps, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google SecOps.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de SecOps de Google.