Raccogliere i log di FireEye NX

Supportato in:

Questo documento descrive come raccogliere i log di FireEye Network Security and Forensics (NX) utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FIREEYE_NX.

Configura FireEye NX

  1. Accedi all'interfaccia FireEye NX.
  2. Vai a Impostazioni > Notifiche.
  3. Per attivare una configurazione di notifica syslog, seleziona la casella di controllo rsyslog.
  4. Fai clic su Aggiungi server rsyslog.
  5. Nel campo Nome, inserisci un nome per etichettare la connessione FireEye alle istanze Google SecOps.
  6. Nel campo Indirizzo IP, inserisci l'indirizzo IP del forwarder Google SecOps.
  7. Seleziona la casella di controllo Attivato.
  8. Nell'elenco Distribuzione, seleziona Per evento.
  9. Nell'elenco Notifiche, seleziona Tutti gli eventi.
  10. Nell'elenco Formato, seleziona CEF.
  11. Nel campo Account, non inserire alcuna informazione.
  12. Nell'elenco Protocollo, seleziona il protocollo.

  13. Fai clic su Aggiungi nuovo server rsyslog.

Configura il forwarder Google SecOps per importare i log FireEye NX

  1. Nel menu Google SecOps, seleziona Impostazioni > Forwarder > Aggiungi nuovo forwarder.
  2. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  3. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  4. Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
  5. Nel campo Tipo di log, specifica FireEye NX.
  6. Seleziona Syslog come Tipo di raccoglitore.
  7. Configura i seguenti parametri di input:
    • Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede e ascolta il raccoglitore i dati syslog.
  8. Fai clic su Invia.

Per saperne di più sui forwarder Google SecOps, consulta Gestire le configurazioni dei forwarder tramite la UI di Google SecOps.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google SecOps.