FireEye NX 로그 수집

이 문서에서는 Google Security Operations 전달자를 사용하여 FireEye 네트워크 보안 및 포렌식 (NX) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 FIREEYE_NX 수집 라벨이 있는 파서에 적용됩니다.

FireEye NX 구성

1. FireEye NX 인터페이스에 로그인합니다.
2. 설정 > 알림으로 이동합니다.
3. syslog 알림 구성을 사용 설정하려면 rsyslog 체크박스를 선택합니다.
4. rsyslog 서버 추가를 클릭합니다.
5. 이름 필드에 Google SecOps 인스턴스에 대한 FireEye 연결에 라벨을 지정할 이름을 입력합니다.
6. IP 주소 필드에 Google SecOps 포워더 IP 주소를 입력합니다.
7. 사용 설정됨 체크박스를 선택합니다.
8. 전송 목록에서 이벤트별을 선택합니다.
9. 알림 목록에서 모든 이벤트를 선택합니다.
10. 형식 목록에서 CEF를 선택합니다.
11. 계정 필드에 정보를 입력하지 마세요.
12. 프로토콜 목록에서 프로토콜을 선택합니다.

13. 새 rsyslog 서버 추가를 클릭합니다.

FireEye NX 로그를 수집하도록 Google SecOps 전달자 구성

1. Google SecOps 메뉴에서 설정 > 포워더 > 새 포워더 추가를 선택합니다.
2. 전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
3. 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
4. 수집기 이름 필드에 수집기의 고유한 이름을 입력합니다.
5. 로그 유형 필드에 FireEye NX를 지정합니다.
6. 수집기 유형으로 Syslog를 선택합니다.
7. 다음 입력 매개변수를 구성합니다.
   • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
   • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
   • 포트: 수집기가 상주하고 syslog 데이터를 수신 대기하는 대상 포트를 지정합니다.
8. 제출을 클릭합니다.

Google SecOps 전달자에 대한 자세한 내용은 Google SecOps UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.