Recolha registos do FireEye NX

Compatível com:

Este documento descreve como pode recolher os registos do FireEye Network Security and Forensics (NX) através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google SecOps.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento FIREEYE_NX.

Configure o FireEye NX

  1. Inicie sessão na interface do FireEye NX.
  2. Aceda a Definições > Notificações.
  3. Para ativar uma configuração de notificação de syslog, selecione a caixa de verificação rsyslog.
  4. Clique em Adicionar servidor rsyslog.
  5. No campo Nome, introduza um nome para etiquetar a sua ligação FireEye às instâncias do Google SecOps.
  6. No campo Endereço IP, introduza o endereço IP do encaminhador do Google SecOps.
  7. Selecione a caixa de verificação Ativado.
  8. Na lista Entrega, selecione Por evento.
  9. Na lista Notificações, selecione Todos os eventos.
  10. Na lista Formato, selecione CEF.
  11. No campo Conta, não introduza nenhuma informação.
  12. Na lista Protocolo, selecione o protocolo.

  13. Clique em Adicionar novo servidor rsyslog.

Configure o encaminhador do Google SecOps para carregar registos do FireEye NX

  1. No menu do Google SecOps, selecione Definições > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  3. Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  4. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
  5. No campo Tipo de registo, especifique FireEye NX.
  6. Selecione Syslog como o tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir dados de syslog.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve dados syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google SecOps.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico do Google SecOps.