Raccogliere i log di McAfee Firewall Enterprise

Supportato in:

Questo documento descrive come raccogliere i log di McAfee Firewall Enterprise. Il codice del parser estrae innanzitutto i campi utilizzando una serie di pattern Grok, gestendo sia i formati SYSLOG che JSON. Poi, a seconda della categoria di log identificata, applica pattern Grok ed estrazioni chiave-valore specifici per mappare i dati nello schema UDM di Google Security Operations.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato a McAfee ESM.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse di installazione aggiuntive

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
      udplog:
        # Replace with your specific IP and port
        listen_address: "0.0.0.0:514"
    
    exporters:
      chronicle/chronicle_w_labels:
        compression: gzip
        # Path to the ingestion authentication file
        creds: '/path/to/your/ingestion-auth.json'
        # Your Chronicle customer ID
        customer_id: 'your_customer_id'
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
          log_type: SYSLOG
          namespace: mcafee_esm
          raw_log_field: body
    
    service:
      pipelines:
        logs/source0__chronicle_w_labels-0:
          receivers:
            - udplog
          exporters:
            - chronicle/chronicle_w_labels
    
  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia BindPlane Agent per applicare le modifiche

  • In Linux, per riavviare BindPlane Agent, esegui il seguente comando:

    sudo systemctl restart bindplane-agent
    
  • In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurare McAfee ESM per inoltrare i syslog

  1. Accedi alla console McAfee ESM.
  2. Vai a Proprietà di sistema > Inoltro eventi.
  3. Fai clic su Aggiungi per creare una nuova regola di inoltro syslog.
  4. Configura le seguenti impostazioni:
    • Nome: inserisci un nome descrittivo (ad esempio Inoltro Google SecOps).
    • Indirizzo IP di destinazione: inserisci l'IP del server Syslog (o dell'agente BindPlane).
    • Porta di destinazione: utilizza 514 per UDP (puoi specificare un'altra porta, a seconda della configurazione del server Syslog/Bindplane).
    • Protocollo: seleziona UDP (le altre opzioni sono TCP o TLS, a seconda della configurazione del server Syslog/Bindplane).
    • Formato: scegli CEF (Common Event Format) o ASCII (formato consigliato per i log di McAfee).
    • Filtri: definisci i tipi di eventi da inoltrare, ad esempio log della firewall, eventi di autenticazione o rilevamenti di minacce.
  5. Fai clic su Salva.
  6. Riavvia il servizio McAfee ESM per applicare le modifiche.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
agire security_result.action_details Il valore viene preso dal campo "act" nel payload JSON analizzato.
gatto security_result.category_details Il valore viene preso dal campo "cat" nel payload JSON analizzato.
data.AppID target.application Il valore viene preso dal campo "AppID" nel payload JSON analizzato.
data.Destination_Hostname target.hostname Il valore viene preso dal campo "Destination_Hostname" nel payload JSON analizzato.
data.Destination_UserID target.user.windows_sid Il valore viene preso dal campo "Destination_UserID" nel payload JSON analizzato.
data.DomainID target.administrative_domain Il valore viene preso dal campo "DomainID" nel payload JSON analizzato.
data.dst_ip target.ip Il valore viene preso dal campo "dst_ip" nel payload JSON analizzato.
data.dst_mac target.mac Il valore viene preso dal campo "dst_mac" nel payload JSON analizzato.
data.dst_port target.port Il valore viene preso dal campo "dst_port" nel payload JSON analizzato e convertito in un numero intero.
data.HostID target.hostname Il valore viene preso dal campo "HostID" nel payload JSON analizzato.
data.norm_sig.name Questo campo determina il tipo di evento in base al relativo valore.
data.PID target.process.pid Il valore viene preso dal campo "PID" nel payload JSON analizzato.
data.Process_Name target.process.command_line Il valore viene preso dal campo "Process_Name" nel payload JSON analizzato.
data.severity security_result.severity Il valore viene preso dal campo "severity" nel payload JSON analizzato, convertito in un numero intero e mappato a un livello di gravità UDM in base al suo valore: LOW (1-32), MEDIUM (33-65), HIGH (66-100).
data.sig.name security_result.description Il valore viene preso dal campo "sig.name" nel payload JSON analizzato.
data.Source_Logon_ID about.labels.value Il valore viene preso dal campo "Source_Logon_ID" nel payload JSON analizzato.
data.Source_UserID principal.user.windows_sid Il valore viene preso dal campo "Source_UserID" nel payload JSON analizzato.
data.src_ip principal.ip Il valore viene preso dal campo "src_ip" nel payload JSON analizzato.
data.src_mac principal.mac Il valore viene preso dal campo "src_mac" nel payload JSON analizzato.
data.src_port principal.port Il valore viene preso dal campo "src_port" nel payload JSON analizzato e convertito in un numero intero.
data.UserIDDst target.user.userid Il valore viene preso dal campo "UserIDDst" nel payload JSON analizzato.
data.UserIDSrc principal.user.userid Il valore viene preso dal campo "UserIDSrc" nel payload JSON analizzato.
deviceExternalId about.asset.asset_id Il valore viene preso dal campo "deviceExternalId" nel payload JSON analizzato e combinato con il nome del prodotto per creare un ID risorsa univoco.
deviceTranslatedAddress about.nat_ip Il valore viene preso dal campo "deviceTranslatedAddress" nel payload JSON analizzato.
dst target.ip Il valore viene preso dal campo "dst" nel payload JSON analizzato.
dpt target.port Il valore viene preso dal campo "dpt" nel payload JSON analizzato e convertito in un numero intero.
eventId additional.fields.value.string_value Il valore viene preso dal campo "eventId" nel payload JSON analizzato.
externalId metadata.product_log_id Il valore viene preso dal campo "externalId" nel payload JSON analizzato.
nome host principal.hostname Il valore viene preso dal campo "hostname" estratto dal pattern Grok.
log_category metadata.log_type Il valore viene preso dal campo "log_category" estratto dal pattern Grok.
log_type metadata.product_event_type Il valore viene preso dal campo "log_type" estratto dal pattern Grok.
messaggio Questo campo viene analizzato per estrarre vari campi a seconda della categoria di log.
nitroURL Questo campo non è mappato all'oggetto IDM nell'UDM.
pid principal.process.pid Il valore viene preso dal campo "pid" estratto dal pattern Grok.
process_id about.process.pid Il valore viene preso dal campo "process_id" estratto dal pattern Grok.
proto network.ip_protocol Il valore viene preso dal campo "proto" nel payload JSON analizzato e mappato al protocollo IP corrispondente.
rhost principal.ip Il valore viene preso dal campo "rhost" estratto dal pattern Grok e analizzato come indirizzo IP.
shost principal.hostname Il valore viene preso dal campo "shost" nel payload JSON analizzato.
sntdom principal.administrative_domain Il valore viene preso dal campo "sntdom" nel payload JSON analizzato.
spt principal.port Il valore viene preso dal campo "spt" nel payload JSON analizzato e convertito in un numero intero.
src principal.ip Il valore viene preso dal campo "src" nel payload JSON analizzato.
tempo timestamp Il valore viene preso dal campo "time" estratto dal pattern Grok e analizzato come timestamp.
tipo metadata.product_event_type Il valore viene preso dal campo "type" estratto dal filtro kv.
uid principal.user.userid Il valore viene preso dal campo "uid" estratto dal filtro kv.
metadata.event_type metadata.event_type Il valore viene impostato in base al nome dell'evento e ad altri campi nel log. La logica per determinare il tipo di evento è la seguente: - Se il nome dell'evento contiene "TCP", il tipo di evento viene impostato su "NETWORK_CONNECTION". - Se il nome dell'evento contiene "Mail", il tipo di evento è impostato su "EMAIL_TRANSACTION". - Se il nome dell'evento contiene "HTTP" o "http", il tipo di evento viene impostato su "NETWORK_HTTP". - Se il nome dell'evento contiene "Accesso utente" o "Accesso negato dall'elenco di accesso", il tipo di evento è impostato su "USER_RESOURCE_ACCESS". - Se il nome dell'evento contiene "Origine dati inattiva", il tipo di evento è impostato su "STATUS_UPDATE". - Se il nome dell'evento contiene "Comm with snowflex", il tipo di evento è impostato su "SERVICE_UNSPECIFIED". - Se il nome dell'evento contiene "Accesso riuscito a un account", il tipo di evento è impostato su "USER_LOGIN". - Se il nome dell'evento contiene "Stato di inizializzazione per gli oggetti di servizio", il tipo di evento è impostato su "GENERIC_EVENT". - Se nessuna delle condizioni precedenti è soddisfatta, il tipo di evento viene impostato su "GENERIC_EVENT".
metadata.vendor_name metadata.vendor_name Il valore è impostato su "MCAFEE".
network.direction network.direction Il valore viene impostato su "INBOUND" se il campo "deviceDirection" nel payload JSON analizzato è 0. In caso contrario, è impostato su "OUTBOUND".
security_result.severity security_result.severity Il valore è impostato su "LOW" se il campo "cef_event_severity" nel payload JSON analizzato è 1, su "MEDIUM" se è 2, su "HIGH" se è 3 e su "CRITICAL" se è 9.

Modifiche

2024-03-21

  • Parser appena creato.