Raccogliere i log di McAfee Firewall Enterprise
Questo documento descrive come raccogliere i log di McAfee Firewall Enterprise. Il codice del parser estrae innanzitutto i campi utilizzando una serie di pattern Grok, gestendo sia i formati SYSLOG che JSON. Poi, a seconda della categoria di log identificata, applica pattern Grok ed estrazioni chiave-valore specifici per mappare i dati nello schema UDM di Google Security Operations.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con
systemd
. - Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso privilegiato a McAfee ESM.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse di installazione aggiuntive
- Per altre opzioni di installazione, consulta questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace with your specific IP and port listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Path to the ingestion authentication file creds: '/path/to/your/ingestion-auth.json' # Your Chronicle customer ID customer_id: 'your_customer_id' endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: log_type: SYSLOG namespace: mcafee_esm raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci
<customer_id>
con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.json
con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.
Riavvia BindPlane Agent per applicare le modifiche
In Linux, per riavviare BindPlane Agent, esegui il seguente comando:
sudo systemctl restart bindplane-agent
In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare McAfee ESM per inoltrare i syslog
- Accedi alla console McAfee ESM.
- Vai a Proprietà di sistema > Inoltro eventi.
- Fai clic su Aggiungi per creare una nuova regola di inoltro syslog.
- Configura le seguenti impostazioni:
- Nome: inserisci un nome descrittivo (ad esempio Inoltro Google SecOps).
- Indirizzo IP di destinazione: inserisci l'IP del server Syslog (o dell'agente BindPlane).
- Porta di destinazione: utilizza 514 per UDP (puoi specificare un'altra porta, a seconda della configurazione del server Syslog/Bindplane).
- Protocollo: seleziona UDP (le altre opzioni sono TCP o TLS, a seconda della configurazione del server Syslog/Bindplane).
- Formato: scegli CEF (Common Event Format) o ASCII (formato consigliato per i log di McAfee).
- Filtri: definisci i tipi di eventi da inoltrare, ad esempio log della firewall, eventi di autenticazione o rilevamenti di minacce.
- Fai clic su Salva.
- Riavvia il servizio McAfee ESM per applicare le modifiche.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
agire | security_result.action_details | Il valore viene preso dal campo "act" nel payload JSON analizzato. |
gatto | security_result.category_details | Il valore viene preso dal campo "cat" nel payload JSON analizzato. |
data.AppID | target.application | Il valore viene preso dal campo "AppID" nel payload JSON analizzato. |
data.Destination_Hostname | target.hostname | Il valore viene preso dal campo "Destination_Hostname" nel payload JSON analizzato. |
data.Destination_UserID | target.user.windows_sid | Il valore viene preso dal campo "Destination_UserID" nel payload JSON analizzato. |
data.DomainID | target.administrative_domain | Il valore viene preso dal campo "DomainID" nel payload JSON analizzato. |
data.dst_ip | target.ip | Il valore viene preso dal campo "dst_ip" nel payload JSON analizzato. |
data.dst_mac | target.mac | Il valore viene preso dal campo "dst_mac" nel payload JSON analizzato. |
data.dst_port | target.port | Il valore viene preso dal campo "dst_port" nel payload JSON analizzato e convertito in un numero intero. |
data.HostID | target.hostname | Il valore viene preso dal campo "HostID" nel payload JSON analizzato. |
data.norm_sig.name | Questo campo determina il tipo di evento in base al relativo valore. | |
data.PID | target.process.pid | Il valore viene preso dal campo "PID" nel payload JSON analizzato. |
data.Process_Name | target.process.command_line | Il valore viene preso dal campo "Process_Name" nel payload JSON analizzato. |
data.severity | security_result.severity | Il valore viene preso dal campo "severity" nel payload JSON analizzato, convertito in un numero intero e mappato a un livello di gravità UDM in base al suo valore: LOW (1-32), MEDIUM (33-65), HIGH (66-100). |
data.sig.name | security_result.description | Il valore viene preso dal campo "sig.name" nel payload JSON analizzato. |
data.Source_Logon_ID | about.labels.value | Il valore viene preso dal campo "Source_Logon_ID" nel payload JSON analizzato. |
data.Source_UserID | principal.user.windows_sid | Il valore viene preso dal campo "Source_UserID" nel payload JSON analizzato. |
data.src_ip | principal.ip | Il valore viene preso dal campo "src_ip" nel payload JSON analizzato. |
data.src_mac | principal.mac | Il valore viene preso dal campo "src_mac" nel payload JSON analizzato. |
data.src_port | principal.port | Il valore viene preso dal campo "src_port" nel payload JSON analizzato e convertito in un numero intero. |
data.UserIDDst | target.user.userid | Il valore viene preso dal campo "UserIDDst" nel payload JSON analizzato. |
data.UserIDSrc | principal.user.userid | Il valore viene preso dal campo "UserIDSrc" nel payload JSON analizzato. |
deviceExternalId | about.asset.asset_id | Il valore viene preso dal campo "deviceExternalId" nel payload JSON analizzato e combinato con il nome del prodotto per creare un ID risorsa univoco. |
deviceTranslatedAddress | about.nat_ip | Il valore viene preso dal campo "deviceTranslatedAddress" nel payload JSON analizzato. |
dst | target.ip | Il valore viene preso dal campo "dst" nel payload JSON analizzato. |
dpt | target.port | Il valore viene preso dal campo "dpt" nel payload JSON analizzato e convertito in un numero intero. |
eventId | additional.fields.value.string_value | Il valore viene preso dal campo "eventId" nel payload JSON analizzato. |
externalId | metadata.product_log_id | Il valore viene preso dal campo "externalId" nel payload JSON analizzato. |
nome host | principal.hostname | Il valore viene preso dal campo "hostname" estratto dal pattern Grok. |
log_category | metadata.log_type | Il valore viene preso dal campo "log_category" estratto dal pattern Grok. |
log_type | metadata.product_event_type | Il valore viene preso dal campo "log_type" estratto dal pattern Grok. |
messaggio | Questo campo viene analizzato per estrarre vari campi a seconda della categoria di log. | |
nitroURL | Questo campo non è mappato all'oggetto IDM nell'UDM. | |
pid | principal.process.pid | Il valore viene preso dal campo "pid" estratto dal pattern Grok. |
process_id | about.process.pid | Il valore viene preso dal campo "process_id" estratto dal pattern Grok. |
proto | network.ip_protocol | Il valore viene preso dal campo "proto" nel payload JSON analizzato e mappato al protocollo IP corrispondente. |
rhost | principal.ip | Il valore viene preso dal campo "rhost" estratto dal pattern Grok e analizzato come indirizzo IP. |
shost | principal.hostname | Il valore viene preso dal campo "shost" nel payload JSON analizzato. |
sntdom | principal.administrative_domain | Il valore viene preso dal campo "sntdom" nel payload JSON analizzato. |
spt | principal.port | Il valore viene preso dal campo "spt" nel payload JSON analizzato e convertito in un numero intero. |
src | principal.ip | Il valore viene preso dal campo "src" nel payload JSON analizzato. |
tempo | timestamp | Il valore viene preso dal campo "time" estratto dal pattern Grok e analizzato come timestamp. |
tipo | metadata.product_event_type | Il valore viene preso dal campo "type" estratto dal filtro kv. |
uid | principal.user.userid | Il valore viene preso dal campo "uid" estratto dal filtro kv. |
metadata.event_type | metadata.event_type | Il valore viene impostato in base al nome dell'evento e ad altri campi nel log. La logica per determinare il tipo di evento è la seguente: - Se il nome dell'evento contiene "TCP", il tipo di evento viene impostato su "NETWORK_CONNECTION". - Se il nome dell'evento contiene "Mail", il tipo di evento è impostato su "EMAIL_TRANSACTION". - Se il nome dell'evento contiene "HTTP" o "http", il tipo di evento viene impostato su "NETWORK_HTTP". - Se il nome dell'evento contiene "Accesso utente" o "Accesso negato dall'elenco di accesso", il tipo di evento è impostato su "USER_RESOURCE_ACCESS". - Se il nome dell'evento contiene "Origine dati inattiva", il tipo di evento è impostato su "STATUS_UPDATE". - Se il nome dell'evento contiene "Comm with snowflex", il tipo di evento è impostato su "SERVICE_UNSPECIFIED". - Se il nome dell'evento contiene "Accesso riuscito a un account", il tipo di evento è impostato su "USER_LOGIN". - Se il nome dell'evento contiene "Stato di inizializzazione per gli oggetti di servizio", il tipo di evento è impostato su "GENERIC_EVENT". - Se nessuna delle condizioni precedenti è soddisfatta, il tipo di evento viene impostato su "GENERIC_EVENT". |
metadata.vendor_name | metadata.vendor_name | Il valore è impostato su "MCAFEE". |
network.direction | network.direction | Il valore viene impostato su "INBOUND" se il campo "deviceDirection" nel payload JSON analizzato è 0. In caso contrario, è impostato su "OUTBOUND". |
security_result.severity | security_result.severity | Il valore è impostato su "LOW" se il campo "cef_event_severity" nel payload JSON analizzato è 1, su "MEDIUM" se è 2, su "HIGH" se è 3 e su "CRITICAL" se è 9. |
Modifiche
2024-03-21
- Parser appena creato.