Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di McAfee Firewall Enterprise

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di McAfee Firewall Enterprise. Il codice del parser estrae innanzitutto i campi utilizzando una serie di pattern Grok, gestendo sia i formati SYSLOG che JSON. Poi, a seconda della categoria di log identificata, applica pattern Grok ed estrazioni chiave-valore specifici per mappare i dati nello schema UDM di Google Security Operations.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a McAfee ESM.

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane Agent.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta questa guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: mcafee_esm
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia Bindplane Agent per applicare le modifiche

In Linux, per riavviare Bindplane Agent, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare McAfee ESM per inoltrare i syslog

Accedi alla console McAfee ESM.
Vai a Proprietà di sistema > Inoltro eventi.
Fai clic su Aggiungi per creare una nuova regola di inoltro syslog.
Configura le seguenti impostazioni:
- Nome: inserisci un nome descrittivo (ad esempio Inoltro Google SecOps).
- Indirizzo IP di destinazione: inserisci l'IP del server Syslog (o dell'agente Bindplane).
- Porta di destinazione: utilizza 514 per UDP (puoi specificare un'altra porta, a seconda della configurazione del server syslog/Bindplane).
- Protocollo: seleziona UDP (le altre opzioni sono TCP o TLS, a seconda della configurazione del server Syslog/Bindplane).
- Formato: scegli CEF (Common Event Format) o ASCII (formato consigliato per i log di McAfee).
- Filtri: definisci i tipi di eventi da inoltrare, ad esempio log della firewall, eventi di autenticazione o rilevamenti di minacce.
Fai clic su Salva.
Riavvia il servizio McAfee ESM per applicare le modifiche.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
agire	security_result.action_details	Il valore viene preso dal campo "act" nel payload JSON analizzato.
gatto	security_result.category_details	Il valore viene preso dal campo "cat" nel payload JSON analizzato.
data.AppID	target.application	Il valore viene preso dal campo "AppID" nel payload JSON analizzato.
data.Destination_Hostname	target.hostname	Il valore viene preso dal campo "Destination_Hostname" nel payload JSON analizzato.
data.Destination_UserID	target.user.windows_sid	Il valore viene preso dal campo "Destination_UserID" nel payload JSON analizzato.
data.DomainID	target.administrative_domain	Il valore viene preso dal campo "DomainID" nel payload JSON analizzato.
data.dst_ip	target.ip	Il valore viene preso dal campo "dst_ip" nel payload JSON analizzato.
data.dst_mac	target.mac	Il valore viene preso dal campo "dst_mac" nel payload JSON analizzato.
data.dst_port	target.port	Il valore viene preso dal campo "dst_port" nel payload JSON analizzato e convertito in un numero intero.
data.HostID	target.hostname	Il valore viene preso dal campo "HostID" nel payload JSON analizzato.
data.norm_sig.name		Questo campo determina il tipo di evento in base al relativo valore.
data.PID	target.process.pid	Il valore viene preso dal campo "PID" nel payload JSON analizzato.
data.Process_Name	target.process.command_line	Il valore viene preso dal campo "Process_Name" nel payload JSON analizzato.
data.severity	security_result.severity	Il valore viene preso dal campo "severity" nel payload JSON analizzato, convertito in un numero intero e mappato a un livello di gravità UDM in base al suo valore: LOW (1-32), MEDIUM (33-65), HIGH (66-100).
data.sig.name	security_result.description	Il valore viene preso dal campo "sig.name" nel payload JSON analizzato.
data.Source_Logon_ID	about.labels.value	Il valore viene preso dal campo "Source_Logon_ID" nel payload JSON analizzato.
data.Source_UserID	principal.user.windows_sid	Il valore viene preso dal campo "Source_UserID" nel payload JSON analizzato.
data.src_ip	principal.ip	Il valore viene preso dal campo "src_ip" nel payload JSON analizzato.
data.src_mac	principal.mac	Il valore viene preso dal campo "src_mac" nel payload JSON analizzato.
data.src_port	principal.port	Il valore viene preso dal campo "src_port" nel payload JSON analizzato e convertito in un numero intero.
data.UserIDDst	target.user.userid	Il valore viene preso dal campo "UserIDDst" nel payload JSON analizzato.
data.UserIDSrc	principal.user.userid	Il valore viene preso dal campo "UserIDSrc" nel payload JSON analizzato.
deviceExternalId	about.asset.asset_id	Il valore viene preso dal campo "deviceExternalId" nel payload JSON analizzato e combinato con il nome del prodotto per creare un ID risorsa univoco.
deviceTranslatedAddress	about.nat_ip	Il valore viene preso dal campo "deviceTranslatedAddress" nel payload JSON analizzato.
dst	target.ip	Il valore viene preso dal campo "dst" nel payload JSON analizzato.
dpt	target.port	Il valore viene preso dal campo "dpt" nel payload JSON analizzato e convertito in un numero intero.
eventId	additional.fields.value.string_value	Il valore viene preso dal campo "eventId" nel payload JSON analizzato.
externalId	metadata.product_log_id	Il valore viene preso dal campo "externalId" nel payload JSON analizzato.
nome host	principal.hostname	Il valore viene preso dal campo "hostname" estratto dal pattern Grok.
log_category	metadata.log_type	Il valore viene preso dal campo "log_category" estratto dal pattern Grok.
log_type	metadata.product_event_type	Il valore viene preso dal campo "log_type" estratto dal pattern Grok.
messaggio		Questo campo viene analizzato per estrarre vari campi a seconda della categoria del log.
nitroURL		Questo campo non è mappato all'oggetto IDM nell'UDM.
pid	principal.process.pid	Il valore viene preso dal campo "pid" estratto dal pattern Grok.
process_id	about.process.pid	Il valore viene preso dal campo "process_id" estratto dal pattern Grok.
proto	network.ip_protocol	Il valore viene preso dal campo "proto" nel payload JSON analizzato e mappato al protocollo IP corrispondente.
rhost	principal.ip	Il valore viene preso dal campo "rhost" estratto dal pattern Grok e analizzato come indirizzo IP.
shost	principal.hostname	Il valore viene preso dal campo "shost" nel payload JSON analizzato.
sntdom	principal.administrative_domain	Il valore viene preso dal campo "sntdom" nel payload JSON analizzato.
spt	principal.port	Il valore viene preso dal campo "spt" nel payload JSON analizzato e convertito in un numero intero.
src	principal.ip	Il valore viene preso dal campo "src" nel payload JSON analizzato.
tempo	timestamp	Il valore viene preso dal campo "time" estratto dal pattern Grok e analizzato come timestamp.
tipo	metadata.product_event_type	Il valore viene preso dal campo "type" estratto dal filtro kv.
uid	principal.user.userid	Il valore viene preso dal campo "uid" estratto dal filtro kv.
metadata.event_type	metadata.event_type	Il valore viene impostato in base al nome dell'evento e ad altri campi nel log. La logica per determinare il tipo di evento è la seguente: - Se il nome dell'evento contiene "TCP", il tipo di evento viene impostato su "NETWORK_CONNECTION". - Se il nome dell'evento contiene "Mail", il tipo di evento è impostato su "EMAIL_TRANSACTION". - Se il nome dell'evento contiene "HTTP" o "http", il tipo di evento viene impostato su "NETWORK_HTTP". - Se il nome dell'evento contiene "Accesso utente" o "Accesso negato dall'elenco di accesso", il tipo di evento è impostato su "USER_RESOURCE_ACCESS". - Se il nome dell'evento contiene "Origine dati inattiva", il tipo di evento è impostato su "STATUS_UPDATE". - Se il nome dell'evento contiene "Comm with snowflex", il tipo di evento è impostato su "SERVICE_UNSPECIFIED". - Se il nome dell'evento contiene "Accesso riuscito a un account", il tipo di evento è impostato su "USER_LOGIN". - Se il nome dell'evento contiene "Stato di inizializzazione per gli oggetti di servizio", il tipo di evento è impostato su "GENERIC_EVENT". - Se nessuna delle condizioni precedenti è soddisfatta, il tipo di evento viene impostato su "GENERIC_EVENT".
metadata.vendor_name	metadata.vendor_name	Il valore è impostato su "MCAFEE".
network.direction	network.direction	Il valore viene impostato su "INBOUND" se il campo "deviceDirection" nel payload JSON analizzato è 0. In caso contrario, è impostato su "OUTBOUND".
security_result.severity	security_result.severity	Il valore è impostato su "LOW" se il campo "cef_event_severity" nel payload JSON analizzato è 1, su "MEDIUM" se è 2, su "HIGH" se è 3 e su "CRITICAL" se è 9.

Modifiche

2024-03-21

Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.