Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Trellix IPS

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do IPS (sistema de prevenção de intrusões) do gestor de segurança de rede da Trellix (anteriormente McAfee) para o Google Security Operations através do Bindplane. O analisador extrai dados de eventos de segurança de mensagens syslog do McAfee IPS. Usa uma série de padrões grok para identificar e mapear campos como o IP de origem e de destino, a porta, o protocolo, os detalhes do ataque e a gravidade, estruturando as informações no modelo de dados unificado (UDM) do Google SecOps.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao McAfee Network Security Platform Manager

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_IPS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog do McAfee Network Security Platform Manager

Inicie sessão na interface do McAfee Network Security Platform Manager.
Clique em Configurar > Árvore de recursos > Definições de IPS.
Clique no separador Notificação de alerta > separador Syslog.
Indique os seguintes detalhes de configuração:
- Selecione Sim para ativar as notificações de syslog para a McAfee Network Security Platform.
- Domínio de administrador: selecione a caixa de verificação Atual para enviar notificações de syslog para alertas no domínio atual.
- Nome do servidor ou endereço IP: introduza o endereço IP do agente do Bindplane.
- Porta UDP: introduza a porta 514.
- Instalação: selecione o valor da instalação do syslog local0.
- Gravidade: selecione informativa.
- Enviar notificação se: selecione todas as opções para receber sempre o syslog
- Notificação de alerta de quarentena de IPS: selecione Não.
Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
seta		Este campo é usado no analisador, mas não é mapeado para o UDM final.
dados		Este campo é usado no analisador, mas não é mapeado para o UDM final.
instalação		Este campo é usado no analisador, mas não é mapeado para o UDM final.
forwarderName		Este campo é usado no analisador, mas não é mapeado para o UDM final.
mensagem		Este campo é usado no analisador, mas não é mapeado para o UDM final.
principal_ip	read_only_udm.principal.ip	Extraído do campo `message` através de um padrão grok.
principal_port	read_only_udm.principal.port	Extraído do campo `message` através de um padrão grok.
protocolo		Este campo é usado no analisador, mas não é mapeado para o UDM final.
result		Este campo é usado no analisador, mas não é mapeado para o UDM final.
scanHost	read_only_udm.intermediary.hostname	Extraído do campo `message` através de um padrão grok.
gravidade		Este campo é usado no analisador, mas não é mapeado para o UDM final.
sysdate		Este campo é usado no analisador, mas não é mapeado para o UDM final.
target_ip	read_only_udm.target.ip	Extraído do campo `message` através de um padrão grok.
target_port	read_only_udm.target.port	Extraído do campo `message` através de um padrão grok.
	is_alert	Definido como `true` se o campo `forwarderName` contiver a palavra `Alert`.
	is_significant	Defina como `true` se o campo `severity` for `Medium` ou `High`.
	read_only_udm.metadata.event_timestamp	Copiado do campo `collection_time`.
	read_only_udm.metadata.event_type	Predefinido como `NETWORK_CONNECTION`. Alterado para `GENERIC_EVENT` se não forem encontrados endereços IP para o principal e o destino.
	read_only_udm.metadata.log_type	Definido como `MCAFEE_IPS`.
	read_only_udm.metadata.product_name	Definido como `MCafee IPS`.
	read_only_udm.metadata.vendor_name	Definido como `MCafee`.
	read_only_udm.network.application_protocol	Defina como `HTTP` se o campo `protocol` for `HTTP`. Defina como `HTTPS` se o campo `protocol` for `SSL`.
	read_only_udm.network.direction	Definido como `INBOUND` se o campo `conn_direction` extraído for `Inbound`. Definido como `OUTBOUND` se o campo `conn_direction` extraído for `Outbound`.
	read_only_udm.network.ip_protocol	Definido como `TCP` se o campo `protocol` for `HTTP`, `SSL` ou `TCP`. Defina como `ICMP` se o campo `protocol` for `ICMP`. Definido como `UDP` se o campo `protocol` for `SNMP` e o campo `alert_message` contiver `Empty UDP Attack DoS`.
	read_only_udm.security_result.action	Definido como `BLOCK` se o campo `result` for `Attack Blocked`, `Attack Failed` ou `Attack SmartBlocked`. Defina como `ALLOW` se o campo `result` for `Attack Successful`. Defina como `UNKNOWN_ACTION` se o campo `result` for `Inconclusive`. Definido como `QUARANTINE` se o campo `alert_message` corresponder à expressão regular `File Submitted .*? for Analysis`.
	read_only_udm.security_result.category	Categorizado com base no campo `alert_message`. Se o campo `result` for `n/a`, é definido como `NETWORK_SUSPICIOUS`.
	read_only_udm.security_result.description	O campo `alert_message` concatenado com o valor da variável `_result`, que é definido como `(result)` se o campo `result` não for `n/a`.
	read_only_udm.security_result.severity	Mapeado a partir do campo `severity`: `Informational` para `INFORMATIONAL`, `Low` para `LOW`, `Medium` para `MEDIUM`, `High` para `HIGH`.
	read_only_udm.security_result.summary	O valor da variável `event_description`, que é definido como `Detected {attack type}` com base no campo `message`.
	timestamp	Copiado do campo `collection_time`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.