Se usó la API de Cloud Translation para traducir esta página.

Instala el reenviador de eventos de Carbon Black

Compatible con:

Google SecOps SIEM

Introducción

En este documento, analizaremos el proceso de configuración del reenviador de eventos de Carbon Black (CB) para que envíe telemetría de extremos a Google Security Operations.

Guía de inicio rápido

En términos generales, seguiremos la guía de inicio rápido del reenviador de eventos oficial de CB (consulta aquí) con algunos elementos como los siguientes:

Instala el reenviador de eventos de CB directamente en el servidor de CB Response o en otra VM.
Asegúrate de que los eventos que se enviarán a Google Security Operations estén configurados en el servidor de CB Response.
Configura algunos campos en la configuración del reenviador de eventos de CB para habilitar el envío de eventos a Google Security Operations

Configura la respuesta de CB

Configura CB Response para exportar los eventos deseados. Consulta Configurar la respuesta de CB en la documentación oficial del Reenviador de eventos de CB para obtener más información.

Por ejemplo, si deseas habilitar la exportación de eventos de conexión de red a través de un reenviador de eventos de CB que también se ejecuta en el servidor de respuesta de CB, debes hacer lo siguiente:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configura el reenvío de eventos de CB

Configura el reenviador de eventos de CB para exportar datos a través de HTTP(S) a la API de Google Security Operations Ingestion. Consulta Cómo configurar cb-event-forwarder en la documentación oficial de CB Event Forwarder para obtener más información.

Se necesitan varias marcas para configurar el reenviador de eventos de CB. Te proporcionaremos una configuración con esas marcas.

Crea una copia de seguridad de la configuración oficial del reenviador de eventos de CB:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

Actualiza los siguientes campos en cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}

Recuerda reemplazar por la clave de API de Backstory Ingestion que se te proporcionó.

Cómo iniciar y detener el reenvío de eventos de CB

Consulta Cómo iniciar y detener el servicio en la documentación oficial del Reenviador de eventos de CB.

Instructivos

Cómo depurar si el servidor de reenvío de eventos de CB no se inicia

Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cómo saber si el reenviador de eventos de CB está enviando datos a Google Security Operations

Si el Reenviador de eventos de CB envía datos a Google Security Operations, deberías ver lo siguiente en el registro. Puedes encontrar el registro en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Información de contacto

Preguntas técnicas, incluida la ayuda con las instrucciones de este documento: forwarder@chronicle.security

Preguntas generales: product@chronicle.security

Preguntas sobre ventas: ventas@chronicle.security

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.