Carbon Black-Event-Forwarder installieren

Einleitung

In diesem Dokument wird Schritt für Schritt erklärt, wie Sie den Carbon Black (CB) Event Forwarder so konfigurieren, dass er Endpunkttelemetrie an Google Security Operations sendet.

Kurzanleitung

Im Wesentlichen folgen wir der Kurzanleitung zum offiziellen CB Event Forwarder (siehe hier) mit einigen Elementen:

1. Installieren Sie den CB Event Forwarder entweder direkt auf dem CB Response-Server oder auf einer anderen VM.
2. Achten Sie darauf, dass die Ereignisse, die an Google Security Operations gesendet werden sollen, auf dem CB-Antwortserver konfiguriert sind.
3. Konfigurieren Sie einige Felder in der Konfiguration von CB Event Forwarder, um das Senden von Ereignissen an Google Security Operations zu ermöglichen

Chromebook-Antwort konfigurieren

Konfigurieren Sie die Chromebook-Antwort so, dass die gewünschten Ereignisse exportiert werden. Weitere Hintergrundinformationen finden Sie in der offiziellen Dokumentation zu Event Forwarder unter CB-Antwort konfigurieren.

Wenn Sie beispielsweise den Export von Netzwerkverbindungsereignissen über eine CB-Ereignisweiterleitung aktivieren möchten, die auch auf dem CB Response-Server ausgeführt wird, gehen Sie so vor:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

CB Event Forwarder konfigurieren

Konfigurieren Sie CB Event Forwarder für den Export von Daten über HTTP(S) zur Google Security Operations Ingestion API. Weitere Hintergrundinformationen finden Sie in der offiziellen Dokumentation zu CB Event Forwarder unter cb-event-forwarder konfigurieren.

Zur Konfiguration von CB Event Forwarder sind mehrere Flags erforderlich. Wir stellen Ihnen eine Konfiguration mit diesen Flags zur Verfügung.

1. Sichern Sie die offizielle CB Event Forwarder-Konfiguration:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

1. Aktualisieren Sie die folgenden Felder in cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

Denken Sie daran, durch den Backstory Ingestion API-Schlüssel zu ersetzen, den Sie erhalten haben.

CB-Event-Forwarder starten und beenden

Weitere Informationen finden Sie in der offiziellen Dokumentation zu CB Event Forwarder unter Dienst starten und beenden.

Anleitungen

Fehlerbehebung, wenn der CB-Ereignis-Forwarder nicht gestartet werden kann

Startfehler werden in /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log protokolliert.

So finden Sie heraus, dass der CB-Ereignis-Forwarder Daten an Google Security Operations sendet

Wenn CB Event Forwarder Daten an Google Security Operations sendet, sollte Folgendes im Protokoll angezeigt werden. Das Protokoll finden Sie unter /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Kontaktdaten

Technische Fragen, einschließlich Hilfe zu dieser Anleitung in diesem Dokument: forwarder@chronicle.security

Allgemeine Fragen: product@chronicle.security

Fragen im Vertrieb: sales@chronicle.security