Instala Carbon Black Event Forwarder

Se admite en los siguientes países:

Introducción

En este documento, analizaremos el proceso de configuración del reenviador de eventos de Carbon Black (CB) para que envíe telemetría de extremos a Google Security Operations.

Guía de inicio rápido

En términos generales, seguiremos la guía de inicio rápido de CB Event Forwarder oficial (consulta aquí) con algunos elementos:

  1. Instala el reenviador de eventos de CB directamente en el servidor de CB Response o en otra VM.
  2. Asegúrate de que los eventos que desees que se envíen a Google Security Operations estén configurados en el servidor de respuesta de CB.
  3. Configura algunos campos en la configuración del reenviador de eventos de CB para habilitar el envío de eventos a Google Security Operations

Configurar respuesta de CB

Configura CB Response para exportar los eventos deseados. Consulta Configurar la respuesta de CB en la documentación oficial del Reenviador de eventos de CB para obtener más información.

Por ejemplo, si quieres habilitar la exportación de eventos de conexión de red a través de un servidor de reenvío de eventos CB que también se ejecuta en el servidor de respuesta de CB, debes hacer lo siguiente:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configura el reenvío de eventos de CB

Configura CB Event Forwarder para exportar datos con HTTP(S) a la API de transferencia de Google Security Operations. Consulta Cómo configurar cb-event-forwarder en la documentación oficial de CB Event Forwarder para obtener más información.

Se necesitan varias marcas para configurar el reenviador de eventos de CB. Te proporcionaremos una configuración con esas marcas.

  1. Crea una copia de seguridad de la configuración oficial del reenviador de eventos de CB:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
  1. Actualiza los siguientes campos en cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}

Recuerda reemplazar por la clave de API de transferencia de Backstory que se te proporcionó.

Inicia y detén CB Event Forwarder

Consulta Cómo iniciar y detener el servicio en la documentación oficial del Reenviador de eventos de CB.

Instructivos

Cómo depurar si CB Event Forwarder no se inicia

Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cómo saber si CB Event Forwarder envía datos a Google Security Operations

Si CB Event Forwarder envía datos a Google Security Operations, deberías ver lo siguiente en el registro. Los registros se pueden encontrar en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Información de contacto

Preguntas técnicas, incluida la ayuda con las instrucciones de este documento: forwarder@chronicle.security

Preguntas generales: product@chronicle.security

Preguntas de ventas: sales@chronicle.security