Instala Carbon Black Event Forwarder

Introducción

En este documento, analizaremos el proceso de configuración de Event Forwarder de Carbon Black (CB) para que envíe telemetría de extremos a Chronicle.

Guía de inicio rápido

En términos generales, seguiremos la guía de inicio rápido del agente oficial de CB Event Forwarder (consulta aquí) con algunos elementos como los siguientes:

1. Instala el CB Event Forwarder directamente en el servidor de respuesta de CB o en otra VM.
2. Asegúrate de que los eventos que deseas que se envíen a Chronicle estén configurados en el servidor de respuesta de CB.
3. Configurar algunos campos en la configuración de CB Event Forwarder para habilitar el envío de eventos a Chronicle

Configurar respuesta de CB

Configura la respuesta de CB para exportar los eventos deseados. Para obtener más información, consulta Configure CB Response de la documentación oficial de CB Event Forwarder.

Por ejemplo, si quieres habilitar la exportación de eventos de conexión de red a través de un servidor de reenvío de eventos de CB que también se ejecuta en el servidor de respuesta de CB, deberás hacer lo siguiente:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configurar CB Event Forwarder

Configura CB Event Forwarder para exportar datos con HTTP(S) a la API de transferencia de Chronicle. Para obtener más información, consulta Configure the cb-event-forwarder en la documentación oficial de CB Event Forwarder.

Se necesitan varias marcas para configurar el reenvío de eventos de CB. Te proporcionaremos una configuración con esas marcas.

1. Crea una copia de seguridad de la configuración oficial de CB Event Forwarder:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

1. Actualiza los siguientes campos en cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

Recuerda reemplazar por la clave de API de transferencia de Backstory que se te proporcionó.

Cómo iniciar y detener el reenvío de eventos de CB

Consulte Cómo iniciar y detener el servicio en la documentación oficial de CB Event Forwarder.

Instructivos

Cómo depurar si no se inicia CB Event Forwarder

Los errores de inicio se registrarán en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cómo averiguar si el servidor de reenvío de eventos de CB está enviando datos a Chronicle

Si CB Event Forwarder envía datos a Chronicle, deberías ver lo siguiente en el registro. Los registros se pueden encontrar en /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Información de contacto

Preguntas técnicas, incluida ayuda con las instrucciones de este documento: forwarder@chronicle.security

Preguntas generales: product@chronicle.security

Preguntas de ventas: sales@chronicle.security