Installer le Carbon Black Event Forwarder

Introduction

Dans ce document, nous allons vous expliquer comment configurer le redirecteur d'événement Carbon Black (CB) afin qu'il envoie les données de télémétrie des points de terminaison à Chronicle.

Guide de démarrage rapide

Dans les grandes lignes, nous suivrons le guide de démarrage rapide de CB Event Forwarder (voir ici) le guide de démarrage rapide ci-dessous:

  1. Installez le redirecteur d'événement CB soit directement sur le serveur de réponse CB, soit sur une autre VM.
  2. Assurez-vous que les événements souhaités à envoyer à Chronicle sont configurés sur le serveur CB Response.
  3. Configurez quelques champs de la configuration de CB Event Forwarder pour permettre l'envoi d'événements à Chronicle

Configurer la réponse CB

Configurez la réponse CB pour exporter les événements souhaités. Pour en savoir plus, consultez la section Configurer la réponse CB de la documentation officielle de CB Event Forwarder.

Par exemple, si vous souhaitez autoriser l'exportation des événements de connexion réseau via un redirecteur d'événements CB qui s'exécute également sur le serveur de réponse CB, procédez comme suit:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configurer le redirecteur d'événement CB

Configurez CB Event Forwarder pour exporter des données à l'aide de HTTP(S) vers l'API d'ingestion Chronicle. Pour en savoir plus, consultez la section Configurer le cb-event-forwarder de la documentation officielle de CB Event Forwarder.

Un certain nombre d'indicateurs sont nécessaires pour configurer CB Event Forwarder. Nous vous fournirons une configuration avec ces indicateurs.

  1. Sauvegardez la configuration officielle de CB Event Forwarder:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
  1. Mettez à jour les champs suivants dans cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.
 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

N'oubliez pas de remplacer par la clé API Backstory Ingestion que vous avez fournie.

Démarrer et arrêter le redirecteur d'événement CB

Veuillez consulter la section Démarrer et arrêter le service de la documentation officielle de CB Event Forwarder.

Guide d'utilisation

Comment déboguer si le redirecteur d'événements CB ne parvient pas à démarrer

Les erreurs de démarrage sont consignées dans /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Comment savoir si le redirecteur d'événements CB envoie des données à Chronicle ?

Si l'outil de transfert d'événements CB envoie des données à Chronicle, vous devriez voir ce qui suit dans le journal. Le journal se trouve sous /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Coordonnées

Questions techniques, y compris l'aide concernant les instructions de ce document: forwarder@chronicle.security

Questions d'ordre général: product@chronicle.security

Questions commerciales: sales@chronicle.security