Installer le redirecteur d'événements Carbon Black
Introduction
Dans ce document, nous allons suivre le processus de configuration du système de transfert d'événements Carbon Black (CB) afin qu'il envoie la télémétrie des points de terminaison à Google Security Operations.
Guide de démarrage rapide
De manière générale, nous allons suivre le guide de démarrage rapide du CB Event Forwarder officiel (voir ici) en indiquant quelques points:
- Installez le redirecteur d'événements CB directement sur le serveur de réponse CB ou sur une autre VM.
- Assurez-vous que les événements à envoyer à Google Security Operations sont configurés sur le serveur de réponse CB.
- Configurez quelques champs dans la configuration du redirecteur d'événements CB pour activer l'envoi d'événements à Google Security Operations
Configurer la réponse CB
Configurez la réponse CB pour exporter les événements souhaités. Pour en savoir plus, consultez Configurer la réponse CB dans la documentation officielle du service de transfert d'événements CB.
Par exemple, si vous souhaitez activer l'exportation d'événements de connexion réseau via un redirecteur d'événements CB qui s'exécute également sur le serveur de réponse CB, procédez comme suit:
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
Configurer le redirecteur d'événements CB
Configurez CB Event Forwarder pour exporter les données à l'aide de HTTP(S) vers l'API Google Security Operations Ingestion. Pour en savoir plus, consultez Configurer cb-event-forwarder dans la documentation officielle de CB Event Forwarder.
Un certain nombre d'options sont nécessaires pour configurer le redirecteur d'événements CB. Nous vous fournirons une configuration avec ces indicateurs.
- Sauvegardez la configuration officielle du système de transfert d'événement CB:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- Mettez à jour les champs suivants dans cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
N'oubliez pas de remplacer
Démarrage et arrêt du système de transfert d'événements CB
Veuillez consulter Démarrer et arrêter le service dans la documentation officielle du service de transfert d'événements CB.
Guide d'utilisation
Déboguer si le système de transfert d'événement CB échoue
Les erreurs de démarrage seront consignées dans /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.
Comment savoir que le redirecteur d'événements CB envoie des données à Google Security Operations
Si le redirecteur d'événements CB envoie des données à Google Security Operations, vous devriez voir ce qui suit dans le journal. Le journal est disponible sur /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
Coordonnées
Questions techniques, y compris pour obtenir de l'aide concernant les instructions fournies dans ce document: forwarder@chronicle.security
Questions d'ordre général: product@chronicle.security
Questions commerciales: sales@chronicle.security