Installer le service de transfert d'événements Carbon Black
Présentation
Dans ce document, nous allons vous expliquer comment configurer le transfert d'événements Carbon Black (CB) afin qu'il envoie des données de télémétrie de point de terminaison à Google Security Operations.
Guide de démarrage rapide
De manière générale, nous allons suivre le guide de démarrage rapide du Forwarder d'événements CB officiel (cliquez ici) avec quelques éléments comme suit:
- Installez le transfert d'événements CB directement sur le serveur de réponse CB ou sur une autre VM.
- Assurez-vous que les événements à envoyer à Google Security Operations sont configurés sur le serveur CB Response.
- Configurez quelques champs dans la configuration du transfert d'événements CB pour activer l'envoi d'événements à Google Security Operations.
Configurer la réponse CB
Configurez CB Response pour exporter les événements souhaités. Pour en savoir plus, consultez la section Configurer la réponse CB de la documentation officielle du transpondeur d'événements CB.
Par exemple, si vous souhaitez activer l'exportation d'événements de connexion réseau via un transfert d'événements CB qui s'exécute également sur le serveur de réponse CB, procédez comme suit:
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
Configurer le redirecteur d'événements CB
Configurez le transfert d'événements CB pour exporter des données à l'aide de HTTP(S) vers l'API Google Security Operations Ingestion. Pour en savoir plus, consultez la section Configurer cb-event-forwarder de la documentation officielle de CB Event Forwarder.
Un certain nombre d'indicateurs sont nécessaires pour configurer le Redirecteur d'événements CB. Nous vous fournirons une configuration avec ces indicateurs.
- Sauvegardez la configuration officielle du transpondeur d'événements CB:
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- Mettez à jour les champs suivants dans cb-event-forwarder.conf:
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
N'oubliez pas de remplacer
Démarrer et arrêter le redirecteur d'événements CB
Veuillez consulter la section Démarrer et arrêter le service de la documentation officielle du transfert d'événements CB.
Guide d'utilisation
Déboguer si le redirecteur d'événements CB ne démarre pas
Les erreurs de démarrage sont consignées dans /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.
Déterminer si le transfert d'événements CB envoie des données à Google Security Operations
Si le transfert d'événements CB envoie des données à Google Security Operations, le message suivant doit s'afficher dans le journal. Le journal se trouve à l'adresse /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log.
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
Coordonnées
Questions techniques, y compris pour obtenir de l'aide concernant les instructions de ce document: forwarder@chronicle.security
Questions d'ordre général: product@chronicle.security
Questions commerciales: sales@chronicle.security