Menginstal Penerusan Peristiwa Carbon Black

Pengantar

Dalam dokumen ini, kami akan menjelaskan proses mengonfigurasi Penerusan Peristiwa Carbon Black (CB) agar dapat mengirimkan telemetri endpoint ke Chronicle.

Panduan Memulai

Secara umum, kami akan mengikuti panduan memulai dari Forwarder Event CB resmi (lihat di sini) dengan beberapa item sebagai berikut:

1. Instal CB Event Forwarder secara langsung di server CB Response, atau di VM lain.
2. Pastikan peristiwa yang diinginkan untuk dikirim ke Chronicle dikonfigurasi di server CB Response.
3. Konfigurasikan beberapa kolom di konfigurasi CB Event Forwarder untuk mengaktifkan pengiriman peristiwa ke Chronicle

Konfigurasi Respons CB

Konfigurasi Respons CB untuk mengekspor peristiwa yang diinginkan. Lihat Konfigurasi CB Response pada dokumentasi CB Event Forwarder resmi untuk mengetahui latar belakang selengkapnya.

Misalnya, jika Anda ingin mengaktifkan ekspor peristiwa koneksi jaringan melalui penerusan peristiwa CB yang juga berjalan di server Respons CB, Anda harus melakukan hal berikut:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Mengonfigurasi Penerusan Peristiwa CB

Konfigurasikan CB Event Forwarder untuk mengekspor data menggunakan HTTP(S) ke Chronicle Ingestion API. Lihat Mengonfigurasi cb-event-forwarder dalam dokumentasi CB Event Forwarder resmi untuk mengetahui latar belakang selengkapnya.

Sejumlah tanda diperlukan untuk mengonfigurasi CB Event Forwarder. Kami akan memberi Anda konfigurasi dengan tanda tersebut.

1. Cadangkan konfigurasi CB Event Forwarder resmi:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

1. Perbarui kolom berikut di cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

Jangan lupa mengganti dengan kunci Backstory Ingestion API yang telah Anda berikan.

Memulai dan Menghentikan Penerusan Peristiwa CB

Lihat Memulai dan Menghentikan Layanan dari dokumentasi Event Forwarder CB resmi.

Petunjuk

Cara Men-debug Jika CB Event Forwarder Gagal Memulai

Error pengaktifan akan dicatat ke /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Cara Mencari Tahu Bahwa Penerusan Peristiwa CB Mengirim Data ke Chronicle

Jika CB Event Forwarder mengirim data ke Chronicle, Anda akan melihat hal berikut di log. Log dapat ditemukan di /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Info Kontak

Pertanyaan Teknis, termasuk bantuan dalam petunjuk ini dalam dokumen ini: forwarder@chronicle.security

Pertanyaan Umum: product@chronicle.security

Pertanyaan Penjualan: sales@chronicle.security