Installare Carbon Black Event Forwarder

Introduzione

In questo documento, analizzeremo il processo di configurazione dello strumento di inoltro degli eventi Carbon Black (CB) in modo che invii la telemetria degli endpoint a Google Security Operations.

Guida rapida

A livello generale, seguiremo la guida rapida dello strumento di inoltro degli eventi CB ufficiale (vedi qui) con alcune informazioni:

1. Installa il servizio di forwarding degli eventi di Chromebook direttamente sul server di risposta di Chromebook o su un'altra VM.
2. Assicurati che gli eventi desiderati da inviare a Google Security Operations siano configurati sul server di risposta di CB.
3. Configura alcuni campi nella configurazione di CB Event Forwarder per abilitare l'invio di eventi a Google Security Operations

Configura risposta di Chromebook

Configura la risposta di Chromebook per esportare gli eventi desiderati. Per ulteriori informazioni, consulta l'articolo sulla configurazione della risposta di Chromebook nella documentazione ufficiale di Chromebook Event Forwarder.

Ad esempio, se vuoi abilitare l'esportazione degli eventi di connessione di rete tramite un inoltro eventi di Chromebook anch'esso eseguito sul server di risposta di Chromebook, devi procedere come segue:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configura il forwarding degli eventi di Chromebook

Configura CB Event Forwarder per esportare i dati tramite HTTP(S) nell'API Google Security Operations Ingestion. Per ulteriori informazioni, consulta l'articolo sulla configurazione di cb-event-forwarder nella documentazione ufficiale di CB Event Forwarder.

Sono necessari una serie di flag per configurare il forwarding degli eventi di Chromebook. Ti forniremo una configurazione con questi flag.

1. Esegui il backup della configurazione ufficiale di inoltro eventi di Chromebook:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

1. Aggiorna i seguenti campi in cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

Ricordati di sostituire con la chiave API Backstory Ingestion che ti è stata fornita.

Avvio e arresto del servizio di inoltro eventi Chromebook

Consulta la sezione Avvio e interruzione del servizio nella documentazione ufficiale di CB Event Forwarder.

Procedure

Come eseguire il debug se lo strumento di inoltro eventi di Chromebook non viene avviato

Gli errori di avvio verranno registrati in /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Come scoprire che il servizio di inoltro di eventi della piattaforma CB invia dati a Google Security Operations

Se CB Event Forwarder invia dati a Google Security Operations, nel log dovresti vedere quanto segue. Il log è disponibile all'indirizzo /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Dati di contatto

Domande tecniche, inclusa l'assistenza su queste istruzioni nel presente documento: forwarder@chronicle.security

Domande generali: product@chronicle.security

Domande di vendita: sales@chronicle.security