Carbon Black Event Forwarder をインストールする
はじめに
このドキュメントでは、Google Security Operations にエンドポイント テレメトリーを送信するように、Carbon Black(CB)の Event Forwarder を構成するプロセスを詳しく説明します。
クイックスタート ガイド
大まかには、いくつかの項目を含む公式の CB Event Forwarder(こちら)のクイックスタート ガイドに従います。
- CB Event Forwarder を CB Response サーバーに直接、または別の VM にインストールします。
- Google Security Operations に送信するイベントが CB Response サーバーで構成されていることを確認します。
- CB Event Forwarder の構成にいくつかのフィールドを構成し、Google Security Operations へのイベントの送信を有効にします。
CB Response を構成する
目的のイベントをエクスポートするように CB Response を構成します。詳しい背景情報については、公式 CB Event Forwarder ドキュメントの CB Response を構成するをご覧ください。
たとえば、CB Response サーバーでも実行される CB Event Forwarder を介したネットワーク接続イベントのエクスポートを有効にする場合は、次の操作を行います。
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
CB Event Forwarder を構成する
HTTP(S) を使用して Google Security Operations Ingestion API にデータをエクスポートするように CB Event Forwarder を構成します。詳しい背景情報については、公式の CB Event Forwarder のドキュメントの cb-event-forwarder を構成するをご覧ください。
CB Event Forwarder を構成するには、複数のフラグが必要です。Google では、これらのフラグを含む構成を提供しています。
- 公式の CB Event Forwarder の構成をバックアップします。
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- cb-event-forwarder.conf で次のフィールドを更新します。
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
CB Event Forwarder の開始と停止
公式の CB Event Forwarder のドキュメントのサービスの開始と停止をご覧ください。
入門ガイド
CB Event Forwarder が起動しない場合のデバッグ方法
起動エラーは /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log に記録されます。
CB Event Forwarder が Google Security Operations にデータを送信していることを確認する方法
CB Event Forwarder が Google Security Operations にデータを送信している場合は、ログに次の内容が表示されます。ログは /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log にあります。
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
連絡先情報
このドキュメントにあるガイドのヘルプなど、技術的な質問: forwarder@chronicle.security
一般的な質問: product@chronicle.security
セールスに関する質問: sales@chronicle.security