Carbon Black Event Forwarder をインストールする

はじめに

このドキュメントでは、Chronicle にエンドポイント テレメトリーを送信するように、Carbon Black(CB)の Event Forwarder を構成するプロセスを詳しく説明します。

クイックスタート ガイド

大まかには、いくつかの項目を含む公式の CB Event Forwarder(こちら)のクイックスタート ガイドに従います。

  1. CB Event Forwarder を CB Response サーバーに直接、または別の VM にインストールします。
  2. Chronicle に送信するイベントが CB Response サーバーで構成されていることを確認します。
  3. CB Event Forwarder の構成にいくつかのフィールドを構成し、Chronicle へのイベントの送信を有効にします。

CB Response を構成する

目的のイベントをエクスポートするように CB Response を構成します。詳しい背景情報については、公式 CB Event Forwarder ドキュメントの CB Response を構成するをご覧ください。

たとえば、CB Response サーバーでも実行される CB Event Forwarder を介したネットワーク接続イベントのエクスポートを有効にする場合は、次の操作を行います。

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

CB Event Forwarder を構成する

HTTP(S) を使用して Chronicle Ingestion API にデータをエクスポートするように、CB Event Forwarder を構成します。詳しい背景情報については、公式の CB Event Forwarder のドキュメントの cb-event-forwarder を構成するをご覧ください。

CB Event Forwarder を構成するには、複数のフラグが必要です。Google では、これらのフラグを含む構成を提供しています。

  1. 公式の CB Event Forwarder の構成をバックアップします。
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
  1. cb-event-forwarder.conf で次のフィールドを更新します。
// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.
 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

は、指定された Backstory Ingestion API キーに置き換えます。

CB Event Forwarder の開始と停止

公式の CB Event Forwarder のドキュメントのサービスの開始と停止をご覧ください。

入門ガイド

CB Event Forwarder が起動しない場合のデバッグ方法

起動エラーは /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log に記録されます。

CB Event Forwarder が Chronicle にデータを送信していることを確認する方法

CB Event Forwarder が Chronicle にデータを送信している場合は、ログに次の内容が表示されます。ログは /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log にあります。

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

連絡先情報

このドキュメントにあるガイドのヘルプなど、技術的な質問: forwarder@chronicle.security

一般的な質問: product@chronicle.security

セールスに関する質問: sales@chronicle.security