Carbon Black Event Forwarder 설치
소개
이 문서에서는 엔드포인트 원격 분석이 Google Security Operations로 전송되도록 Carbon Black(CB) Event Forwarder를 구성하는 프로세스를 단계별로 설명합니다.
빠른 시작 가이드
개괄적으로 공식 CB Event Forwarder(여기 참조)의 빠른 시작 가이드를 따라 다음 몇 가지 항목을 살펴봅니다.
- CB Event Forwarder를 CB Response 서버 또는 다른 VM에 바로 설치하세요.
- CB Response 서버에 Google Security Operations로 전송하려는 이벤트가 구성되어 있는지 확인합니다.
- CB Event Forwarder 구성의 일부 필드를 구성하여 이벤트를 Google Security Operations로 전송할 수 있습니다.
CB Response 구성
CB Response를 구성하여 원하는 이벤트를 내보냅니다. 자세한 배경 정보는 공식 CB Event Forwarder 문서의 CB Response 구성을 참조하세요.
예를 들어 CB Response 서버에서도 실행되는 CB Event Forwarder를 통해 네트워크 연결 이벤트 내보내기를 설정하려는 경우 다음을 수행하세요.
# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
# * procstart (or process)
# * procend
# * childproc
# * moduleload
# * module
# * filemod
# * regmod
# * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn
CB Event Forwarder 구성
HTTP(S)를 사용하여 데이터를 Google Security Operations 수집 API로 내보내도록 CB Event Forwarder를 구성합니다. 자세한 배경 정보는 공식 CB Event Forwarder 문서의 cb-event-forwarder 구성을 참조하세요.
CB Event Forwarder를 구성하려면 여러 플래그가 필요합니다. 이러한 플래그가 포함된 구성이 제공됩니다.
- 공식 CB Event Forwarder 구성을 백업합니다.
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
- cb-event-forwarder.conf에서 다음 필드를 업데이트합니다.
// Update output_type from file to http.
output_type=http
// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>
// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod
// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.
// Do not send an empty update.
upload_empty_files=false
// Update the bundle size to 1MB.
bundle_size_max=1048576
// Update HTTP post template.
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}
CB Event Forwarder 시작 및 중지
공식 CB Event Forwarder 문서의 서비스 시작 및 중지를 참조하세요.
방법
CB Event Forwarder가 시작하지 않는 경우 디버깅하는 방법
시작 오류는 /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log에 로깅됩니다.
CB Event Forwarder에서 데이터를 Google Security Operations에 전송하는지 확인하는 방법
CB Event Forwarder에서 데이터를 Google Security Operations로 전송하는 경우 로그에 다음이 표시됩니다. 로그는 /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log에서 찾을 수 있습니다.
time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."
연락처 정보
본 문서의 안내에 대한 도움말을 비롯한 기술 관련 문의: forwarder@chronicle.security
일반적인 문의: product@chronicle.security
영업 관련 문의: sales@chronicle.security