Carbon Black Event Forwarder 설치

소개

이 문서에서는 엔드포인트 원격 분석을 Chronicle로 전송하도록 Carbon Black(CB) Event Forwarder를 구성하는 과정을 단계별로 설명합니다.

빠른 시작 가이드

개괄적으로 공식 CB Event Forwarder(여기 참조)의 빠른 시작 가이드를 따라 다음 몇 가지 항목을 살펴봅니다.

  1. CB Event Forwarder를 CB Response 서버 또는 다른 VM에 바로 설치하세요.
  2. CB Response 서버에 Chronicle로 전송하려는 이벤트가 구성되어 있는지 확인합니다.
  3. CB Event Forwarder 구성의 일부 필드를 구성하여 Chronicle로 이벤트 전송을 설정할 수 있습니다.

CB Response 구성

원하는 이벤트를 내보내도록 CB Response를 구성합니다. 자세한 배경 정보는 공식 CB Event Forwarder 문서의 CB Response 구성을 참조하세요.

예를 들어 CB Response 서버에서도 실행되는 CB Event Forwarder를 통해 네트워크 연결 이벤트 내보내기를 설정하려는 경우 다음을 수행하세요.

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

CB Event Forwarder 구성

HTTP(S)를 사용하여 데이터를 Chronicle Ingestion API로 내보내도록 CB Event Forwarder를 구성합니다. 자세한 배경 정보는 공식 CB Event Forwarder 문서의 cb-event-forwarder 구성을 참조하세요.

CB Event Forwarder를 구성하려면 여러 플래그가 필요합니다. 이러한 플래그를 포함한 구성이 제공됩니다.

  1. 공식 CB Event Forwarder 구성을 백업합니다.
// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official
  1. cb-event-forwarder.conf에서 다음 필드를 업데이트합니다.
// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.
 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

를 제공된 Backstory Ingestion API 키로 바꿔야 합니다.

CB Event Forwarder 시작 및 중지

공식 CB Event Forwarder 문서의 서비스 시작 및 중지를 참조하세요.

방법

CB Event Forwarder 시작 실패 시 디버깅 방법

시작 오류는 /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log에 로깅됩니다.

CB Event Forwarder가 Chronicle로 데이터를 전송하는지 확인하는 방법

CB Event Forwarder에서 Chronicle로 데이터를 전송하는 경우 로그에 다음이 표시됩니다. 로그는 /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log에서 찾을 수 있습니다.

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

연락처 정보

본 문서의 안내에 대한 도움말을 비롯한 기술 관련 문의: forwarder@chronicle.security

일반적인 문의: product@chronicle.security

영업 관련 문의: sales@chronicle.security