Esta página foi traduzida pela API Cloud Translation.

Instalar o encaminhador de eventos do Carbon Black

Compatível com:

Google SecOps SIEM

Introdução

Neste documento, vamos explicar o processo de configuração do encaminhador de eventos do Carbon Black (CB) para que ele envie a telemetria do endpoint às Operações de segurança do Google.

Guia de início rápido

De forma geral, vamos seguir o guia de início rápido do encaminhador de eventos do CB oficial (confira aqui) com alguns itens:

Instale o encaminhador de eventos do CB diretamente no servidor de resposta do CB ou em outra VM.
Verifique se os eventos que você quer enviar ao Google Security Operations estão configurados no servidor do CB Response.
Configurar alguns campos na configuração do encaminhador de eventos do CB para ativar o envio de eventos ao Google Security Operations

Configurar a resposta de CB

Configure a CB Response para exportar os eventos desejados. Consulte Configurar a resposta do CB na documentação oficial do encaminhador de eventos do CB para mais informações.

Por exemplo, se você quiser ativar a exportação de eventos de conexão de rede por um encaminhador de eventos do CB que também é executado no servidor de resposta do CB, faça o seguinte:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configurar o encaminhador de eventos do CB

Configure o encaminhador de eventos do CB para exportar dados usando HTTP(S) para a API Google Security Operations Ingestion. Consulte Configurar o cb-event-forwarder da documentação oficial do CB Event Forwarder para mais informações.

Várias flags são necessárias para configurar o encaminhador de eventos do CB. Vamos fornecer uma configuração com essas flags.

Faça backup da configuração oficial do encaminhador de eventos do CB:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

Atualize os seguintes campos em cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]}

Substitua pela chave da API Backstory Ingestion que você recebeu.

Como iniciar e interromper o encaminhamento de eventos do CB

Consulte Como iniciar e interromper o serviço na documentação oficial do encaminhador de eventos do CB.

Tutoriais

Como depurar se o encaminhador de eventos do CB não conseguir iniciar

Os erros de inicialização serão registrados em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Como descobrir se o encaminhador de eventos do CB está enviando dados para o Google Security Operations

Se o encaminhador de eventos do CB estiver enviando dados para o Google Security Operations, você vai encontrar o seguinte no registro. O registro pode ser encontrado em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Contact Info

Perguntas técnicas, incluindo ajuda sobre as instruções deste documento: forwarder@chronicle.security

Perguntas gerais: product@chronicle.security

Perguntas sobre vendas: sales@chronicle.security