Instalar o Carbon Black Event Forwarder

Introdução

Neste documento, vamos acompanhar o processo de configuração do Carbon Black (CB) Event Forwarder para que ele envie a telemetria de endpoint às Operações de segurança do Google.

Guia de início rápido

De modo geral, vamos seguir o guia de início rápido do encaminhador de eventos oficial do CB (consulte aqui) com alguns itens:

1. Instale o Encaminhador de eventos CB diretamente no servidor de resposta do CB ou em outra VM.
2. Verifique se os eventos que você quer enviar às Operações de segurança do Google estão configurados no servidor de resposta CB.
3. Defina alguns campos na configuração do Encaminhador de eventos do CB para ativar o envio de eventos às Operações de segurança do Google

Configurar resposta CB

Configure a resposta CB para exportar os eventos desejados. Para mais informações, consulte Configurar a resposta de CB (em inglês) na documentação oficial do encaminhador de eventos de CB.

Por exemplo, se você quiser ativar a exportação de eventos de conexão de rede por meio de um encaminhador de eventos CB que também é executado no servidor de resposta CB, faça o seguinte:

# If this property is not empty, it will enable publishing of incoming events from
# sensors onto RabbitMQ PUBSUB enterprise bus (see RabbitMQ (cb-rabbitmq service)
# settings in this file). The value of this property consists of one or more of the
# following comma-separated event types that should be published:
#   * procstart (or process)
#   * procend
#   * childproc
#   * moduleload
#   * module
#   * filemod
#   * regmod
#   * netconn
# If you wish to subscribe for ALL of the above events, '*' value can be specified.
# Each event type will be published to its own topic: ingress.event.<event type>
DatastoreBroadcastEventTypes=netconn

Configurar encaminhador de eventos de CB

Configure o Encaminhador de eventos do CB para exportar dados usando HTTP(S) para a API Ingestion do Google Security Operations. Para mais informações, consulte Configurar o cb-event-forwarder da documentação oficial do encaminhador de eventos do CB.

Várias flags são necessárias para configurar o encaminhador de eventos CB. Forneceremos uma configuração com essas sinalizações.

1. Faça backup da configuração oficial do encaminhador de eventos do CB:

// Go to the configuration folder.
$ cd /etc/cb/integrations/event-forwarder
$ cp cb-event-forwarder.conf cb-event-forwarder.conf.official

1. Atualize os seguintes campos em cb-event-forwarder.conf:

// Update output_type from file to http.
output_type=http

// Configure the Ingestion API endpoint.
httpout=https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries?key=<api-key>

// Only export the following Raw Sensor (endpoint) Events.
events_raw_sensor=ingress.event.childproc,ingress.event.emetmitigation,ingress.event.netconn,ingress.event.process,ingress.event.processblock,ingress.event.remotethread,ingress.event.tamper,ingress.event.filemod,ingress.event.regmod

// Update the following fields in the [http] section. Note that some fields with exactly the same field name appear in many sections. Make sure that you are updating the fields in the [http] section.

// Do not send an empty update.
upload_empty_files=false

// Update the bundle size to 1MB.
bundle_size_max=1048576

// Update HTTP post template.

 
http_post_template={"log_type": "CB_EDR", "entries":[{{range $index, $element := .Events}}{{if $index}},{{end}}{{printf "{\"log_text\":%q}" .EventText}}{{end}}]} 

Substitua pela chave da API Backstory Ingestion que você recebeu.

Como iniciar e interromper o encaminhador de eventos CB

Consulte Como iniciar e interromper o serviço na documentação oficial do encaminhador de eventos do CB.

Tutoriais

Como depurar se o encaminhador de eventos CB falhar na inicialização

Os erros de inicialização serão registrados em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.startup.log.

Como descobrir se o encaminhador de eventos CB está enviando dados para as operações de segurança do Google

Se o CB Event Forwarder estiver enviando dados para as Operações de segurança do Google, o seguinte vai aparecer no registro. O registro pode ser encontrado em /var/log/cb/integrations/cb-event-forwarder/cb-event-forwarder.log

time="2018-11-15T16:08:41-08:00" level=info msg="Enforcing minimum TLS version 1.2"
time="2018-11-15T16:08:41-08:00" level=info msg="Raw Event Filtering Configuration:"
time="2018-11-15T16:08:41-08:00" level=info msg="ingress.event.netconn: true"
time="2018-11-15T16:08:41-08:00" level=info msg="cb-event-forwarder version NOT FOR RELEASE starting"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXX.XXX.XXX.XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Interface address XXXX::XXX:XXXX:XXXX:XXX"
time="2018-11-15T16:08:41-08:00" level=info msg="Configured to capture events: [watchlist.# feed.# alert.# ingress.event.netconn binaryinfo.# binarystore.#]"
time="2018-11-15T16:08:41-08:00" level=info msg="Rolling file /var/cb/data/event-forwarder/event-forwarder to /var/cb/data/event-forwarder/event-forwarder.2018-11-15T16:08:41.481.restart"
time="2018-11-15T16:08:41-08:00" level=info msg="Initialized output: HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries\n"
...
time="2018-11-15T16:08:43-08:00" level=info msg="Successfully uploaded file /var/cb/data/event-forwarder/event-forwarder.2018-11-09T14:25:21.446 to HTTP POST https://malachiteingestion-pa.googleapis.com/v1/unstructuredlogentries."

Contact Info

Perguntas técnicas, incluindo ajuda sobre as instruções deste documento: forwarder@chronicle.security

Perguntas gerais: product@chronicle.security

Perguntas de vendas: sales@chronicle.security