收集 FireEye NX 記錄檔

本文說明如何使用 Google 安全作業轉送器收集 FireEye Network Security and Forensics (NX) 記錄。

詳情請參閱「將資料匯入 Google SecOps 總覽」。

擷取標籤可識別剖析器，將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 FIREEYE_NX 攝入標籤的剖析器。

設定 FireEye NX

1. 登入 FireEye NX 介面。
2. 依序前往「設定」>「通知」。
3. 如要啟用 syslog 通知設定，請勾選「rsyslog」核取方塊。
4. 按一下「新增 rsyslog 伺服器」。
5. 在「Name」欄位中，輸入 FireEye 連線的標籤名稱，以便連線至 Google SecOps 執行個體。
6. 在「IP 位址」欄位中，輸入 Google SecOps 轉送器 IP 位址。
7. 勾選「Enabled」(已啟用) 核取方塊。
8. 在「Delivery」清單中，選取「Per event」。
9. 在「通知」清單中，選取「所有事件」。
10. 在「Format」清單中，選取「CEF」。
11. 請勿在「帳戶」欄位中輸入任何資訊。
12. 在「Protocol」清單中，選取通訊協定。

13. 按一下「新增 rsyslog 伺服器」。

設定 Google SecOps 轉送器，以便擷取 FireEye NX 記錄

1. 在 Google SecOps 選單中，依序選取「設定」>「轉送器」>「新增轉送器」。
2. 在「轉介器名稱」欄位中，輸入轉介器的專屬名稱。
3. 按一下「提交」。系統會新增轉送器，並顯示「Add collector configuration」視窗。
4. 在「收集器名稱」欄位中，輸入收集器的專屬名稱。
5. 在「Log type」欄位中指定 FireEye NX。
6. 選取「Syslog」做為「收集器類型」。
7. 設定下列輸入參數：
   • Protocol：指定收集器用來監聽 syslog 資料的連線通訊協定。
   • Address：指定收集器所在位置和收聽 syslog 資料的目標 IP 位址或主機名稱。
   • Port：指定收集器所在位置的目標連接埠，並監聽 syslog 資料。
8. 點選「提交」。

如要進一步瞭解 Google SecOps 轉送器，請參閱「透過 Google SecOps UI 管理轉送器設定」。

如果在建立轉送器時遇到問題，請與 Google SecOps 支援團隊聯絡。