Přeskočit obsah

Sběr z Bitdefender GravityZone

TeskaLabs LogMan.io podporuje příjem bezpečnostních a provozních událostí z Bitdefender GravityZone pomocí push mechanismu popsaného v oficiální dokumentaci GravityZone API. To umožňuje organizacím bezproblémově integrovat data o ochraně koncových bodů do jejich centralizovaného SIEM pro korelaci, analýzu a reportování shody.

Požadovaná konfigurace

Bitdefender GravityZone je navržen tak, aby posílal události přes HTTPS do externího systému. Místo dotazování nebo periodického získávání dat, GravityZone aktivně odesílá logové zprávy, kdykoli dojde k relevantním bezpečnostním událostem. Pro povolení této integrace musíte nakonfigurovat GravityZone tak, aby směřoval na veřejnou IP adresu, kterou ovládáte. Na přijímací straně musí být LogMan.io Collector nasazen a správně nakonfigurován, aby naslouchal na této IP adrese a přijímal HTTPS připojení.

Tato konfigurace zajišťuje:

  • Doručení bezpečnostních událostí v reálném čase bez zpoždění.
  • Bezpečný přenos logových dat pomocí šifrovaného HTTPS.
  • Přímou integraci do pipeline LogMan.io, kde jsou události analyzovány, normalizovány a zpřístupněny pro korelaci s ostatními zdroji logů.

V praxi to znamená, že Collector by měl být přístupný na internetu (nebo prostřednictvím potřebných pravidel firewall/NAT), aby GravityZone mohl úspěšně dosáhnout a doručit události.

Konfigurace Bitdefender GravityZone

Pro povolení sběru logů na bázi push musíte nejprve vytvořit a nakonfigurovat API klíč v cloudovém portálu Bitdefender GravityZone. Tento klíč je nutný pro autentizaci služby push notifikací a správu konfigurace doručování událostí. Také poskytuje přístup k statistikám a informacím o stavu služby push.

Postupujte podle těchto kroků:

1) Přihlaste se do portálu GravityZone

Přejděte na stránku podrobností o vašem účtu v portálu Bitdefender GravityZone.

2) Najděte sekci API klíče

Klikněte na ikonu uživatele v pravém horním rohu konzole a vyberte Můj účet.

Pokud má váš účet dostatečné administrativní oprávnění, uvidíte sekci „API klíče“ blízko spodní části stránky.

3) Vytvořte nový klíč

Klikněte na „Přidat“ pro vytvoření nového API klíče.

  • Zadejte smysluplný popis (např. "TeskaLabs LogMan.io Event Push").
  • Ujistěte se, že zaškrtnete políčko označené „Event Push Service API“ a „Network“. Tato možnost konkrétně umožňuje použití klíče pro konfiguraci a získávání nastavení push notifikací.

4) Zkopírujte hodnotu klíče

Po vytvoření klíče klikněte na modrou hodnotu klíče, aby se zobrazila. Poté klikněte na ikonu schránky, abyste zkopírovali API klíč do schránky vašeho počítače.

5) Uložte klíč bezpečně

Uložte API klíč na bezpečné místo. Budete ho potřebovat později během konfigurace LogMan.io Collector pro autentizaci a dokončení integrace.

Konfigurace LogMan.io Collector

Jakmile máte připravený API klíč v GravityZone, dalším krokem je nakonfigurovat LogMan.io Collector, aby mohl bezpečně přijímat a zpracovávat příchozí proud událostí.

Danger

Bitdefender GravityZone posílá push notifikace přes TCP port 443 (HTTPS). Ujistěte se, že je tento port přístupný z Internetu, nebo že jsou nastavena potřebná pravidla firewall/NAT, aby LogMan.io Collector mohl přijímat příchozí připojení. V současnosti neexistuje způsob, jak nastavit jiný port než 443. Pokud je to nutné, použijte proxy (např. NGINX) před Collectorem.

Níže je ukázka konfiguračního úryvku pro LogMan.io Collector:

input:Bitdefender:GravityZone:
  listen: 443 ssl
  authorization: "Bearer <The secret token>"
  output: bitdefender-gz

output:CommLink:bitdefender-gz: {}

Hlavní body konfigurace:

  • listen: 443 ssl

Nastavuje Collector, aby naslouchal na příchozí HTTPS připojení na portu 443. SSL/TLS je vyžadováno pro vytvoření bezpečného kanálu pro doručování logů. Bitdefender GravityZone vyžaduje alespoň TLS 1.2.

  • authorization

Specifikuje token, který GravityZone musí předložit, aby mohla odesílat data.

Danger

Nahraďte <The secret token> unikátním, dostatečně dlouhým a bezpečným tokenem. Tento token slouží jako autentizační mechanismus, aby bylo zajištěno, že pouze vaše důvěryhodná instance GravityZone může doručovat události.

Tip

Doporučujeme omezit přístup k tomuto konektoru pouze z IP whitelistu.

Povolení integrace

Jakmile jsou oba GravityZone a LogMan.io Collector nakonfigurovány, musíte povolit službu push, aby GravityZone začal doručovat události na váš koncový bod Collector. To se provádí vyvoláním pomocného skriptu, který je součástí kontejneru LogMan.io Collector.

$ docker exec \
  -e API_KEY="<API key>" \
  lmio-collector \
  python3 bitdefender.py set \
    --auth-header "Bearer <The secret token>" \
    --url https://<Collector IP address>/bitdefender-gz

Vysvětlení parametrů

  • API_KEY

API klíč, který jste vytvořili dříve v portálu GravityZone (s povoleným Event Push Service API). Tento klíč autorizuje LogMan.io Collector k konfiguraci nastavení push notifikací v GravityZone.

  • --auth-header "Bearer <The secret token>"

Stejný token, který jste nakonfigurovali v poli autorizace Collectoru. GravityZone zahrne tuto hodnotu do každého HTTPS požadavku, což umožní LogMan.io Collector ověřit zdroj.

  • --url https://<Collector IP address>/bitdefender-gz

Veřejně přístupná URL vašeho LogMan.io Collector. Nahraďte <Collector IP address> skutečnou veřejnou IP nebo DNS jménem vašeho LogMan.io Collector. Cesta /bitdefender-gz je koncový bod, který bude zpracovávat push události z GravityZone.

Očekávaná odpověď

Pokud je nastavení úspěšné, GravityZone odpoví potvrzením ve formátu JSON-RPC:

{
  "id": "1",
  "jsonrpc": "2.0",
  "result": true
}

To naznačuje, že služba push byla povolena a že GravityZone nyní začne přímo odesílat události na váš LogMan.io Collector. Může trvat až 10 minut, než se první logy objeví v TeskaLabs LogMan.io.

Řešení problémů

Skripty zahrnuté v balíčku poskytují více možností pro řešení problémů s integrací Bitdefender GravityZone:

  • get: Získat aktuální nastavení push událostí (getPushEventSettings)
  • get-stats: Získat statistiky push událostí (getPushEventStats)
  • reset-stats: Resetovat statistiky push událostí (resetPushEventStats)
  • test: Odeslat testovací push událost (sendTestPushEvent)

Příklad:

$ docker exec -e 
  -e API_KEY="<API key>" \
  lmio-collector \
  python3 bitdefender.py test