Envío de eventos desde GravityZone Cloud a SIEM que carecen de oyentes HTTPS

Este artículo tiene como objetivo ayudarlo a construir un conector entre las soluciones GravityZone y SIEM que no tienen oyentes HTTPS para eventos.

Bitdefender GravityZone, la plataforma en la nube, puede proporcionar alertas sobre eventos de seguridad en los estándares de mensajes CEF y JSON.
Estas alertas se envían a través de la API del servicio Event Push. Las API de GravityZone se exponen mediante el protocolo JSON-RPC 2.0 que se especifica aquí . Para obtener detalles sobre la API de GravityZone, consulte la documentación disponible:

Si su SIEM no tiene oyentes HTTP / HTTPS, pero admite un servicio Syslog, debe crear un conector Node.js.

El conector utiliza el método POST para recibir mensajes autenticados y seguros de la API del servicio de inserción de eventos de GravityZone. Analiza el mensaje y luego lo reenvía a un servidor Syslog local o remoto. Puede utilizar el servidor Syslog para enviar estos mensajes al SIEM.

Para construir el conector, siga los pasos que se describen en las secciones siguientes:

  1. Asegúrate de cumplir con los requisitos previos.
  2. Configurar GravityZone para enviar mensajes al SIEM
  3. Cree el certificado de seguridad para la autenticación
  4. Compila el conector de Node.js
  5. Prueba el conector

Prerrequisitos

    • Conocimientos básicos de Linux
    • Conocimientos avanzados de Node.js
    • Solución en la nube GravityZone
    • Una clave API de GravityZone que cubre la API del servicio Event Push
    • Servidor Ubuntu 20.04 LTS con la siguiente configuración: 
      • Hardware: 
        • 1 CPU
        • 2 GB de RAM
        • NIC virtual de 1 Gbit
        • Disco duro de 80 GB
      • Node.js instalado con la versión 8.1.xo superior de Node
      • OpenSSL instalado
      NotaNota:
      esta configuración puede soportar un entorno de hasta 15000 puntos finales. El uso de la CPU y la red aumentará proporcionalmente con la cantidad de puntos finales.

Configurar GravityZone para enviar mensajes al SIEM

  1. Todos los ajustes de la API del servicio Event Push se configuran mediante el método setPushEventSettings . Para obtener información detallada sobre estas configuraciones, consulte la sección Push de la Guía de la API de GravityZone.

    Acceda a la guía adecuada para usted:

    Una vez configurado, espere unos 10 minutos hasta que la configuración surta efecto y luego realice una solicitud mediante getPushEventSettings . El método devuelve la cadena de autorización como “autorización”: “ . Guarde la cadena de autorización porque la necesitará más adelante.

Relativo a esta tecnología