Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Acalvio

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Acalvio ke Google Security Operations menggunakan Bindplane. Parser pertama-tama mengekstrak kolom dari pesan syslog mentah menggunakan pencocokan pola nilai kunci dan grok, lalu memetakan kolom yang diekstrak tersebut ke skema Model Data Terpadu (UDM) Google SecOps, mengategorikan peristiwa berdasarkan nilai tertentu, dan terakhir memperkaya data dengan informasi terkait keamanan seperti tingkat keparahan dan kategori.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Menginstal Server Integrasi Acalvio ShadowPlex
Akses istimewa ke layanan dan instance Acalvio ShadowPlex

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ACALVIO'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Acalvio ShadowPlex

Login ke UI Server Integrasi ShadowPlex.
Buka Settings > SIEM.
Berikan detail konfigurasi berikut:
- Klik tombol Aktifkan.
- Nama host atau IP: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane.
- Protocol: Pilih UDP.
- Sensor: Pilih Sensor tempat data di-streaming.
Klik Uji dan Simpan.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
adc_email	read_only_udm.target.user.email_addresses	Nilai diambil dari kolom `adc_email`.
aplikasi	read_only_udm.principal.application	Nilai diambil dari kolom `app`.
kucing	read_only_udm.security_result.summary	Nilai diambil dari kolom `cat`. Jika `cat` adalah `Vulnerability Exploited`, nilai akan ditimpa dengan nilai kolom `Intrusion_method_used`.
customer_id	read_only_udm.metadata.description	Nilai ditambahkan ke kolom deskripsi: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
deviceProduct	read_only_udm.metadata.product_name	Nilai diambil dari kolom `deviceProduct`.
deviceVendor	read_only_udm.metadata.vendor_name	Nilai diambil dari kolom `deviceVendor`.
deviceVersion	read_only_udm.metadata.product_version	Nilai diambil dari kolom `deviceVersion`.
dstHostName	read_only_udm.target.hostname	Nilai diambil dari kolom `dstHostName`.
dstIp	read_only_udm.target.ip	Nilai diambil dari kolom `dstIp`.
dstMAC	read_only_udm.target.mac	Nilai diambil dari kolom `dstMAC`.
dstPort	read_only_udm.target.port	Nilai diambil dari kolom `dstPort` dan dikonversi menjadi bilangan bulat.
incidentid	read_only_udm.metadata.product_log_id	Nilai diambil dari kolom `incidentid`.
incidentSubCategory	read_only_udm.metadata.product_event_type, read_only_udm.security_result.description	Nilai diambil dari kolom `incidentSubCategory`.
Intrusion_method_used	read_only_udm.security_result.summary	Nilai diambil dari kolom `Intrusion_method_used` jika `cat` adalah `Vulnerability Exploited`.
investigation_id	read_only_udm.metadata.description	Nilai ditambahkan ke kolom deskripsi: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
job_id	read_only_udm.metadata.description	Nilai ditambahkan ke kolom deskripsi: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
	read_only_udm.metadata.event_type	Tetapkan ke `GENERIC_EVENT` jika `srcIp` adalah `Unknown` atau kosong. Jika tidak, setel ke `STATUS_UPDATE`.
	read_only_udm.principal.resource.type	Hardcode ke `scan_type`.
	read_only_udm.security_result.category	Ditentukan berdasarkan nilai kolom `cat`, `incidentSubCategory`, dan `sr_category`.
	read_only_udm.security_result.severity	Tetapkan ke `HIGH` jika `severity` lebih besar dari 7, `MEDIUM` jika `severity` lebih besar dari 3, dan `LOW` jika tidak.
srcIp	read_only_udm.principal.ip	Nilai diambil dari kolom `srcIp`.
startTime	read_only_udm.metadata.event_timestamp	Nilai diambil dari kolom `startTime` dan diuraikan sebagai stempel waktu. Jika `startTime` kosong, nilainya akan ditetapkan ke `%{ts_month} %{ts_day} %{ts_time}`.
userIdsUsed	read_only_udm.principal.user.userid	Nilai diambil dari kolom `userIdsUsed`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.