收集 Acalvio 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Acalvio 日志注入到 Google Security Operations。解析器首先使用 Grok 和键值模式匹配从原始 syslog 消息中提取字段,然后将提取的字段映射到 Google SecOps Unified Data Model (UDM) 架构,根据特定值对事件进行分类,最后使用严重程度和类别等安全相关信息丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 安装了 Acalvio ShadowPlex 集成服务器
- 对 Acalvio ShadowPlex 服务和实例的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ACALVIO' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Acalvio ShadowPlex 中配置 Syslog
- 登录 ShadowPlex Integration Server 界面。
- 依次前往设置 > SIEM。
- 提供以下配置详细信息:
- 点击启用切换开关。
- 主机名或 IP:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号。
- 协议:选择 UDP。
- 传感器:选择要从中流式传输数据的传感器。
- 点击测试并保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| adc_email | read_only_udm.target.user.email_addresses | 从 adc_email 字段中获取的值。 |
| 应用 | read_only_udm.principal.application | 从 app 字段中获取的值。 |
| 猫 | read_only_udm.security_result.summary | 从 cat 字段中获取的值。如果 cat 为 Vulnerability Exploited,则该值会被 Intrusion_method_used 字段的值覆盖。 |
| customer_id | read_only_udm.metadata.description | 值已添加到说明字段:CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id} |
| deviceProduct | read_only_udm.metadata.product_name | 从 deviceProduct 字段中获取的值。 |
| deviceVendor | read_only_udm.metadata.vendor_name | 从 deviceVendor 字段中获取的值。 |
| deviceVersion | read_only_udm.metadata.product_version | 从 deviceVersion 字段中获取的值。 |
| dstHostName | read_only_udm.target.hostname | 从 dstHostName 字段中获取的值。 |
| dstIp | read_only_udm.target.ip | 从 dstIp 字段中获取的值。 |
| dstMAC | read_only_udm.target.mac | 从 dstMAC 字段中获取的值。 |
| dstPort | read_only_udm.target.port | 从 dstPort 字段中获取的值并转换为整数。 |
| incidentid | read_only_udm.metadata.product_log_id | 从 incidentid 字段中获取的值。 |
| incidentSubCategory | read_only_udm.metadata.product_event_type、read_only_udm.security_result.description | 从 incidentSubCategory 字段中获取的值。 |
| Intrusion_method_used | read_only_udm.security_result.summary | 如果 cat 为 Vulnerability Exploited,则取自 Intrusion_method_used 字段的值。 |
| investigation_id | read_only_udm.metadata.description | 值已添加到说明字段:CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id} |
| job_id | read_only_udm.metadata.description | 值已添加到说明字段:CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id} |
| read_only_udm.metadata.event_type | 如果 srcIp 为 Unknown 或为空,则设置为 GENERIC_EVENT。否则,设置为 STATUS_UPDATE。 |
|
| read_only_udm.principal.resource.type | 硬编码为 scan_type。 |
|
| read_only_udm.security_result.category | 根据 cat、incidentSubCategory 和 sr_category 字段的值确定。 |
|
| read_only_udm.security_result.severity | 如果 severity 大于 7,则设置为 HIGH;如果 severity 大于 3,则设置为 MEDIUM;否则设置为 LOW。 |
|
| srcIp | read_only_udm.principal.ip | 从 srcIp 字段中获取的值。 |
| startTime | read_only_udm.metadata.event_timestamp | 从 startTime 字段中获取的值,并解析为时间戳。如果 startTime 为空,则该值设置为 %{ts_month} %{ts_day} %{ts_time}。 |
| userIdsUsed | read_only_udm.principal.user.userid | 从 userIdsUsed 字段中获取的值。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。