Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AlgoSec Security Management

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log AlgoSec Security Management ke Google Security Operations menggunakan Agen Bindplane. Parser mengekstrak kolom, menangani log berformat CEF dan non-CEF. Skrip ini mem-parsing kolom umum seperti stempel waktu, alamat IP, dan detail peristiwa, lalu memetakannya ke UDM berdasarkan produk (Suite, Firewall Analyzer, FireFlow) dan ID peristiwa, serta menetapkan kolom metadata dan hasil keamanan yang sesuai. Sistem ini juga menangani jenis peristiwa tertentu seperti login/logout, pemberitahuan administratif, dan laporan analisis, mengekstrak detail yang relevan, dan menetapkan tingkat keparahan.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke AlgoSec Firewall Analyzer, FireFlow, dan AppViz.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Firewall Analyzer

Login ke appliance AFA menggunakan SSH.
Buka direktori konfigurasi syslog-ng:
```
cd /etc/syslog-ng
```
Cadangkan konfigurasi yang ada:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edit file konfigurasi syslog-ng:
```
vi syslog-ng.conf
```

Tambahkan baris berikut untuk menentukan server syslog jarak jauh:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Ganti <bindplane-server-ip> dengan alamat IP agen Bindplane.

Simpan dan keluar dari editor.
Mulai ulang layanan syslog-ng untuk menerapkan perubahan:
```
service syslog-ng restart
```
Opsional: Verifikasi Konfigurasi Syslog:
1. Buka Administration > Syslog Server Settings.
2. Klik Uji Konektivitas.

Mengonfigurasi Syslog untuk FireFlow

Login ke mesin FireFlow sebagai root.
Buka file /etc/syslog.conf untuk mengedit.
```
vi /etc/syslog.conf
```
Tambahkan baris berikut ke file: local0.*@<BindplaneAgent>.
- Ganti <BindplaneAgent> dengan alamat IP server agen Bindplane.

Mengonfigurasi Syslog untuk AppViz

Login ke appliance AppViz melalui SSH.
Buka direktori konfigurasi syslog-ng:
```
cd /etc/syslog-ng
```
Cadangkan konfigurasi yang ada:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edit file konfigurasi syslog-ng:
```
vi syslog-ng.conf
```

Tambahkan kode berikut untuk menentukan server syslog jarak jauh:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Ganti <bindplane-server-ip> dengan alamat IP agen Bindplane.

Simpan dan keluar dari editor.
Mulai ulang layanan syslog-ng untuk menerapkan perubahan:
```
service syslog-ng restart
```
Verifikasi Konfigurasi Syslog:
1. Di antarmuka AppViz, buka Administration > Syslog Server Settings.
2. Klik Uji Konektivitas.

Mengonfigurasi Syslog untuk Peristiwa Login dan Logout

Login ke ASMS appliance melalui SSH.
Buka direktori konfigurasi syslog-ng:
```
cd /etc/syslog-ng
```
Cadangkan konfigurasi yang ada:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edit file konfigurasi syslog-ng:
```
vi syslog-ng.conf
```

Tambahkan kode berikut untuk menentukan server syslog jarak jauh:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Ganti <bindplane-server-ip> dengan alamat IP server syslog Anda.

Simpan dan keluar dari editor.
Mulai ulang layanan syslog-ng untuk menerapkan perubahan:
```
service syslog-ng restart
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`by_user`	`principal.user.user_display_name`	Nilai kolom `by_user` dari log mentah ditetapkan ke kolom UDM ini.
`collection_time`	`metadata.event_timestamp`	Kolom detik dan nanos digabungkan untuk membuat stempel waktu.
`comm`	`target.process.command_line`	Nilai kolom `comm` yang diekstrak dari kolom `desc` menggunakan grok ditetapkan ke kolom UDM ini.
`datetime`	`metadata.event_timestamp`	Tanggal dan waktu diekstrak dari log mentah dan digunakan untuk mengisi stempel waktu peristiwa.
`desc`	`metadata.description`	Nilai kolom `desc` dari log mentah ditetapkan ke kolom UDM ini jika tidak ada deskripsi lain yang tersedia.
`dest_ip`	`target.ip`	Nilai kolom `dest_ip` dari log mentah ditetapkan ke kolom UDM ini.
`dest_port`	`target.port`	Nilai kolom `dest_port` dari log mentah ditetapkan ke kolom UDM ini.
`details`	`security_result.summary`	Nilai kolom `details` dari log mentah ditetapkan ke kolom UDM ini.
`device`	`principal.asset.hostname`	Nilai kolom `device` dari log mentah ditetapkan ke kolom UDM ini.
`dst_ip`	`target.ip`	Nilai kolom `dst_ip` dari log mentah ditetapkan ke kolom UDM ini.
`dst_port`	`target.port`	Nilai kolom `dst_port` dari log mentah ditetapkan ke kolom UDM ini.
`event_id`	`metadata.product_event_type`	Nilai kolom `event_id` dari log mentah ditetapkan ke kolom UDM ini. Kolom ini juga digunakan dalam logika parser untuk menentukan `metadata.event_type` dan kolom lainnya.
`event_name`	`metadata.product_event_type`	Nilai kolom `event_name` dari log mentah ditetapkan ke kolom UDM ini.
`firewall`	`target.hostname`	Nilai kolom `firewall` dari log mentah ditetapkan ke kolom UDM ini.
`host`	`principal.hostname`	Nilai kolom `host` dari log mentah ditetapkan ke kolom UDM ini.
`host_type`	`principal.asset.category`	Nilai kolom `host_type` dari log mentah ditetapkan ke kolom UDM ini.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Jika nilainya adalah alamat IP, nilai tersebut dipetakan ke `principal.ip`, `target.ip`, atau `observer.ip`, bergantung pada sumber log dan jenis peristiwa. Jika berupa nama host, maka dipetakan ke `principal.hostname`, `target.hostname`, atau `observer.hostname`.
`IP`	`principal.ip`	Nilai kolom `IP` dari log mentah ditetapkan ke kolom UDM ini.
`kv_data`	`security_result.summary`	Nilai kolom `kv_data` dari log mentah ditetapkan ke kolom UDM ini.
`log_type`	`metadata.log_type`	Hardcode ke `ALGOSEC`.
`metric`	`security_result.action_details`	Nilai kolom `metric` dari log mentah ditetapkan ke kolom UDM ini.
`msg`	`security_result.summary`/`security_result.description`	Nilai kolom `msg` dari log mentah digunakan untuk mengisi ringkasan atau deskripsi hasil keamanan, bergantung pada konteksnya. Hal ini juga digunakan untuk mengekstrak kolom `risk_level`, `risk_count`, `risk_code`, dan `risk_title`.
`pid`	`target.process.pid`	Nilai kolom `pid` yang diekstrak dari kolom `desc` menggunakan grok ditetapkan ke kolom UDM ini.
`product`	`metadata.product_name`	Nilai kolom `product` dari log mentah ditetapkan ke kolom UDM ini.
`report`	`security_result.description`	Nilai kolom `report` dari log mentah disertakan dalam deskripsi hasil keamanan.
`report_data.Device IP`	`target.ip`	Nilai kolom `Device IP` dari data JSON yang diuraikan ditetapkan ke kolom UDM ini.
`report_data.Highest Risk Level`	`security_result.description`	Nilai kolom `Highest Risk Level` dari data JSON yang diuraikan disertakan dalam deskripsi hasil keamanan. Nilai ini juga digunakan untuk menentukan tingkat keparahan hasil keamanan.
`report_data.Security Rating Score`	`security_result.description`	Nilai kolom `Security Rating Score` dari data JSON yang diuraikan disertakan dalam deskripsi hasil keamanan.
`Requestor.Email`	`principal.user.email_addresses`	Nilai kolom `Email` dalam objek `Requestor` dari data JSON yang diuraikan ditetapkan ke kolom UDM ini.
`Requestor.Name`	`principal.user.user_display_name`	Nilai kolom `Name` dalam objek `Requestor` dari data JSON yang diuraikan ditetapkan ke kolom UDM ini.
`RequestType`	`target.resource.attribute.labels`	Nilai kolom `RequestType` dari log mentah ditambahkan sebagai label ke resource target.
`risk_title`	`security_result.summary`	Nilai kolom `risk_title` dari log mentah ditetapkan ke kolom UDM ini.
`src_ip`	`principal.ip`	Nilai kolom `src_ip` dari log mentah ditetapkan ke kolom UDM ini.
`src_port`	`principal.port`	Nilai kolom `src_port` dari log mentah ditetapkan ke kolom UDM ini.
`status`	`security_result.description`/`security_result.action_details`	Nilai kolom `status` dari log mentah disertakan dalam deskripsi hasil keamanan atau detail tindakan, bergantung pada konteksnya. Nilai ini juga digunakan untuk menentukan tingkat keparahan hasil keamanan.
`target_app`	`target.application`	Nilai kolom `target_app` dari log mentah ditetapkan ke kolom UDM ini.
`TemplateName`	`metadata.description`	Nilai kolom `TemplateName` dari log mentah ditetapkan ke kolom UDM ini.
`url`	`security_result.url_back_to_product`	Nilai kolom `url` dari log mentah ditetapkan ke kolom UDM ini.
`user`	`principal.user.userid`	Nilai kolom `user` dari log mentah ditetapkan ke kolom UDM ini.
`vendor`	`metadata.vendor_name`	Nilai kolom `vendor` dari log mentah ditetapkan ke kolom UDM ini.
`version`	`metadata.product_version`	Nilai kolom `version` dari log mentah ditetapkan ke kolom UDM ini.
`WorkFlow`	`target.resource.attribute.labels`	Nilai kolom `WorkFlow` dari log mentah ditambahkan sebagai label ke resource target.
(Logika Parser)	`extensions.auth.type`	Hardcode ke `MACHINE`.
(Logika Parser)	`security_result.action`	Ditentukan berdasarkan `event_id` dan kolom lainnya. Biasanya disetel ke `ALLOW` atau `BLOCK`.
(Logika Parser)	`security_result.category`	Di-hardcode ke `POLICY_VIOLATION` untuk peristiwa Firewall Analyzer.
(Logika Parser)	`security_result.description`	Dibuat berdasarkan kolom lain, memberikan konteks dan detail tentang peristiwa.
(Logika Parser)	`security_result.severity`	Ditentukan berdasarkan `event_id`, `msg`, dan kolom lainnya. Biasanya ditetapkan ke `LOW`, `MEDIUM`, atau `HIGH`.
(Logika Parser)	`metadata.event_type`	Ditentukan berdasarkan `event_id` dan kolom lainnya. Contohnya meliputi `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION`, dan `STATUS_UPDATE`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.