收集 AlgoSec 安全管理日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane Agent 将 AlgoSec Security Management 日志注入到 Google 安全运营中心。解析器会提取这些字段,同时处理 CEF 格式和非 CEF 格式的日志。它会解析时间戳、IP 地址和事件详情等常用字段,然后根据产品(套件、防火墙分析器、FireFlow)和事件 ID 将其映射到 UDM,并设置适当的元数据和安全结果字段。它还会处理登录/退出、管理提醒和分析报告等特定事件类型,提取相关详细信息并设置严重级别。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了带有
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 AlgoSec Firewall Analyzer、FireFlow 和 AppViz 的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ALGOSEC raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为防火墙分析器配置 Syslog
- 使用 SSH 登录 AFA 设备。
前往 syslog-ng 配置目录:
cd /etc/syslog-ng备份现有配置:
cp syslog-ng.conf syslog-ng.conf.orig修改 syslog-ng 配置文件:
vi syslog-ng.conf添加以下代码行以定义远程 syslog 服务器:
destination d_remote { udp("<bindplane-server-ip>" port(514)); }; log { source(s_sys); destination(d_remote); };- 将
<bindplane-server-ip>替换为 Bindplane 代理的 IP 地址。
- 将
保存并退出编辑器。
重启 syslog-ng 服务以应用更改:
service syslog-ng restart可选:验证 Syslog 配置:
- 依次前往管理 > Syslog 服务器设置。
- 点击测试连接。
为 FireFlow 配置 Syslog
- 以 root 身份登录 FireFlow 计算机。
打开
/etc/syslog.conf文件进行修改。vi /etc/syslog.conf将以下代码行添加到文件中:
local0.*@<BindplaneAgent>。- 将
<BindplaneAgent>替换为 Bindplane 代理服务器的 IP 地址。
- 将
为 AppViz 配置 Syslog
- 通过 SSH 登录 AppViz 设备。
前往 syslog-ng 配置目录:
cd /etc/syslog-ng备份现有配置:
cp syslog-ng.conf syslog-ng.conf.orig修改 syslog-ng 配置文件:
vi syslog-ng.conf添加以下代码以定义远程 syslog 服务器:
destination d_remote { udp("<bindplane-server-ip>" port(514)); }; log { source(s_sys); destination(d_remote); };- 将
<bindplane-server-ip>替换为 Bindplane 代理的 IP 地址。
- 将
保存并退出编辑器。
重启 syslog-ng 服务以应用更改:
service syslog-ng restart验证 Syslog 配置:
- 在 AppViz 界面中,依次选择 Administration > Syslog Server Settings。
- 点击测试连接。
为登录和退出登录事件配置 Syslog
- 通过 SSH 登录 ASMS 设备。
前往 syslog-ng 配置目录:
cd /etc/syslog-ng备份现有配置:
cp syslog-ng.conf syslog-ng.conf.orig修改 syslog-ng 配置文件:
vi syslog-ng.conf添加以下代码以定义远程 syslog 服务器:
destination d_remote { udp("<bindplane-server-ip>" port(514)); }; log { source(s_sys); destination(d_remote); };- 将
<bindplane-server-ip>替换为 syslog 服务器的 IP 地址。
- 将
保存并退出编辑器。
重启 syslog-ng 服务以应用更改:
service syslog-ng restart
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
by_user |
principal.user.user_display_name |
系统会将原始日志中的 by_user 字段的值分配给此 UDM 字段。 |
collection_time |
metadata.event_timestamp |
seconds 和 nanos 字段会组合起来创建一个时间戳。 |
comm |
target.process.command_line |
使用 grok 从 desc 字段中提取的 comm 字段的值会分配给此 UDM 字段。 |
datetime |
metadata.event_timestamp |
系统会从原始日志中提取日期和时间,并将其用于填充事件时间戳。 |
desc |
metadata.description |
如果没有其他说明,系统会将原始日志中的 desc 字段的值分配给此 UDM 字段。 |
dest_ip |
target.ip |
系统会将原始日志中的 dest_ip 字段的值分配给此 UDM 字段。 |
dest_port |
target.port |
系统会将原始日志中的 dest_port 字段的值分配给此 UDM 字段。 |
details |
security_result.summary |
系统会将原始日志中的 details 字段的值分配给此 UDM 字段。 |
device |
principal.asset.hostname |
系统会将原始日志中的 device 字段的值分配给此 UDM 字段。 |
dst_ip |
target.ip |
系统会将原始日志中的 dst_ip 字段的值分配给此 UDM 字段。 |
dst_port |
target.port |
系统会将原始日志中的 dst_port 字段的值分配给此 UDM 字段。 |
event_id |
metadata.product_event_type |
系统会将原始日志中的 event_id 字段的值分配给此 UDM 字段。它还用于解析器逻辑,用于确定 metadata.event_type 和其他字段。 |
event_name |
metadata.product_event_type |
系统会将原始日志中的 event_name 字段的值分配给此 UDM 字段。 |
firewall |
target.hostname |
系统会将原始日志中的 firewall 字段的值分配给此 UDM 字段。 |
host |
principal.hostname |
系统会将原始日志中的 host 字段的值分配给此 UDM 字段。 |
host_type |
principal.asset.category |
系统会将原始日志中的 host_type 字段的值分配给此 UDM 字段。 |
iporhost |
principal.ip / principal.hostname / target.ip / target.hostname / observer.ip / observer.hostname |
如果该值为 IP 地址,则会映射到 principal.ip、target.ip 或 observer.ip,具体取决于日志来源和事件类型。如果是主机名,则会映射到 principal.hostname、target.hostname 或 observer.hostname。 |
IP |
principal.ip |
系统会将原始日志中的 IP 字段的值分配给此 UDM 字段。 |
kv_data |
security_result.summary |
系统会将原始日志中的 kv_data 字段的值分配给此 UDM 字段。 |
log_type |
metadata.log_type |
已硬编码为 ALGOSEC。 |
metric |
security_result.action_details |
系统会将原始日志中的 metric 字段的值分配给此 UDM 字段。 |
msg |
security_result.summary/security_result.description |
原始日志中的 msg 字段的值用于填充安全结果的摘要或说明,具体取决于上下文。它还用于提取 risk_level、risk_count、risk_code 和 risk_title 字段。 |
pid |
target.process.pid |
使用 grok 从 desc 字段中提取的 pid 字段的值会分配给此 UDM 字段。 |
product |
metadata.product_name |
系统会将原始日志中的 product 字段的值分配给此 UDM 字段。 |
report |
security_result.description |
安全结果的说明中包含原始日志中的 report 字段的值。 |
report_data.Device IP |
target.ip |
系统会将解析的 JSON 数据中的 Device IP 字段的值分配给此 UDM 字段。 |
report_data.Highest Risk Level |
security_result.description |
安全结果说明中包含解析的 JSON 数据中的 Highest Risk Level 字段的值。它还用于确定安全结果的严重程度。 |
report_data.Security Rating Score |
security_result.description |
安全结果说明中包含解析的 JSON 数据中的 Security Rating Score 字段的值。 |
Requestor.Email |
principal.user.email_addresses |
系统会将解析的 JSON 数据中 Requestor 对象内的 Email 字段的值分配给此 UDM 字段。 |
Requestor.Name |
principal.user.user_display_name |
系统会将解析的 JSON 数据中 Requestor 对象内的 Name 字段的值分配给此 UDM 字段。 |
RequestType |
target.resource.attribute.labels |
系统会将原始日志中的 RequestType 字段的值添加为标签,并将其添加到目标资源。 |
risk_title |
security_result.summary |
系统会将原始日志中的 risk_title 字段的值分配给此 UDM 字段。 |
src_ip |
principal.ip |
系统会将原始日志中的 src_ip 字段的值分配给此 UDM 字段。 |
src_port |
principal.port |
系统会将原始日志中的 src_port 字段的值分配给此 UDM 字段。 |
status |
security_result.description/security_result.action_details |
原始日志中的 status 字段的值会包含在安全结果说明或操作详情中,具体取决于上下文。它还用于确定安全结果的严重程度。 |
target_app |
target.application |
系统会将原始日志中的 target_app 字段的值分配给此 UDM 字段。 |
TemplateName |
metadata.description |
系统会将原始日志中的 TemplateName 字段的值分配给此 UDM 字段。 |
url |
security_result.url_back_to_product |
系统会将原始日志中的 url 字段的值分配给此 UDM 字段。 |
user |
principal.user.userid |
系统会将原始日志中的 user 字段的值分配给此 UDM 字段。 |
vendor |
metadata.vendor_name |
系统会将原始日志中的 vendor 字段的值分配给此 UDM 字段。 |
version |
metadata.product_version |
系统会将原始日志中的 version 字段的值分配给此 UDM 字段。 |
WorkFlow |
target.resource.attribute.labels |
系统会将原始日志中的 WorkFlow 字段的值添加为标签,并将其添加到目标资源。 |
| (Parser Logic) | extensions.auth.type |
已硬编码为 MACHINE。 |
| (Parser Logic) | security_result.action |
根据 event_id 和其他字段确定。通常设置为 ALLOW 或 BLOCK。 |
| (Parser Logic) | security_result.category |
对于防火墙分析器事件,已硬编码为 POLICY_VIOLATION。 |
| (Parser Logic) | security_result.description |
根据其他字段构建,提供事件的背景信息和详细信息。 |
| (Parser Logic) | security_result.severity |
根据 event_id、msg 和其他字段确定。通常设置为 LOW、MEDIUM 或 HIGH。 |
| (Parser Logic) | metadata.event_type |
根据 event_id 和其他字段确定。示例包括 USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、GENERIC_EVENT、STATUS_UNCATEGORIZED、SCAN_HOST、NETWORK_CONNECTION 和 STATUS_UPDATE。 |
| (Parser Logic) | is_alert |
如果 security_result.severity 为 HIGH,则设置为 true。 |
| (Parser Logic) | is_significant |
如果 security_result.severity 为 HIGH,则设置为 true。 |
变化
2022-11-27
增强功能:
- 通过添加事件专用条件块来处理它们,解析了 CEF 格式和 grok 相关的未解析日志。
- 此外,还添加了一个删除标记,用于删除格式有误的日志。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。