Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Archer IRM

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Archer IRM (Integrated Risk Management) ke Google Security Operations menggunakan Bindplane. Parser pertama-tama mencoba menyusun data SYSLOG menggunakan pola Grok tertentu. Jika pola tidak cocok, pola akan mengasumsikan format nilai kunci, mengekstrak kolom, dan memetakannya ke Model Data Terpadu (UDM), dengan menangani berbagai jenis peristiwa dan informasi resource database di sepanjang proses.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Instance lokal Archer IRM 6.x dengan fitur Audit Logging yang memiliki lisensi
Akses administratif ke Archer Control Panel

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCHER_IRM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Logging Audit Archer IRM

Buka Archer Control Panel di server aplikasi.
Buka Instance Management > All Instances, lalu klik dua kali instance target.
Di tab General, temukan bagian Audit, lalu centang kotak Enable Audit Logging for this instance.
Berikan detail konfigurasi berikut:
- HostName or IP Address – Masukkan alamat IP agen Bindplane.
- Port – Masukkan nomor port agen Bindplane (misalnya, 6514).
- IP Version – Pilih IPv4.
- Metode Traffic IP – Pilih TCP.
Klik Uji Koneksi (hanya tersedia saat TCP dipilih) untuk memverifikasi konektivitas.
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
ArcherInstance	additional.fields.ArcherInstance.string_value	Diekstrak dari kolom `ArcherInstance` dalam pesan log mentah.
ArcherLog		Kolom ini diuraikan dan datanya dipetakan ke kolom UDM lainnya.
ArcherVersion	additional.fields.ArcherVersion.string_value	Diekstrak dari kolom `ArcherVersion` dalam pesan log mentah.
InputParameter	additional.fields.InputParameter.string_value	Diekstrak dari kolom `InputParameter` dalam pesan log mentah.
LogSourceIdentifier		Kolom ini diuraikan dan datanya dipetakan ke kolom UDM lainnya.
MethodName	additional.fields.MethodName.string_value	Diekstrak dari kolom `MethodName` dalam pesan log mentah.
OutputValues	additional.fields.OutputValue.string_value	Diekstrak dari kolom `OutputValues` dalam pesan log mentah.
Berhasil	security_result.summary	Nilai ditetapkan ke `Success:` yang digabungkan dengan nilai kolom `Success` dalam pesan log mentah.
ID Pengguna	principal.user.userid	Diekstrak dari kolom `UserId` dalam pesan log mentah.
NamaPengguna	principal.user.user_display_name	Diekstrak dari kolom `UserName` dalam pesan log mentah.
DB_DRIVER	target.resource.attribute.labels.db_driver.value	Diekstrak dari kolom `DB_DRIVER` dalam pesan log mentah.
DB_HOST	target.resource.attribute.labels.db_host.value	Diekstrak dari kolom `DB_HOST` dalam pesan log mentah.
DB_NAME	target.resource.attribute.labels.db_name.value	Diekstrak dari kolom `DB_NAME` dalam pesan log mentah.
DB_PORT	target.resource.attribute.labels.db_port.value	Diekstrak dari kolom `DB_PORT` dalam pesan log mentah.
DB_URL	target.resource.attribute.labels.db_url.value	Diekstrak dari kolom `DB_URL` dalam pesan log mentah.
company_security_event_id	metadata.product_log_id	Diekstrak dari kolom `company_security_event_id` dalam pesan log mentah.
create_date	metadata.event_timestamp	Dikonversi menjadi stempel waktu dari format UNIX_MS.
databasename	target.resource.attribute.labels.db_name.value	Diekstrak dari kolom `databasename` dalam pesan log mentah jika `DB_NAME` tidak ada.
encrypt	security_result.detection_fields.encrypt.value	Diekstrak dari kolom `encrypt` dalam pesan log mentah.
eventid	metadata.product_event_type	Diekstrak dari kolom `eventid` dalam pesan log mentah.
eventtime	metadata.event_timestamp	Dikonversi menjadi stempel waktu dari berbagai format.
integratedSecurity	security_result.detection_fields.integratedSecurity.value	Diekstrak dari kolom `integratedSecurity` dalam pesan log mentah.
T/A	extensions.auth.type	Disetel ke `AUTHTYPE_UNSPECIFIED` untuk peristiwa USER_LOGIN dan USER_LOGOUT.
T/A	metadata.event_type	Setel ke `USER_RESOURCE_ACCESS` jika log diuraikan oleh pola grok. Tetapkan ke `USER_LOGIN` jika `security_event_name` adalah `User Login`. Tetapkan ke `USER_LOGOUT` jika `security_event_name` adalah `User Logout`. Disetel ke `USER_RESOURCE_ACCESS` jika `security_event_name` berisi `Security Events`. Jika tidak, ditetapkan ke `GENERIC_EVENT`.
T/A	metadata.log_type	Tetapkan ke `ARCHER_IRM`.
T/A	metadata.product_name	Setel ke `Archer` jika log diuraikan oleh pola grok. Jika tidak, ditetapkan ke `RSA`.
T/A	metadata.vendor_name	Setel ke `RSA` jika log diuraikan oleh pola grok. Jika tidak, ditetapkan ke `Archer`.
T/A	principal.ip	Setel ke `1.2.3.4` jika log diuraikan oleh pola grok.
T/A	principal.port	Ditetapkan ke nilai yang diekstrak dari `LogSourceIdentifier` jika log diuraikan oleh pola grok.
T/A	security_result.action	Disetel ke `ALLOW` jika `Success` adalah `True`, jika tidak, disetel ke `BLOCK`.
T/A	target.resource.resource_type	Tetapkan ke `DATABASE` jika ada kolom terkait database.
source_user	principal.user.userid	Diekstrak dari kolom `source_user` dalam pesan log mentah.
target_user	target.user.userid	Diekstrak dari kolom `target_user` dalam pesan log mentah.
trustServerCertificate	security_result.detection_fields.trustServerCertificate.value	Diekstrak dari kolom `trustServerCertificate` dalam pesan log mentah.
versi	metadata.product_version	Diekstrak dari kolom `version` dalam pesan log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.