このページは Cloud Translation API によって翻訳されました。

Archer IRM ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Archer IRM（統合リスク管理）ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず特定の Grok パターンを使用して SYSLOG データの構造化を試みます。パターンが一致しない場合は、Key-Value 形式と見なしてフィールドを抽出し、統合データモデル（UDM）にマッピングします。この処理中に、さまざまなイベントタイプとデータベースリソース情報が処理されます。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
監査ロギング機能のライセンスが付与された Archer IRM 6.x オンプレミスインスタンス
Archer コントロールパネルへの管理者権限

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux の場合は /etc/bindplane-agent/ ディレクトリに、Windows の場合はインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCHER_IRM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Archer IRM 監査ロギング用に Syslog を構成する

アプリケーションサーバーで Archer コントロールパネルを開きます。
[Instance Management] > [All Instances] に移動し、ターゲットインスタンスをダブルクリックします。
[全般] タブで、[監査] セクションを見つけて、[このインスタンスの監査ロギングを有効にする] チェックボックスをオンにします。
次の構成の詳細を指定します。
- ホスト名または IP アドレス - Bindplane エージェントの IP アドレスを入力します。
- ポート - Bindplane エージェントのポート番号（6514 など）を入力します。
- IP バージョン - [IPv4] を選択します。
- IP トラフィックメソッド - [TCP] を選択します。
[Test Connection]（TCP が選択されている場合にのみ使用可能）をクリックして、接続を確認します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
ArcherInstance	additional.fields.ArcherInstance.string_value	未加工ログのメッセージの `ArcherInstance` フィールドから抽出されます。
ArcherLog		このフィールドは解析され、そのデータは他の UDM フィールドにマッピングされます。
ArcherVersion	additional.fields.ArcherVersion.string_value	未加工ログのメッセージの `ArcherVersion` フィールドから抽出されます。
InputParameter	additional.fields.InputParameter.string_value	未加工ログのメッセージの `InputParameter` フィールドから抽出されます。
LogSourceIdentifier		このフィールドは解析され、そのデータは他の UDM フィールドにマッピングされます。
MethodName	additional.fields.MethodName.string_value	未加工ログのメッセージの `MethodName` フィールドから抽出されます。
OutputValues	additional.fields.OutputValue.string_value	未加工ログのメッセージの `OutputValues` フィールドから抽出されます。
成功	security_result.summary	値は、`Success:` と未加工ログメッセージの `Success` フィールドの値を連結した値に設定されます。
UserId	principal.user.userid	未加工ログのメッセージの `UserId` フィールドから抽出されます。
ユーザー名	principal.user.user_display_name	未加工ログのメッセージの `UserName` フィールドから抽出されます。
DB_DRIVER	target.resource.attribute.labels.db_driver.value	未加工ログのメッセージの `DB_DRIVER` フィールドから抽出されます。
DB_HOST	target.resource.attribute.labels.db_host.value	未加工ログのメッセージの `DB_HOST` フィールドから抽出されます。
DB_NAME	target.resource.attribute.labels.db_name.value	未加工ログのメッセージの `DB_NAME` フィールドから抽出されます。
DB_PORT	target.resource.attribute.labels.db_port.value	未加工ログのメッセージの `DB_PORT` フィールドから抽出されます。
DB_URL	target.resource.attribute.labels.db_url.value	未加工ログのメッセージの `DB_URL` フィールドから抽出されます。
company_security_event_id	metadata.product_log_id	未加工ログのメッセージの `company_security_event_id` フィールドから抽出されます。
create_date	metadata.event_timestamp	UNIX_MS 形式からタイムスタンプに変換されました。
databasename	target.resource.attribute.labels.db_name.value	`DB_NAME` が存在しない場合、未加工ログメッセージの `databasename` フィールドから抽出されます。
暗号化	security_result.detection_fields.encrypt.value	未加工ログのメッセージの `encrypt` フィールドから抽出されます。
eventid	metadata.product_event_type	未加工ログのメッセージの `eventid` フィールドから抽出されます。
eventtime	metadata.event_timestamp	さまざまな形式からタイムスタンプに変換されます。
integratedSecurity	security_result.detection_fields.integratedSecurity.value	未加工ログのメッセージの `integratedSecurity` フィールドから抽出されます。
なし	extensions.auth.type	USER_LOGIN イベントと USER_LOGOUT イベントの場合は `AUTHTYPE_UNSPECIFIED` に設定します。
なし	metadata.event_type	ログが grok パターンで解析される場合は `USER_RESOURCE_ACCESS` に設定します。`security_event_name` が `User Login` の場合、`USER_LOGIN` に設定します。`security_event_name` が `User Logout` の場合、`USER_LOGOUT` に設定します。`security_event_name` に `Security Events` が含まれている場合、`USER_RESOURCE_ACCESS` に設定します。それ以外の場合は `GENERIC_EVENT` に設定します。
なし	metadata.log_type	`ARCHER_IRM` に設定します。
なし	metadata.product_name	ログが grok パターンで解析される場合は `Archer` に設定します。それ以外の場合は `RSA` に設定します。
なし	metadata.vendor_name	ログが grok パターンで解析される場合は `RSA` に設定します。それ以外の場合は `Archer` に設定します。
なし	principal.ip	ログが grok パターンで解析される場合は `1.2.3.4` に設定します。
なし	principal.port	ログが Grok パターンで解析された場合は、`LogSourceIdentifier` から抽出された値に設定します。
なし	security_result.action	`Success` が `True` の場合は `ALLOW` に設定し、それ以外の場合は `BLOCK` に設定します。
なし	target.resource.resource_type	データベース関連のフィールドがある場合は `DATABASE` に設定します。
source_user	principal.user.userid	未加工ログのメッセージの `source_user` フィールドから抽出されます。
target_user	target.user.userid	未加工ログのメッセージの `target_user` フィールドから抽出されます。
trustServerCertificate	security_result.detection_fields.trustServerCertificate.value	未加工ログのメッセージの `trustServerCertificate` フィールドから抽出されます。
version	metadata.product_version	未加工ログのメッセージの `version` フィールドから抽出されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。