收集 Archer IRM 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Archer IRM(集成风险管理)日志注入到 Google Security Operations。解析器首先尝试使用特定的 Grok 模式来构建 SYSLOG 数据。如果模式不匹配,系统会假定采用键值对格式,提取字段并将其映射到统一数据模型 (UDM),同时处理不同的事件类型和数据库资源信息。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 已获得许可的 Audit Logging 功能的 Archer IRM 6.x 本地实例
- Archer 控制面板的管理员权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中,或位于 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:6514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ARCHER_IRM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 Archer IRM 审核日志记录配置 Syslog
- 在应用服务器上打开 Archer 控制面板。
- 依次前往实例管理 > 所有实例,然后双击目标实例。
- 在常规标签页中,找到审核部分,然后选中为此实例启用审核日志记录复选框。
- 提供以下配置详细信息:
- 主机名或 IP 地址 - 输入 Bindplane 代理 IP 地址。
- 端口 - 输入 Bindplane 代理端口号(例如 6514)。
- IP 版本 - 选择 IPv4。
- IP 流量方法 - 选择 TCP。
- 点击测试连接(仅在选择 TCP 时可用)以验证连接。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| ArcherInstance | additional.fields.ArcherInstance.string_value | 从原始日志消息的 ArcherInstance 字段中提取。 |
| ArcherLog | 系统会解析此字段,并将其数据映射到其他 UDM 字段。 | |
| ArcherVersion | additional.fields.ArcherVersion.string_value | 从原始日志消息的 ArcherVersion 字段中提取。 |
| InputParameter | additional.fields.InputParameter.string_value | 从原始日志消息的 InputParameter 字段中提取。 |
| LogSourceIdentifier | 系统会解析此字段,并将其数据映射到其他 UDM 字段。 | |
| MethodName | additional.fields.MethodName.string_value | 从原始日志消息的 MethodName 字段中提取。 |
| OutputValues | additional.fields.OutputValue.string_value | 从原始日志消息的 OutputValues 字段中提取。 |
| 成功 | security_result.summary | 该值设置为 Success: 与原始日志消息中 Success 字段的值串联而成。 |
| UserId | principal.user.userid | 从原始日志消息的 UserId 字段中提取。 |
| 用户名 | principal.user.user_display_name | 从原始日志消息的 UserName 字段中提取。 |
| DB_DRIVER | target.resource.attribute.labels.db_driver.value | 从原始日志消息的 DB_DRIVER 字段中提取。 |
| DB_HOST | target.resource.attribute.labels.db_host.value | 从原始日志消息的 DB_HOST 字段中提取。 |
| DB_NAME | target.resource.attribute.labels.db_name.value | 从原始日志消息的 DB_NAME 字段中提取。 |
| DB_PORT | target.resource.attribute.labels.db_port.value | 从原始日志消息的 DB_PORT 字段中提取。 |
| DB_URL | target.resource.attribute.labels.db_url.value | 从原始日志消息的 DB_URL 字段中提取。 |
| company_security_event_id | metadata.product_log_id | 从原始日志消息的 company_security_event_id 字段中提取。 |
| create_date | metadata.event_timestamp | 从 UNIX_MS 格式转换为时间戳。 |
| databasename | target.resource.attribute.labels.db_name.value | 如果不存在 DB_NAME,则从原始日志消息中的 databasename 字段提取。 |
| 加密 | security_result.detection_fields.encrypt.value | 从原始日志消息的 encrypt 字段中提取。 |
| eventid | metadata.product_event_type | 从原始日志消息的 eventid 字段中提取。 |
| eventtime | metadata.event_timestamp | 从各种格式转换为时间戳。 |
| integratedSecurity | security_result.detection_fields.integratedSecurity.value | 从原始日志消息的 integratedSecurity 字段中提取。 |
| 不适用 | extensions.auth.type | 对于 USER_LOGIN 和 USER_LOGOUT 事件,设置为 AUTHTYPE_UNSPECIFIED。 |
| 不适用 | metadata.event_type | 如果日志由 Grok 模式解析,则设置为 USER_RESOURCE_ACCESS。如果 security_event_name 为 User Login,则设置为 USER_LOGIN。如果 security_event_name 为 User Logout,则设置为 USER_LOGOUT。如果 security_event_name 包含 Security Events,则设置为 USER_RESOURCE_ACCESS。否则,请将其设置为 GENERIC_EVENT。 |
| 不适用 | metadata.log_type | 设置为 ARCHER_IRM。 |
| 不适用 | metadata.product_name | 如果日志由 Grok 模式解析,则设置为 Archer。否则,请将其设置为 RSA。 |
| 不适用 | metadata.vendor_name | 如果日志由 Grok 模式解析,则设置为 RSA。否则,请将其设置为 Archer。 |
| 不适用 | principal.ip | 如果日志由 Grok 模式解析,则设置为 1.2.3.4。 |
| 不适用 | principal.port | 如果日志由 grok 模式解析,则设置为从 LogSourceIdentifier 中提取的值。 |
| 不适用 | security_result.action | 如果 Success 为 True,则设置为 ALLOW;否则设置为 BLOCK。 |
| 不适用 | target.resource.resource_type | 如果存在任何与数据库相关的字段,则设置为 DATABASE。 |
| source_user | principal.user.userid | 从原始日志消息的 source_user 字段中提取。 |
| target_user | target.user.userid | 从原始日志消息的 target_user 字段中提取。 |
| trustServerCertificate | security_result.detection_fields.trustServerCertificate.value | 从原始日志消息的 trustServerCertificate 字段中提取。 |
| 版本 | metadata.product_version | 从原始日志消息的 version 字段中提取。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。