Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log CEF ArcSight

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log CEF (Common Event Format) ArcSight ke Google Security Operations menggunakan Bindplane. Parser mengubah data mentah menjadi format Model Data Terpadu (UDM) terstruktur. Proses ini mengekstrak kolom dari header dan ekstensi CEF, memetakannya ke kolom UDM, dan menjalankan logika tertentu untuk mengategorikan peristiwa seperti login pengguna, koneksi jaringan, dan akses resource berdasarkan informasi yang diekstrak.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
ArcSight SmartConnector 8.4 (atau yang lebih baru) diinstal di host dengan akses jaringan ke agen Bindplane
Akses istimewa ke portal OpenText

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCSIGHT_CEF'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mendownload ArcSight SmartConnector

Login ke portal dukungan OpenText.
Temukan dan download ArcSight SmartConnector terbaru untuk Linux.
Contoh nama file: ArcSight-Connector-Linux64-8.4.0.8499.0.bin.

Instal ArcSight SmartConnector

Upload file .bin ke server SmartConnector:

scp ArcSight-Connector-Linux64-8.4.0.8499.0.bin user@your-smartconnector-host:/tmp

cd /tmp
chmod +x ArcSight-Connector-Linux64-8.4.0.8499.0.bin
./ArcSight-Connector-Linux64-8.4.0.8499.0.bin

Ikuti penginstal interaktif:
- Pilih direktori penginstalan (misalnya, /opt/arcsight/connectors/current).
- Setujui lisensi.
- Pilih Instal konektor jika diminta.

Mengonfigurasi ArcSight SmartConnector untuk mengirim CEF ke Syslog

Di SmartConnector host, luncurkan wizard tujuan:

cd /opt/arcsight/connectors/current/bin
./arcsight connectors

Di wizard, lakukan hal berikut:
- Pilih Tambahkan Tujuan.
- Pilih CEF Syslog.
Berikan detail konfigurasi berikut:
- Host/IP: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane Anda.
- Protocol: Pilih UDP.
Selesaikan penyiapan dan mulai ulang konektor:
```
./arcsight agents
```
Jalankan pemeriksaan konektivitas: (misalnya, cari: Successfully connected to syslog: X.X.X.X:514).
```
tail -f /opt/arcsight/connectors/current/logs/agent.log
```

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
bertindak	security_result.action_details	Dipetakan langsung dari kolom `act`.
agt	principal.ip	Dipetakan langsung dari kolom `agt`.
agt	principal.asset.ip	Dipetakan langsung dari kolom `agt`.
aplikasi	network.application_protocol	Dipetakan langsung dari kolom `app`.
seni	metadata.event_timestamp.seconds	Dipetakan langsung dari kolom `art`.
cs2	additional.fields.value.string_value	Dipetakan langsung dari kolom `cs2` saat `cs2Label` adalah `EventlogCategory`.
cs2Label	additional.fields.key	Dipetakan langsung dari kolom `cs2Label` saat nilainya adalah `EventlogCategory`.
cs3	additional.fields.value.string_value	Dipetakan langsung dari kolom `cs3` saat `cs3Label` adalah `Process ID`.
cs3Label	additional.fields.key	Dipetakan langsung dari kolom `cs3Label` saat nilainya adalah `Process ID`.
cs5	additional.fields.value.string_value	Dipetakan langsung dari kolom `cs5` saat `cs5Label` adalah `Authentication Package Name`.
cs5Label	additional.fields.key	Dipetakan langsung dari kolom `cs5Label` saat nilainya adalah `Authentication Package Name`.
cs6	additional.fields.value.string_value	Dipetakan langsung dari kolom `cs6` saat `cs6Label` adalah `Logon GUID`.
cs6Label	additional.fields.key	Dipetakan langsung dari kolom `cs6Label` saat nilainya adalah `Logon GUID`.
dhost	about.hostname	Dipetakan langsung dari kolom `dhost`.
dhost	target.hostname	Dipetakan langsung dari kolom `dhost`.
dntdom	about.administrative_domain	Dipetakan langsung dari kolom `dntdom`.
dntdom	target.administrative_domain	Dipetakan langsung dari kolom `dntdom`.
dproc	about.process.command_line	Dipetakan langsung dari kolom `dproc`.
dproc	target.process.command_line	Dipetakan langsung dari kolom `dproc`.
dst	principal.ip	Dipetakan langsung dari kolom `dst`.
dst	principal.asset.ip	Dipetakan langsung dari kolom `dst`.
dst	target.ip	Dipetakan langsung dari kolom `dst`.
duid	target.user.userid	Dipetakan langsung dari kolom `duid`.
duser	target.user.user_display_name	Dipetakan langsung dari kolom `duser`.
dvc	about.ip	Dipetakan langsung dari kolom `dvc`.
dvchost	about.hostname	Dipetakan langsung dari kolom `dvchost`.
eventId	additional.fields.value.string_value	Dipetakan langsung dari kolom `eventId`.
externalId	metadata.product_log_id	Dipetakan langsung dari kolom `externalId`.
fname	additional.fields.value.string_value	Dipetakan langsung dari kolom `fname`.
msg	metadata.description	Dipetakan langsung dari kolom `msg`.
proto	network.ip_protocol	Dipetakan langsung dari kolom `proto`. Menerjemahkan nama protokol ke konstanta masing-masing (misalnya, `tcp` hingga `TCP`).
rt	metadata.event_timestamp.seconds	Dipetakan langsung dari kolom `rt`.
shost	about.hostname	Dipetakan langsung dari kolom `shost`.
shost	principal.hostname	Dipetakan langsung dari kolom `shost`.
src	principal.ip	Dipetakan langsung dari kolom `src`.
src	principal.asset.ip	Dipetakan langsung dari kolom `src`.
src	target.ip	Dipetakan langsung dari kolom `src`.
sproc	principal.process.command_line	Dipetakan langsung dari kolom `sproc`.
spt	principal.port	Dipetakan langsung dari kolom `spt`.
spt	target.port	Dipetakan langsung dari kolom `spt`.
additional.EventRecordID	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.EventRecordID`.
additional.ThreadID	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.ThreadID`.
additional.Opcode	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.Opcode`.
additional.ProcessID	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.ProcessID`.
additional.TargetDomainName	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.TargetDomainName`.
additional.Version	additional.fields.value.string_value	Dipetakan langsung dari kolom `ad.Version`.
deviceExternalId	about.asset.hardware.serial_number	Dipetakan langsung dari kolom `deviceExternalId`.
deviceInboundInterface	additional.fields.value.string_value	Dipetakan langsung dari kolom `deviceInboundInterface`.
deviceOutboundInterface	additional.fields.value.string_value	Dipetakan langsung dari kolom `deviceOutboundInterface`.
PanOSConfigVersion	security_result.detection_fields.value	Dipetakan langsung dari kolom `PanOSConfigVersion`.
PanOSContentVersion	security_result.detection_fields.value	Dipetakan langsung dari kolom `PanOSContentVersion`.
PanOSDGHierarchyLevel1	security_result.detection_fields.value	Dipetakan langsung dari kolom `PanOSDGHierarchyLevel1`.
PanOSDestinationLocation	target.location.country_or_region	Dipetakan langsung dari kolom `PanOSDestinationLocation`.
PanOSRuleUUID	metadata.product_log_id	Dipetakan langsung dari kolom `PanOSRuleUUID`.
PanOSThreatCategory	security_result.category_details	Dipetakan langsung dari kolom `PanOSThreatCategory`.
PanOSThreatID	security_result.threat_id	Dipetakan langsung dari kolom `PanOSThreatID`.
	about.asset.asset_id	Dibuat dengan menggabungkan `Palo Alto Networks.`, nama vendor (`LF`), dan kolom `deviceExternalId`.
	extensions.auth.type	Tetapkan ke `AUTHTYPE_UNSPECIFIED` jika kolom `event_name` berisi `logged on`.
	metadata.description	Jika kolom `description` berisi `by` yang diikuti dengan alamat IP, alamat IP tersebut akan diekstrak dan dipetakan ke `principal.ip` dan `principal.asset.ip`.
	metadata.event_type	Ditentukan berdasarkan serangkaian pemeriksaan bersyarat pada berbagai kolom, termasuk `event_name`, `principal_`, `target_`, dan `device_event_class_id`. Logika menentukan jenis peristiwa yang paling sesuai berdasarkan informasi yang tersedia.
	metadata.log_type	Tetapkan ke `ARCSIGHT_CEF`.
	metadata.product_event_type	Dibuat dengan menggabungkan `\[`, the `device_event_class_id` field, `\] -` dan kolom `name`.
	metadata.product_name	Tetapkan ke `NGFW` jika kolom `product_name` adalah `LF`.
	principal.asset.ip	Jika kolom `description` berisi `by` yang diikuti dengan alamat IP, alamat IP tersebut akan diekstrak dan dipetakan ke `principal.ip` dan `principal.asset.ip`.
	principal.ip	Jika kolom `description` berisi `by` yang diikuti dengan alamat IP, alamat IP tersebut akan diekstrak dan dipetakan ke `principal.ip` dan `principal.asset.ip`.
	security_result.action	Disetel ke `ALLOW` jika kolom `act` adalah `alert`, jika tidak, disetel ke `BLOCK`.
	security_result.severity	Tetapkan ke `HIGH` jika kolom `sev` lebih besar dari atau sama dengan 7, jika tidak, tetapkan ke `LOW`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.