本頁面由 Cloud Translation API 翻譯而成。

收集 ArcSight CEF 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 ArcSight CEF (通用事件格式) 記錄檔擷取至 Google Security Operations。剖析器會將原始資料轉換為具結構性的統一資料模型 (UDM) 格式。這個外掛程式會從 CEF 標頭和擴充功能中擷取欄位，將這些欄位對應至 UDM 欄位，並執行特定邏輯，根據擷取的資訊將使用者登入、網路連線和資源存取等事件分類。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
主機上已安裝 ArcSight SmartConnector 8.4 (或更新版本)，且可透過網路存取 Bindplane 代理程式
OpenText 入口網站的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCSIGHT_CEF'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

下載 ArcSight SmartConnector

登入 OpenText 支援入口網站。
尋找並下載適用於 Linux 的最新 ArcSight SmartConnector。
範例檔案名稱：ArcSight-Connector-Linux64-8.4.0.8499.0.bin。

安裝 ArcSight SmartConnector

將 .bin 檔案上傳至 SmartConnector 伺服器：

scp ArcSight-Connector-Linux64-8.4.0.8499.0.bin user@your-smartconnector-host:/tmp

使用 SSH 登入 SmartConnector 伺服器，然後執行：

cd /tmp
chmod +x ArcSight-Connector-Linux64-8.4.0.8499.0.bin
./ArcSight-Connector-Linux64-8.4.0.8499.0.bin

按照互動式安裝程式的指示操作：
- 選取安裝目錄 (例如 /opt/arcsight/connectors/current)。
- 接受授權。
- 系統出現提示時，選取「安裝連接器」。

設定 ArcSight SmartConnector，將 CEF 傳送至 Syslog

在 SmartConnector 主機中，啟動目的地精靈：

cd /opt/arcsight/connectors/current/bin
./arcsight connectors

在精靈中執行下列操作：
- 選取「新增目的地」。
- 選取「CEF Syslog」。
請提供下列設定詳細資料：
- 主機/IP：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
- 「通訊協定」：選取「UDP」。
完成設定並重新啟動連接器：
```
./arcsight agents
```
檢查連線 (例如尋找 Successfully connected to syslog: X.X.X.X:514)。
```
tail -f /opt/arcsight/connectors/current/logs/agent.log
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	security_result.action_details	直接從「`act`」欄位對應。
agt	principal.ip	直接從「`agt`」欄位對應。
agt	principal.asset.ip	直接從「`agt`」欄位對應。
應用程式	network.application_protocol	直接從「`app`」欄位對應。
art	metadata.event_timestamp.seconds	直接從「`art`」欄位對應。
cs2	additional.fields.value.string_value	直接從 `cs2` 欄位對應，前提是 `cs2Label` 為 `EventlogCategory`。
cs2Label	additional.fields.key	當值為 `EventlogCategory` 時，直接從 `cs2Label` 欄位對應。
cs3	additional.fields.value.string_value	直接從 `cs3` 欄位對應，前提是 `cs3Label` 為 `Process ID`。
cs3Label	additional.fields.key	當值為 `Process ID` 時，直接從 `cs3Label` 欄位對應。
cs5	additional.fields.value.string_value	直接從 `cs5` 欄位對應，前提是 `cs5Label` 為 `Authentication Package Name`。
cs5Label	additional.fields.key	當值為 `Authentication Package Name` 時，直接從 `cs5Label` 欄位對應。
cs6	additional.fields.value.string_value	直接從 `cs6` 欄位對應，前提是 `cs6Label` 為 `Logon GUID`。
cs6Label	additional.fields.key	當值為 `Logon GUID` 時，直接從 `cs6Label` 欄位對應。
dhost	about.hostname	直接從「`dhost`」欄位對應。
dhost	target.hostname	直接從「`dhost`」欄位對應。
dntdom	about.administrative_domain	直接從「`dntdom`」欄位對應。
dntdom	target.administrative_domain	直接從「`dntdom`」欄位對應。
dproc	about.process.command_line	直接從「`dproc`」欄位對應。
dproc	target.process.command_line	直接從「`dproc`」欄位對應。
dst	principal.ip	直接從「`dst`」欄位對應。
dst	principal.asset.ip	直接從「`dst`」欄位對應。
dst	target.ip	直接從「`dst`」欄位對應。
duid	target.user.userid	直接從「`duid`」欄位對應。
duser	target.user.user_display_name	直接從「`duser`」欄位對應。
dvc	about.ip	直接從「`dvc`」欄位對應。
dvchost	about.hostname	直接從「`dvchost`」欄位對應。
eventId	additional.fields.value.string_value	直接從「`eventId`」欄位對應。
externalId	metadata.product_log_id	直接從「`externalId`」欄位對應。
fname	additional.fields.value.string_value	直接從「`fname`」欄位對應。
msg	metadata.description	直接從「`msg`」欄位對應。
proto	network.ip_protocol	直接從「`proto`」欄位對應。將通訊協定名稱轉換為對應的常數 (例如 `tcp` 至 `TCP`)。
rt	metadata.event_timestamp.seconds	直接從「`rt`」欄位對應。
shost	about.hostname	直接從「`shost`」欄位對應。
shost	principal.hostname	直接從「`shost`」欄位對應。
src	principal.ip	直接從「`src`」欄位對應。
src	principal.asset.ip	直接從「`src`」欄位對應。
src	target.ip	直接從「`src`」欄位對應。
sproc	principal.process.command_line	直接從「`sproc`」欄位對應。
spt	principal.port	直接從「`spt`」欄位對應。
spt	target.port	直接從「`spt`」欄位對應。
additional.EventRecordID	additional.fields.value.string_value	直接從「`ad.EventRecordID`」欄位對應。
additional.ThreadID	additional.fields.value.string_value	直接從「`ad.ThreadID`」欄位對應。
additional.Opcode	additional.fields.value.string_value	直接從「`ad.Opcode`」欄位對應。
additional.ProcessID	additional.fields.value.string_value	直接從「`ad.ProcessID`」欄位對應。
additional.TargetDomainName	additional.fields.value.string_value	直接從「`ad.TargetDomainName`」欄位對應。
additional.Version	additional.fields.value.string_value	直接從「`ad.Version`」欄位對應。
deviceExternalId	about.asset.hardware.serial_number	直接從「`deviceExternalId`」欄位對應。
deviceInboundInterface	additional.fields.value.string_value	直接從「`deviceInboundInterface`」欄位對應。
deviceOutboundInterface	additional.fields.value.string_value	直接從「`deviceOutboundInterface`」欄位對應。
PanOSConfigVersion	security_result.detection_fields.value	直接從「`PanOSConfigVersion`」欄位對應。
PanOSContentVersion	security_result.detection_fields.value	直接從「`PanOSContentVersion`」欄位對應。
PanOSDGHierarchyLevel1	security_result.detection_fields.value	直接從「`PanOSDGHierarchyLevel1`」欄位對應。
PanOSDestinationLocation	target.location.country_or_region	直接從「`PanOSDestinationLocation`」欄位對應。
PanOSRuleUUID	metadata.product_log_id	直接從「`PanOSRuleUUID`」欄位對應。
PanOSThreatCategory	security_result.category_details	直接從「`PanOSThreatCategory`」欄位對應。
PanOSThreatID	security_result.threat_id	直接從「`PanOSThreatID`」欄位對應。
	about.asset.asset_id	由 `Palo Alto Networks.`、供應商名稱 (`LF`) 和 `deviceExternalId` 欄位串連產生。
	extensions.auth.type	如果 `event_name` 欄位包含 `logged on`，請設為 `AUTHTYPE_UNSPECIFIED`。
	metadata.description	如果 `description` 欄位包含 `by` 後接 IP 位址，系統會擷取 IP 位址並對應至 `principal.ip` 和 `principal.asset.ip`。
	metadata.event_type	系統會根據各種欄位 (包括 `event_name`、`principal_`、`target_` 和 `device_event_class_id`) 的一系列條件檢查結果，判斷是否符合資格。系統會根據可用資訊，判斷最合適的事件類型。
	metadata.log_type	設為 `ARCSIGHT_CEF`。
	metadata.product_event_type	透過串連 `\[`, the `device_event_class_id` field, `\] -` 和 `name` 欄位產生。
	metadata.product_name	如果 `product_name` 欄位為 `LF`，請設為 `NGFW`。
	principal.asset.ip	如果 `description` 欄位包含 `by` 後接 IP 位址，系統會擷取 IP 位址並對應至 `principal.ip` 和 `principal.asset.ip`。
	principal.ip	如果 `description` 欄位包含 `by` 後接 IP 位址，系統會擷取 IP 位址並對應至 `principal.ip` 和 `principal.asset.ip`。
	security_result.action	如果 `act` 欄位為 `alert`，請設為 `ALLOW`，否則請設為 `BLOCK`。
	security_result.severity	如果 `sev` 欄位大於或等於 7，請設為 `HIGH`，否則請設為 `LOW`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。