收集 Attivo Networks BOTsink 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane 擷取 Attivo Networks BOTsink 記錄,並傳送至 Google Security Operations。剖析器會先嘗試將傳入的記錄訊息剖析為 JSON。如果失敗,系統會使用一系列 Grok 模式,從通用事件格式 (CEF) 訊息中擷取欄位,處理各種格式和潛在錯誤。最後,它會將擷取的欄位對應至統一資料模型 (UDM) 結構定義,並透過額外脈絡資訊豐富資料,以及標準化輸出內容。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,防火牆通訊埠已開啟
- Attivo Networks 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'ATTIVO' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Attivo Networks BOTsink 中設定 Syslog
- 登入 Attiva Networks 網頁 UI。
- 依序前往「Administration」(管理) >「Management」(管理) >「Syslog」(系統記錄)。
- 按一下「新增」,建立新的系統記錄設定檔。
- 請提供容易識別的設定檔名稱。
- 在「事件轉送」中,選取「已啟用」。
- 提供 BOTsink 標準設定:
- 非常低:選取「資訊型」。
- 低:選取「警告」。
- 媒介:選取「快訊」。
- 高:選取「重大」。
- 過量級:選取「緊急」。
- 「訊息格式」:選取「CEF」。
- 在設定檔部分選取「新增連線」。
- 提供下列設定詳細資料:
- 伺服器名稱:輸入有助於識別 Google SecOps 的描述性名稱。
- 設定檔名稱:選取您先前建立的 CEF Syslog 設定檔。
- IP 位址:輸入 Bindplane 代理程式 IP 位址。
- 「通訊埠」:輸入 Bindplane 代理程式通訊埠編號 (例如,輸入
514做為 UDP)。 - 「通訊協定」:選取「UDP」。
- 按一下「測試連線」,確認您在 Bindplane 代理程式和 Google SecOps 中收到測試資料。
- 按一下 [確定]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| alertID | read_only_udm.metadata.product_log_id | 值取自 alertID 欄位。 |
| cat | read_only_udm.security_result.action_details | 值取自 cat 欄位。 |
| CEFDeviceProduct | read_only_udm.metadata.product_name | 值取自 CEFDeviceProduct 欄位。 |
| CEFDeviceVendor | read_only_udm.metadata.vendor_name | 值取自 CEFDeviceVendor 欄位。 |
| CEFDeviceVersion | read_only_udm.metadata.product_version | 值取自 CEFDeviceVersion 欄位。 |
| CEFName | 用於擷取 operation、result、module 和 descrip 欄位。 |
|
| CEFSeverity | read_only_udm.security_result.severity | 根據下列規則從 CEFSeverity 欄位對應:- error 或 warning:HIGH- (?i)critical:CRITICAL- (?i)notice 或 (?i)MEDIUM:MEDIUM- information、info、Very-Low 或 Low:LOW |
| CEFSignatureID | read_only_udm.security_result.rule_id | 值取自 CEFSignatureID 欄位。 |
| cef_version | read_only_udm.additional.fields.value.string_value | 值取自 cef_version 欄位。 |
| read_only_udm.additional.fields.key | 靜態值:CEFVersion |
|
| descrip | read_only_udm.metadata.description | 值取自 descrip 欄位。 |
| dest_domain | read_only_udm.target.domain.name | 值取自 dest_domain 欄位。 |
| dhost | read_only_udm.target.hostname | 如果 service 為 NETBIOS,則值取自 dhost 欄位。 |
| dIPDomain | read_only_udm.target.domain.name | 如果 dest_domain 為空,則值取自 dIPDomain 欄位。 |
| dst | read_only_udm.target.ip | 值取自 dst 欄位。 |
| dst_os | read_only_udm.target.asset.platform_software.platform_version | 值取自 dst_os 欄位。 |
| dpt | read_only_udm.target.port | 值取自 dpt 欄位,並轉換為整數。 |
| dvc | read_only_udm.principal.hostname、read_only_udm.target.ip、read_only_udm.intermediary.hostname | 邏輯取決於 dvc、src 和 sip 欄位的值。視這些欄位的可用性和格式而定,這項資訊可對應至主體主機名稱、目標 IP 或中介主機名稱。 |
| intf | read_only_udm.additional.fields.value.string_value | 值取自 intf 欄位,並轉換為字串。 |
| read_only_udm.additional.fields.key | 靜態值:intf |
|
| mitreTacticName | read_only_udm.security_result.rule_name | 值取自 mitreTacticName 欄位。 |
| mitreTechniqueId | read_only_udm.security_result.detection_fields.value | 值取自 mitreTechniqueId 欄位。 |
| read_only_udm.security_result.detection_fields.key | 靜態值:Technique name |
|
| mitreTechniqueName | read_only_udm.security_result.detection_fields.value | 值取自 mitreTechniqueName 欄位。 |
| read_only_udm.security_result.detection_fields.key | 靜態值:Technique name |
|
| module | read_only_udm.additional.fields.value.string_value | 值取自 module 欄位。 |
| read_only_udm.additional.fields.key | 靜態值:module |
|
| msg | read_only_udm.metadata.description | 系統會先擷取 protocol 欄位,再從 msg 欄位取得值。 |
| 作業 | read_only_udm.additional.fields.value.string_value | 值取自 operation 欄位。 |
| read_only_udm.additional.fields.key | 靜態值:operation |
|
| 通訊協定 | read_only_udm.network.ip_protocol | 如果 protocol 欄位的值為 TCP 或 UDP,系統會從該欄位擷取值。 |
| result | read_only_udm.security_result.action | 根據下列規則從 result 欄位對應:- (?i)SUCCESS 或 (?i)ALLOW:ALLOW- CHALLENGE:CHALLENGE- FAILURE、DENY、SKIPPED 或 RATE_LIMIT:BLOCK |
| rt | read_only_udm.metadata.event_timestamp | 值取自 rt 欄位,並剖析為以毫秒為單位的 UNIX 時間戳記。 |
| shost | read_only_udm.principal.hostname | 值取自 shost 欄位。 |
| sip | read_only_udm.principal.hostname、read_only_udm.principal.ip | 邏輯取決於 dvc 和 sip 欄位的值。視這些欄位的可用性和格式而定,這項資訊可對應至主機名稱或 IP。 |
| smac | read_only_udm.principal.mac | 值取自 smac 欄位。 |
| 來源 | read_only_udm.principal.hostname | 值取自 source 欄位。 |
| source_domain | read_only_udm.principal.domain.name | 值取自 source_domain 欄位。 |
| src | read_only_udm.principal.ip | 值取自 src 欄位。 |
| subscriberName | read_only_udm.additional.fields.value.string_value | 值取自 subscriberName 欄位。 |
| read_only_udm.additional.fields.key | 靜態值:Subscriber Name |
|
| suser | read_only_udm.principal.user.userid、read_only_udm.principal.user.user_display_name | 系統會先擷取使用者名稱,然後從 suser 欄位取得值。 |
| threshold | read_only_udm.additional.fields.value.string_value | 值取自 threshold 欄位。 |
| read_only_udm.additional.fields.key | 靜態值:arp-scan-threshold |
|
| usrname | read_only_udm.principal.user.email_addresses | 如果 usrname 欄位不為空白或 N/A,系統會從該欄位擷取值。 |
| vlan | read_only_udm.principal.labels.value | 值取自 vlan 欄位。 |
| read_only_udm.principal.labels.key | 靜態值:vlan |
|
| read_only_udm.metadata.event_type | 根據 src、smac、shost、dst、protocol、dvc 和 service 欄位的值決定。可以是下列其中一個值:SCAN_NETWORK、NETWORK_CONNECTION、NETWORK_UNCATEGORIZED、STATUS_UPDATE 或 GENERIC_EVENT。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。