此页面由 Cloud Translation API 翻译。

收集 Carbon Black App Control 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何收集 Carbon Black App Control 日志。解析器同时支持 CEF 和 JSON 格式。它首先尝试将输入解析为 JSON；如果失败，则将输入视为 CEF，执行文本替换，提取 CEF 字段，将其映射到 UDM，并将事件类型设置为 GENERIC_EVENT。否则，它会使用单独的 JSON 特有 UDM 映射 include 文件。

准备工作

确保您拥有 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
Carbon Black App Control (CB Protection) 服务器（建议使用 8.x 或更高版本）。
确保您拥有 Carbon Black App Control 的特权访问权限。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:11592"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: JSON
            namespace: cb_app_control
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane Agent，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 CB 应用控制以发送 Syslog 日志

使用管理员账号登录 CB App Control 控制台。
依次前往管理 > 系统配置 > 外部日志记录
在“外部事件日志记录”部分：
- 启用 Syslog 日志记录：选中 Syslog 已启用复选框。
- 服务器地址：<Bindplane Server IP>。
- 端口：<Bindplane Server PORT>。
- 协议：选择 TCP。
- Syslog Format：选择 JSON。
在事件日志记录选项下，选择要发送的日志类型：
- 违反政策
- 文件完整性监控 (FIM) 事件
- 用户身份验证事件
- 威胁情报数据
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
`ABId`	`principal.asset.asset_id`	JSON 日志中的 `ABId` 用作资产 ID 的一部分，格式为 `PRODUCT_SPECIFIC_ID:{ABId}-{Bit9Server}`。
`Bit9Server`	`principal.asset.asset_id`	用作主账号的资产 ID 的一部分，与 `ABId` 结合使用。还用于构造 `metadata.url_back_to_product` 字段。
`CommandLine`	`about.process.command_line`	直接映射。
`EventType`	`metadata.product_event_type`	以方括号的形式显示对应的 `EventTypeId`（例如，`[5] - Discovery`）。
`EventTypeId`	`metadata.product_event_type`	与 `EventType` 一起使用，以填充 `metadata.product_event_type`。
`EventSubType`	`metadata.description`	附加到 `metadata.description` 字段。
`EventSubTypeId`	`metadata.description`	未明确映射，但可能会根据解析器的内部逻辑对说明做出贡献。
`externalId`	`metadata.product_log_id`	直接映射。
`FileHash`	`about.file.sha256`	直接映射。
`FileName`	`additional.fields`（带键 `FileName`）	已添加为附加字段。还用作 `metadata.description` 中某些事件的文件信息的一部分。
`FilePath`	`about.file.full_path`	直接映射。
`FileThreat`	`additional.fields`（带键 `fileThreat`）	已添加为附加字段。
`FileTrust`	`additional.fields`（带键 `fileTrust`）	已添加为附加字段。
`HostId`	`principal.asset.asset_id`	用于在 `metadata.url_back_to_product` 中构建返回到产品的网址。
`HostName`	`target.hostname`	直接映射。
`HostIP`	`target.ip`	直接映射。
`Message`	`metadata.description`	直接映射。
`PathName`	`about.file.full_path`	直接映射。
`Platform`	`target.platform`	映射到枚举值 `WINDOWS`。
`Policy`	`additional.fields`（带键 `Policy`）	已添加为附加字段。
`PolicyId`	`additional.fields`（带键 `PolicyId`）	已添加为附加字段。
`ProcessKey`	`additional.fields`（带键 `ProcessKey`）	已添加为附加字段。
`ProcessPath`	`about.process.command_line`	直接映射。
`ProcessPathName`	`about.process.command_line`	直接映射。
`ProcessThreat`	`additional.fields`（带键 `ProcessThreat`）	已添加为附加字段。
`ProcessTrust`	`additional.fields`（带键 `ProcessTrust`）	已添加为附加字段。
`RuleName`	`additional.fields`（带键 `ruleName`）	已添加为附加字段。
`Timestamp`	`metadata.event_timestamp`	直接映射。
`UserName`	`target.user.user_display_name`	直接映射。
`UserSid`	`principal.user.userid`	直接映射。
`agent.ephemeral_id`	`observer.labels`（带键 `ephemeral_id`）	添加为观察者标签。
`agent.name`	`principal.hostname`、`observer.hostname`、`observer.user.userid`	映射到多个字段。
`agent.type`	`observer.application`	直接映射。
`agent.version`	`metadata.product_version`	直接映射到 JSON 日志。对于从 CEF 消息中提取的 CEF 日志。
`cat`	`security_result.category_details`	直接映射。
`cs1`	`additional.fields`（键为 `rootHash` 或其他 cs1Label）	作为附加字段添加，密钥由 `cs1Label` 定义。
`cs1Label`	`additional.fields`	用作由 `cs1` 填充的其他字段的键。
`cs2`	`additional.fields`（键为 `installerFilename` 或其他 cs2Label）	作为附加字段添加，密钥由 `cs2Label` 定义。
`cs2Label`	`additional.fields`	用作由 `cs2` 填充的其他字段的键。
`cs3`	`additional.fields`（键为 `Policy` 或其他 cs3Label）	作为附加字段添加，密钥由 `cs3Label` 定义。
`cs3Label`	`additional.fields`	用作由 `cs3` 填充的其他字段的键。
`cs5`	`additional.fields`（键为 `ruleName` 或其他 cs5Label）	作为附加字段添加，密钥由 `cs5Label` 定义。
`cs5Label`	`additional.fields`	用作由 `cs5` 填充的其他字段的键。
`cfp1`	`additional.fields`（键为 `fileTrust` 或其他 cfp1Label）	作为附加字段添加，密钥由 `cfp1Label` 定义。
`cfp1Label`	`additional.fields`	用作由 `cfp1` 填充的其他字段的键。
`cfp2`	`additional.fields`（键为 `processTrust` 或其他 cfp2Label）	作为附加字段添加，密钥由 `cfp2Label` 定义。
`cfp2Label`	`additional.fields`	用作由 `cfp2` 填充的其他字段的键。
`deviceProcessName`	`about.process.command_line`	直接映射。
`dhost`	`target.hostname`	直接映射。
`dst`	`target.ip`	直接映射。
`duser`	`target.user.user_display_name`	直接映射。
`dvchost`	`about.hostname`	直接映射。
`eventId`	`additional.fields`（带键 `eventId`）	已添加为附加字段。
`fileHash`	`about.file.sha256`	直接映射。
`flexString1`	`additional.fields`（键为 `fileThreat` 或其他 flexString1Label）	作为附加字段添加，密钥由 `flexString1Label` 定义。
`flexString1Label`	`additional.fields`	用作由 `flexString1` 填充的其他字段的键。
`flexString2`	`additional.fields`（使用键 `processThreat` 或其他 flexString2Label）	作为附加字段添加，密钥由 `flexString2Label` 定义。
`flexString2Label`	`additional.fields`	用作由 `flexString2` 填充的其他字段的键。
`fname`	`additional.fields`（带键 `fname`）	已添加为附加字段。还用作 `metadata.description` 中某些事件的文件信息的一部分。
`host.architecture`	`target.asset.hardware.cpu_platform`	直接映射。
`host.hostname`	`target.asset.asset_id`	用作目标资源 ID (`Host Id: {host.hostname}`) 的一部分。还映射到 `target.hostname`。
`host.id`	`target.asset.asset_id`	用作目标资源 ID (`Host Id: {host.id}`) 的一部分。
`host.ip`	`target.asset.ip`	直接映射。
`host.mac`	`target.mac`	直接映射。
`host.name`	`target.hostname`	直接映射。
`host.os.build`	`target.platform_patch_level`	直接映射。
`host.os.kernel`	`target.platform_patch_level`	附加到 `target.platform_patch_level`。
`host.os.platform`	`target.platform`	映射到枚举值 `WINDOWS`。
`host.os.type`	`target.platform`	映射到枚举值 `WINDOWS`。
`host.os.version`	`target.platform_version`	直接映射。
`log.file.path`	`target.file.full_path`	直接映射。
`metadata.event_type`	`metadata.event_type`	对于 CEF 日志，请设置为 `GENERIC_EVENT`；对于 JSON 日志，请设置为 `SYSTEM_AUDIT_LOG_UNCATEGORIZED`。
`metadata.log_type`	`metadata.log_type`	设置为 `CB_EDR`。
`metadata.product_log_id`	`metadata.product_log_id`	从 `externalId` 映射，用于 CEF 日志。不适用于 JSON 日志。
`metadata.product_name`	`metadata.product_name`	对于 CEF 日志，请设置为 `App Control`；对于 JSON 日志，请设置为 `CB_APP_CONTROL`。
`metadata.product_version`	`metadata.product_version`	从 CEF 日志的 CEF 消息中提取。从 JSON 日志的 `agent.version` 映射而来。
`metadata.vendor_name`	`metadata.vendor_name`	设置为 `Carbon Black`。
`msg`	`metadata.description`，`additional.fields`	用于根据解析器的逻辑填充 `metadata.description` 和可能的其他字段。
`sproc`	`principal.process.command_line`	直接映射。
`metadata.url_back_to_product`	`metadata.url_back_to_product`	使用 JSON 日志的 `Bit9Server` 和 `HostId` 字段构建。不适用于 CEF 日志。
`security_result.severity`	`security_result.severity`	设置为 `MEDIUM`。
`timestamp`	`events.timestamp`	直接映射到 JSON 日志。对于 CEF 日志，解析器逻辑会根据原始日志的 `rt` 字段（如果有）或 `collection_time`（如果不存在 `rt`）来确定时间戳。