Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Darktrace

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Darktrace ke Google Security Operations menggunakan agen Bindplane. Parser ini pertama-tama mengekstrak kolom umum dari pesan syslog, lalu menggunakan logika bersyarat untuk menangani log Darktrace berformat CEF dan JSON. Hal ini memetakan kolom yang diekstrak ke skema Model Data Terpadu (UDM), memperkaya data dengan konteks keamanan dan menstandardisasi kategorisasi peristiwa untuk analisis hilir.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Darktrace

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses File Konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindlane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Darktrace

Login ke UI web Darktrace.
Buka Admin > Konfigurasi Sistem.
Klik Verifikasi Setelan Pemberitahuan.
Berikan detail konfigurasi berikut:
- CEF Syslog Alerts: Pilih True.
- Server Syslog CEF: Masukkan Alamat IP Bindplane.
- Port Server Syslog CEF: Masukkan nomor port Bindplane (misalnya, 10282).
- CEF Syslog TCP Alert: Pilih True.
Klik Simpan.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
darktraceUrl	security_result.url_back_to_product	Nilai diambil dari kolom `darktraceUrl`.
darktrace_host	observer.hostname	Nilai diambil dari kolom `darktrace_host` jika bukan alamat IP.
darktrace_ip	observer.ip	Nilai diambil dari kolom `darktrace_ip`.
darktrace_user	observer.user.userid	Nilai diambil dari kolom `darktrace_user`.
deskripsi	security_result.summary, metadata.description	Nilai diambil dari kolom `description`.
device.customFields.DT-AUTO.macaddress	principal.mac	Nilai diambil dari kolom `device.customFields.DT-AUTO.macaddress`.
device.did	principal.asset.asset_id	Nilai diambil dari kolom `device.did`, dikonversi menjadi string, dan diberi awalan `Device ID:`.
device.firstSeen	principal.asset.first_seen_time	Nilai diambil dari kolom `device.firstSeen`, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik.
device.hostname	principal.hostname, principal.asset.hostname	Nilai diambil dari kolom `device.hostname`.
device.ip	principal.ip, principal.asset.ip	Nilai diambil dari kolom `device.ip` jika cocok dengan format alamat IP.
device.ips.0.subnet	additional.fields.subnet	Nilai diambil dari kolom `device.ips.0.subnet` dan diberi awalan `subnet`.
device.ips.ip	principal.ip, principal.asset.ip	Nilai diambil dari kolom `device.ips.ip` untuk setiap alamat IP dalam daftar.
device.lastSeen	principal.asset.last_discover_time	Nilai diambil dari kolom `device.lastSeen`, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik.
device.macaddress	principal.mac	Nilai diambil dari kolom `device.macaddress`.
device.objecttype	principal.asset.type	Jika nilainya adalah `device`, kolom UDM akan ditetapkan ke `WORKSTATION`.
device.sid	principal.resource.attribute.labels.sid	Nilai diambil dari kolom `device.sid` dan dikonversi menjadi string.
device.typelabel	principal.resource.attribute.labels.typelabel	Nilai diambil dari kolom `device.typelabel`.
device.typename	principal.resource.attribute.labels.typename	Nilai diambil dari kolom `device.typename`.
dst	target.ip, target.asset.ip	Nilai diambil dari kolom `dst`.
dpt	target.port	Nilai diambil dari kolom `dpt` dan dikonversi menjadi bilangan bulat.
dvc	principal.ip, principal.asset.ip	Jika nilai `dvc` adalah alamat IP, nilai tersebut akan ditambahkan ke kolom UDM.
dvchost	principal.hostname, principal.asset.hostname	Nilai diambil dari kolom `dvchost`.
endpoint	target.url	Nilai diambil dari kolom `endpoint`.
event_time	metadata.event_timestamp	Nilai diambil dari kolom `event_time` dan diuraikan sebagai stempel waktu ISO8601.
externalId	metadata.product_log_id	Nilai diambil dari kolom `externalId`.
incidentEventUrl	principal.url	Nilai diambil dari kolom `incidentEventUrl`.
ip	principal.ip, principal.asset.ip	Nilai diambil dari kolom `ip` jika cocok dengan format alamat IP.
issue_msg	security_result.summary	Nilai diambil dari kolom `issue_msg`.
pesan	security_result.description	Nilai diambil dari kolom `message`.
metode	network.http.method	Nilai diambil dari kolom `method`.
model.description	metadata.description	Nilai diambil dari kolom `model.description`.
model.name	metadata.product_event_type	Nilai diambil dari kolom `model.name`.
model.now.category	security_result.severity	Jika nilainya adalah `critical`, kolom UDM akan ditetapkan ke `CRITICAL`. Jika nilainya adalah `Informational`, kolom UDM akan ditetapkan ke `INFORMATIONAL`. Jika nilainya adalah `Suspicious`, kolom UDM akan disetel ke `HIGH` dan kategorinya akan disetel ke `NETWORK_SUSPICIOUS`.
model.now.description	metadata.description	Nilai diambil dari kolom `model.now.description`.
model.now.message	security_result.description	Nilai diambil dari kolom `model.now.message`.
model.now.name	metadata.product_event_type	Nilai diambil dari kolom `model.now.name`.
model.now.pid	principal.process.pid	Nilai diambil dari kolom `model.now.pid` dan dikonversi menjadi string.
model.now.uuid	principal.user.userid	Nilai diambil dari kolom `model.now.uuid` dan jenis peristiwa ditetapkan ke `USER_UNCATEGORIZED`.
model.pid	principal.process.pid	Nilai diambil dari kolom `model.pid` dan dikonversi menjadi string.
model.then.description	principal.resource.attribute.labels.Model Lalu Deskripsi	Nilai diambil dari kolom `model.then.description`.
model.then.name	principal.resource.attribute.labels.Model Then Name	Nilai diambil dari kolom `model.then.name`.
model.then.pid	principal.resource.attribute.labels.Model Then Pid	Nilai diambil dari kolom `model.then.pid` dan dikonversi menjadi string.
model.then.uuid	principal.resource.attribute.labels.Model Kemudian UUID	Nilai diambil dari kolom `model.then.uuid`.
model.uuid	principal.user.userid	Nilai diambil dari kolom `model.uuid` dan jenis peristiwa ditetapkan ke `USER_UNCATEGORIZED`.
relatedBreaches.0.modelName	security_result.description	Nilai diambil dari kolom `relatedBreaches.0.modelName`.
skor	security_result.priority, security_result.priority_details	Jika nilainya antara 0,8 dan 1, prioritas ditetapkan ke `HIGH_PRIORITY`. Jika nilainya antara 0,5 dan 0,79, prioritas ditetapkan ke `MEDIUM_PRIORITY`. Jika nilainya antara 0 dan 0,49, prioritas ditetapkan ke `LOW_PRIORITY`. Detail prioritas ditetapkan ke `Score :`, diikuti dengan nilai `score` yang dikonversi menjadi string.
tingkat keseriusan,	security_result.severity	Jika nilainya adalah 2, kolom UDM akan ditetapkan ke `MEDIUM`. Jika nilainya lebih besar dari 2, kolom UDM akan ditetapkan ke `HIGH`.
shost	principal.hostname, principal.asset.hostname	Nilai diambil dari kolom `shost`.
smac	principal.mac	Nilai diambil dari kolom `smac`.
src	principal.ip, principal.asset.ip	Nilai diambil dari kolom `src`.
status	network.http.response_code	Nilai diambil dari kolom `status` dan dikonversi menjadi string.
ringkasan	metadata.description	Nilai diambil dari kolom `summary`.
waktu		Nilai diambil dari kolom `time`, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik.
timestamp		Nilai diambil dari kolom `timestamp` dan diuraikan sebagai stempel waktu ISO8601 atau stempel waktu UNIX dalam milidetik.
title	security_result.summary	Nilai diambil dari kolom `title`.
triggeredComponents.ip	intermediary.ip	Nilai diambil dari kolom `triggeredComponents.ip` jika cocok dengan format alamat IP.
triggeredComponents.port	intermediary.port	Nilai diambil dari kolom `triggeredComponents.port` dan dikonversi menjadi bilangan bulat.
nama pengguna	principal.user.userid	Nilai diambil dari kolom `username`.
	metadata.vendor_name	Tetapkan ke `DARKTRACE`.
	metadata.product_name	Tetapkan ke `DCIP`.
	metadata.log_type	Tetapkan ke `DARKTRACE`.
	network.ip_protocol	Disetel ke `TCP` jika `issue_msg` tidak berisi `UDP`. Jika tidak, ditetapkan ke `UDP`.
	security_result.action	Disetel ke `BLOCK` jika `status` adalah `401`, jika tidak, disetel ke `ALLOW`.
	security_result.severity	Tetapkan ke `INFORMATIONAL`.
	network.application_protocol	Disetel ke `HTTP` jika `method` tidak kosong.
	metadata.event_type	Disetel ke `NETWORK_HTTP` jika `method` tidak kosong. Disetel ke `USER_LOGIN` jika `description` berisi `logged into \\\\S+ over ssh`. Disetel ke `NETWORK_CONNECTION` jika `target_ip` tidak kosong. Jika tidak, setel ke `STATUS_UPDATE`.
	extensions.auth.type	Disetel ke `MACHINE` jika `description` berisi `logged into \\\\S+ over ssh`.
	security_result.category	Disetel ke `DATA_EXFILTRATION` jika `issue_msg` berisi `Exfiltration`. Disetel ke `NETWORK_MALICIOUS` jika `issue_msg` berisi `Compromise`. Jika tidak, setel ke `NETWORK_SUSPICIOUS`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.