このページは Cloud Translation API によって翻訳されました。

Delinea Distributed Engine のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Delinea Distributed Engine ログを Google Security Operations に取り込む方法について説明します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Delinea ポータルへの特権アクセス。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'DELINEA_DISTRIBUTED_ENGINE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Delinea Syslog を構成する

Delinea ポータルのウェブ UI にログインします。
[Admin] > [Application] に移動します。
[編集] ボタンをクリックします。
[Syslog/CEF ログ出力の有効化] チェックボックスをオンにします。[Syslog] セクションが表示されます。
Bindplane エージェントの IP アドレスを入力します。
Bindplane エージェントのポート番号を入力します。
[プロトコル] メニューをクリックして、[TCP] を選択します。
必要に応じて、[Time Zone list to UTC Time] または [Server Time] をクリックして選択します。
[サイト] メニューをクリックして、Syslog/CEF が実行される関連するサイトを選択します。
省略可（追加の権限が必要）: [Write Syslogs As Windows Events] を選択して、監査とイベントサブスクリプションを Windows イベントログに書き込みます。
[保存] をクリックします。

分散エンジンのログレベルを構成する

Delinea ポータルのウェブ UI にログインします。
[管理] > [分散エンジン] に移動します。
関連するエンジンの上にあるその他アイコンをクリックし、[設定を表示] を選択します。
[ログレベル] メニューで [情報] を選択します。
[OK] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`ACTION`	`security_result.action`	`ACTION_CODE` が「1」の場合は、「ALLOW」に設定します。それ以外の場合、`ACTION_CODE` が空でない場合は「BLOCK」に設定します。それ以外の場合は、パーサーの早い段階で「UNKNOWN_ACTION」にデフォルト設定されます。
`ACTION_CODE`	`security_result.action`	`security_result.action` を決定するロジックで使用されます。
`APP_NAME`	`network.http.user_agent`	直接マッピングされます。
`BYTES_RECVD`	`network.received_bytes`	直接マッピングされ、符号なし整数に変換されます。
`BYTES_SENT`	`network.sent_bytes`	直接マッピングされ、符号なし整数に変換されます。
`CLOUDGENIX_HOST`	`principal.hostname`	`NAME` フィールドが空の場合、直接マッピングされます。`NAME` が存在する場合、中間ホスト名として使用されます。
`CODE`	`metadata.product_event_type`	`FACILITY` と連結して `metadata.product_event_type` を形成します。また、`metadata.event_type` の決定にも使用されます（例: `CODE` に「DOWN」が含まれている場合、`metadata.event_type` は「STATUS_SHUTDOWN」に設定されます）。
`DESTINATION_ZONE_NAME`	`about.labels`	キー「DESTINATION_ZONE_NAME」のラベルとして直接マッピングされます。
`DEVICE_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`DST_INTERFACE`	`target.hostname`	直接マッピングされます。
`DST_IP`	`target.ip`	直接マッピングされます。
`DST_PORT`	`target.port`	直接マッピングされ、整数に変換されます。
`ELEMENT_ID`	`about.labels`	キー「ELEMENT_ID」のラベルとして直接マッピングされます。
`EVENT_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`FACILITY`	`metadata.product_event_type`	`CODE` と連結して `metadata.product_event_type` を形成します。
`FLOW_EVENT`	`security_result.summary`	`security_result.summary` 文字列の一部として使用されます。
`IDENTIFIER`	`about.labels`	キー「IDENTIFIER」のラベルとして直接マッピングされます。
`ION_HOST`	`principal.hostname`	`CLOUDGENIX_HOST` フィールドと `NAME` フィールドが空の場合、直接マッピングされます。
`MSG`	`metadata.description`	直接マッピングされます。また、正規表現マッチングを使用して `metadata.event_type` を特定し、`target.ip` を抽出するためにも使用されます。
`NAME`	`principal.hostname`	直接マッピングされます。このタグが存在する場合、`CLOUDGENIX_HOST` は `intermediary.hostname` になります。
`PROCESS_NAME`	`principal.process.file.full_path`	直接マッピングされます。
`PROTOCOL_NAME`	`network.ip_protocol`	直接マッピングされ、大文字に変換されます。
`REMOTE_HOSTNAME`	`target.hostname`	直接マッピングされます。
`REMOTE_IP`	`target.ip`	直接マッピングされます。
`RULE_NAME`	`security_result.rule_name`	直接マッピングされます。
`SEVERITY`	`security_result.severity`、`security_result.severity_details`	`security_result.severity_details` にマッピングされます。また、`security_result.severity` の決定にも使用されます（例: `SEVERITY` が「minor」の場合、`security_result.severity` は「LOW」に設定されます）。
`SOURCE_ZONE_NAME`	`about.labels`	キー「SOURCE_ZONE_NAME」のラベルとして直接マッピングされます。
`SRC_INTERFACE`	`principal.hostname`	直接マッピングされます。
`SRC_IP`	`principal.ip`	直接マッピングされます。
`SRC_PORT`	`principal.port`	直接マッピングされ、整数に変換されます。
`VPN_LINK_ID`	`target.resource.id`	直接マッピングされます。
（パーサーロジック）	`is_alert`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`is_significant`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`metadata.event_type`	`CODE`、`MSG`、`src_ip`、`dest_ip` の値に基づく一連の条件文によって決定されます。デフォルトは「GENERIC_EVENT」です。
（パーサーロジック）	`metadata.log_type`	「CLOUDGENIX_SDWAN」に設定されます。
（パーサーロジック）	`metadata.product_event_type`	デフォルトは `CODE` と `FACILITY` の連結です。フローログの場合は「cgxFlowLogV1」に設定します。
（パーサーロジック）	`metadata.product_name`	「CloudGenix SD-WAN」に設定します。
（パーサーロジック）	`metadata.vendor_name`	「Palo Alto Networks」に設定します。
（パーサーロジック）	`principal.process.pid`	フローログの場合、未加工ログの `pid` の値に設定します。
（パーサーロジック）	`security_result.action`	デフォルトは「UNKNOWN_ACTION」です。
（パーサーロジック）	`security_result.severity`	デフォルトは「UNKNOWN_SEVERITY」です。`SEVERITY` の値に基づいて設定します。フローログの場合は「INFORMATIONAL」に設定します。
（パーサーロジック）	`security_result.summary`	syslog メッセージについては `CODE` の値に基づいて設定されます。フローログの `FLOW_EVENT`、`SRC_IP`、`DST_IP` を含む説明文字列に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。