Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log DLP Endpoint Protector

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Netwrix Endpoint Protector DLP (Perlindungan dari Kehilangan Data) ke Google Security Operations menggunakan BindPlane. Parser mengekstrak kolom dari pesan syslog, memanfaatkan pola grok untuk mengidentifikasi informasi penting. Kemudian, memetakan kolom yang diekstrak ini ke Model Data Terpadu (UDM), menangani berbagai jenis data, dan memperkaya output dengan metadata seperti informasi vendor dan produk. Parser juga melakukan beberapa transformasi data, termasuk manipulasi string dan penggabungan kolom bersyarat berdasarkan sistem operasi dan kriteria lainnya.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Netwrix Endpoint Protector

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ENDPOINT_PROTECTOR_DLP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Netwrix Endpoint Protector

Login ke UI web Endpoint Protector.
Buka Appliance > SIEM Integration.
Klik Add New.
Berikan detail konfigurasi berikut:
- Status SIEM: Aktifkan tombol untuk mengaktifkan server SIEM.
- Nonaktifkan Logging: Alihkan tombol untuk mengaktifkan logging.
- Server Name: Masukkan nama server yang unik dan bermakna.
- Deskripsi Server: Tambahkan deskripsi untuk integrasi ini.
- IP atau DNS server: Masukkan alamat IP agen Bindplane.
- Server Protocol: Pilih UDP.
- Server Port: Masukkan nomor port agen Bindplane (misalnya, 514 untuk UDP).
- Mengecualikan Header: Alihkan tombol untuk mengaktifkan header log.
- Jenis Log: Pilih log yang tersedia untuk dikirim ke SIEM.
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Client Computer`	`principal.asset.asset_id`	Nilai `Client Computer` ditetapkan ke `principal.asset.asset_id` setelah menambahkan "Client Computer: " di depannya.
`Client User`	`principal.user.userid`	Nilai `Client User` ditetapkan ke `principal.user.userid`.
`Content Policy`	`security_result.rule_name`	Nilai `Content Policy` ditetapkan ke `security_result.rule_name`.
`Content Policy Type`	`security_result.rule_id`	Nilai `Content Policy Type` ditetapkan ke `security_result.rule_id`.
`Destination`	`metadata.ingestion_labels.value`	Nilai `Destination` ditetapkan ke kolom `value` objek `ingestion_labels` dengan `key` adalah "Tujuan".
`Destination Type`	`metadata.ingestion_labels.value`	Nilai `Destination Type` ditetapkan ke kolom `value` objek `ingestion_labels` dengan `key` adalah "Jenis Tujuan".
`Device PID`	`metadata.ingestion_labels.value`	Nilai `Device PID` ditetapkan ke kolom `value` dari objek `ingestion_labels` dengan `key` adalah "PID Perangkat".
`Device Serial`	`metadata.ingestion_labels.value`	Nilai `Device Serial` ditetapkan ke kolom `value` dari objek `ingestion_labels` dengan `key` adalah "Device Serial". Tindakan ini hanya dilakukan jika `Device Serial` tidak kosong.
`Device VID`	`metadata.ingestion_labels.value`	Nilai `Device VID` ditetapkan ke kolom `value` objek `ingestion_labels` dengan `key` adalah "VID Perangkat".
`File Name`	`target.file.full_path`	Nilai `File Name` ditetapkan ke `target.file.full_path`.
`File Size`	`target.file.size`	Nilai `File Size` ditetapkan ke `target.file.size` dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
`IP Address`	`principal.ip`	Nilai `IP Address` ditetapkan ke `principal.ip`.
`Item Details`	`metadata.ingestion_labels.value`	Nilai `Item Details` ditetapkan ke kolom `value` objek `ingestion_labels` dengan `key` adalah "Detail Item".
`Log ID`	`metadata.product_log_id`	Nilai `Log ID` ditetapkan ke `metadata.product_log_id`.
`MAC Address`	`principal.mac`	Nilai `MAC Address` ditetapkan ke `principal.mac` setelah mengganti semua tanda hubung dengan titik dua.
`Matched Item`	`metadata.ingestion_labels.value`	Nilai `Matched Item` ditetapkan ke kolom `value` dari objek `ingestion_labels` dengan `key` adalah "Item yang Cocok".
`Message`	`security_result.summary`	Nilai `Message` ditetapkan ke `security_result.summary`.
`OS`	`principal.platform`	Nilai `OS` digunakan untuk menentukan nilai `principal.platform`. Jika `OS` berisi "Windows", `principal.platform` ditetapkan ke "WINDOWS". Jika `OS` berisi "Mac", `principal.platform` ditetapkan ke "MAC". Jika `OS` berisi "Lin", `principal.platform` ditetapkan ke "LINUX".
`Serial Number`	`principal.asset.hardware.serial_number`	Nilai `Serial Number` ditetapkan ke `principal.asset.hardware.serial_number`. Diekstrak dari kolom pesan menggunakan grok dan ditetapkan ke `intermediary.hostname`. Diekstrak dari kolom pesan menggunakan grok dan ditetapkan ke `metadata.description`. Stempel waktu dari pesan syslog diuraikan dan ditetapkan ke `metadata.event_timestamp`. Nilai "SCAN_UNCATEGORIZED" ditetapkan ke `metadata.event_type`. Nilai "ENDPOINT_PROTECTOR_DLP" ditetapkan ke `metadata.log_type`. Nilai "ENDPOINT_PROTECTOR_DLP" ditetapkan ke `metadata.product_name`. Nilai "ENDPOINT_PROTECTOR_DLP" ditetapkan ke `metadata.vendor_name`. Diekstrak dari kolom pesan menggunakan grok dan ditetapkan ke `principal.hostname`. Diekstrak dari kolom pesan menggunakan grok dan ditetapkan ke `principal.ip`. Stempel waktu dari pesan syslog diuraikan dan ditetapkan ke kolom `timestamp` tingkat teratas.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.