Mengumpulkan log Epic Systems
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Epic Systems ke Google Security Operations menggunakan agen Bindplane. Parser mengubah log sistem EMR/EHR Epic mentah menjadi model data terpadu (UDM). Pertama-tama, pesan log dibersihkan dan distrukturkan, key-value pair diekstrak, lalu kolom yang diekstrak dipetakan ke kolom UDM yang sesuai, dengan menangani berbagai format log dan inkonsistensi data untuk memastikan representasi data yang komprehensif dan standar.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd. - Jika berjalan di belakang proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses istimewa ke Epic Systems.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: EPIC raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi layanan SendSIEMSyslogAudit
- Login ke konsol Epic Systems.
- Buka Start > Epic > Interconnect >
<your instance>> Configuration editor. - Pilih formulir Layanan bisnis.
- Di tab Service category, pilih SendSIEMSyslogAudit.
- Klik Simpan.
Mengonfigurasi Epic Systems untuk mengekspor syslog
- Buka Epic system definitions > Security > Auditing options > SIEM syslog settings.
- Berikan detail konfigurasi berikut:
- Host: masukkan alamat IP agen Bindplane.
- Port: masukkan nomor port agen Bindplane.
- Format SIEM: pilih CEF (Common Event Format).
- Karakter akhir Syslog: pilih Baris Baru "\n".
- Dari menu SIEM syslog settings, pilih SIEM syslog.
- Klik Diaktifkan.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| APIID | read_only_udm.additional.fields.api.value.string_value | Nilai diambil dari kolom APIID dalam log mentah |
| APPLICATIONID | read_only_udm.additional.fields.application_id.value.string_value | Nilai diambil dari kolom APPLICATIONID di log mentah |
| APP | read_only_udm.target.application | Nilai diambil dari kolom APP di log mentah |
| SESI AUDIT | read_only_udm.network.session_id | Nilai diambil dari kolom AUDIT SESSION di log mentah |
| AUTH_SOURCE | Kolom ini tidak dipetakan ke UDM | |
| BCAPCS | read_only_udm.target.application | Nilai diambil dari kolom BCAPCS di log mentah |
| BTGEXPLANATION | read_only_udm.security_result.description | Nilai diambil dari kolom BTGEXPLANATION di log mentah |
| BTGNOACCESSREAS | read_only_udm.security_result.summary | Nilai diambil dari kolom BTGNOACCESSREAS di log mentah |
| BTGREASON | read_only_udm.security_result.summary | Nilai diambil dari kolom BTGREASON dalam log mentah |
| CLIENTNAME | read_only_udm.principal.hostname | Nilai diambil dari kolom CLIENTNAME di log mentah |
| CSISESS_TOKEN | read_only_udm.network.session_id | Nilai diambil dari kolom CSISESS_TOKEN di log mentah |
| CTXT | read_only_udm.metadata.description | Nilai diambil dari kolom CTXT di log mentah |
| CVG | read_only_udm.additional.fields.cvg.value.string_value | Nilai diambil dari kolom CVG di log mentah |
| DAT | Kolom ini tidak dipetakan ke UDM | |
| DEP | read_only_udm.principal.user.department | Nilai diambil dari kolom DEP di log mentah. Jika kolom NEWDEPARTMENT dan PREVDEPARTMENT ada dalam log mentah, nilainya adalah PREVDEPARTMENT:-{PREVDEPARTMENT}, NEWDEPARTMENT:-{NEWDEPARTMENT}. Jika hanya NEWDEPARTMENT yang ada, nilainya adalah PREVDEPARTMENT:-NONE, NEWDEPARTMENT:{NEWDEPARTMENT}. Jika hanya PREVDEPARTMENT yang ada, nilainya adalah PREVDEPARTMENT:{PREVDEPARTMENT}, NEWDEPARTMENT:-NONE |
| devTime | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom devTime di log mentah dan dikonversi menjadi detik sejak epoch |
| devTimeFormat | Kolom ini tidak dipetakan ke UDM | |
| E3MID | read_only_udm.network.session_id | Nilai diambil dari kolom E3MID di log mentah |
| DIENKRIPSI | read_only_udm.additional.fields.encrypt.value.string_value | Nilai diambil dari kolom ENCRYPTED di log mentah |
| ERRMSG | read_only_udm.security_result.summary | Nilai diambil dari kolom ERRMSG di log mentah |
| eventCnt | Kolom ini tidak dipetakan ke UDM | |
| FILENAME | read_only_udm.target.file.full_path | Nilai diambil dari kolom FILENAME di log mentah dan semua kemunculan \\\\ diganti dengan \ |
| flag | read_only_udm.security_result.description | Nilai diambil dari kolom tanda di log mentah dan semua - di awal dan akhir dihapus |
| HKUAPVER | read_only_udm.metadata.product_version | Nilai diambil dari kolom HKUAPVER di log mentah |
| HKUDVCID | read_only_udm.principal.asset_id | Nilai diambil dari kolom HKUDVCID di log mentah dan diformat sebagai Device ID:{HKUDVCID} |
| HKUOSNAM | read_only_udm.principal.platform | Nilai diambil dari kolom HKUOSNAM dalam log mentah dan dipetakan ke WINDOWS, MAC, LINUX, atau UNKNOWN_PLATFORM berdasarkan nilai |
| HKUOSVER | read_only_udm.principal.platform_version | Nilai diambil dari kolom HKUOSVER dalam log mentah |
| INSTANCEURN | read_only_udm.intermediary.hostname | Nilai diambil dari kolom INSTANCEURN dalam log mentah |
| IP | read_only_udm.target.ip | Nilai diambil dari kolom IP di log mentah. Jika nilai berisi /, nilai tersebut akan dibagi menjadi dua alamat IP. Jika nilai berisi ,, nilai tersebut akan dibagi menjadi beberapa alamat IP. |
| LOGINERROR | read_only_udm.security_result.summary | Nilai diambil dari kolom LOGINERROR di log mentah |
| LOGIN_CONTEXT | read_only_udm.metadata.description | Nilai diambil dari kolom LOGIN_CONTEXT di log mentah |
| LOGIN_DEVICE | read_only_udm.additional.fields.login_device.value.string_value | Nilai diambil dari kolom LOGIN_DEVICE di log mentah |
| LOGIN_LDAP_ID | read_only_udm.principal.user.userid | Nilai diambil dari kolom LOGIN_LDAP_ID di log mentah |
| LOGIN_REASON | read_only_udm.security_result.summary | Nilai diambil dari kolom LOGIN_REASON di log mentah |
| LOGIN_REVAL | read_only_udm.additional.fields.login_reval.value.string_value | Nilai diambil dari kolom LOGIN_REVAL di log mentah |
| MASKMODE | read_only_udm.additional.fields.masked_mode.value.string_value | Nilai diambil dari kolom MASKMODE di log mentah |
| MYCACCT | read_only_udm.principal.user.userid | Nilai diambil dari kolom MYCACCT di log mentah |
| NEWDEPARTMENT | read_only_udm.principal.user.department | Melihat logika untuk kolom DEP |
| NEWUSER | Kolom ini tidak dipetakan ke UDM | |
| NSC | read_only_udm.additional.fields.nsc.value.string_value | Nilai diambil dari kolom NSC di log mentah |
| OSUSR | read_only_udm.target.user.userid | Nilai diambil dari kolom OSUSR di log mentah |
| PASIEN | read_only_udm.target.user.userid | Nilai diambil dari kolom PATIENT dalam log mentah |
| PREVDEPARTMENT | read_only_udm.principal.user.department | Melihat logika untuk kolom DEP |
| PREVPROVIDER | Kolom ini tidak dipetakan ke UDM | |
| PREVUSER | read_only_udm.principal.resource.attribute.labels.prev_user.value | Nilai diambil dari kolom PREVUSER di log mentah |
| PWREASON | read_only_udm.metadata.description | Nilai diambil dari kolom PWREASON dalam log mentah |
| PERAN | read_only_udm.principal.user.attribute.roles.name | Nilai diambil dari kolom ROLE dalam log mentah |
| resource | read_only_udm.target.hostname | Nilai diambil dari kolom resource dalam log mentah |
| SERVICEID | read_only_udm.additional.fields.service_id.value.string_value | Nilai diambil dari kolom SERVICEID dalam log mentah |
| SERVICECATEGORY | read_only_udm.additional.fields.service_category.value.string_value | Nilai diambil dari kolom SERVICECATEGORY dalam log mentah |
| SERVICEMSGID | Kolom ini tidak dipetakan ke UDM | |
| SERVICENAME | read_only_udm.target.resource.name | Nilai diambil dari kolom SERVICENAME dalam log mentah |
| SERVICETYPE | read_only_udm.target.resource.type | Nilai diambil dari kolom SERVICETYPE dalam log mentah. Jika event_id adalah PHI_CLIENT_FILE, nilai ditetapkan ke FILE |
| SERVICE_USER | read_only_udm.target.user.userid | Nilai diambil dari kolom SERVICE_USER di log mentah |
| SERVICE_USERTYP | read_only_udm.additional.fields.service_user_type.value.string_value | Nilai diambil dari kolom SERVICE_USERTYP di log mentah |
| sev | read_only_udm.security_result.severity | Nilai diambil dari kolom sev di log mentah dan dipetakan ke LOW, HIGH, atau CRITICAL berdasarkan nilai |
| shost | read_only_udm.target.resource.attribute.labels.workstation_type.value | Nilai diambil dari kolom shost di log mentah |
| SUMBER | read_only_udm.additional.fields.login_source.value.string_value | Nilai diambil dari kolom SOURCE dalam log mentah |
| BERHASIL | read_only_udm.additional.fields.success_yes_no.value.string_value | Nilai diambil dari kolom SUCCESS dalam log mentah |
| TIMEOUT | read_only_udm.additional.fields.time_out.value.string_value | Nilai diambil dari kolom TIMEOUT di log mentah |
| UID | read_only_udm.principal.user.userid | Nilai diambil dari kolom UID di log mentah |
| USERJOB | Kolom ini tidak dipetakan ke UDM | |
| usrName | read_only_udm.principal.user.userid, read_only_udm.principal.user.user_display_name | Jika kolom UID atau LOGIN_LDAP_ID ada di log mentah, usrName digunakan untuk read_only_udm.principal.user.user_display_name dan kolom lainnya digunakan untuk read_only_udm.principal.user.userid. Jika tidak, usrName digunakan untuk read_only_udm.principal.user.userid |
| WEBLGAPP | read_only_udm.target.application | Nilai diambil dari kolom WEBLGAPP di log mentah |
| read_only_udm.extensions.auth.type | Nilai disetel ke SSO jika LOGIN_LDAP_ID tidak kosong. Jika tidak, nilai ditetapkan ke AUTHTYPE_UNSPECIFIED. |
|
| read_only_udm.intermediary.ip | Nilai ditetapkan ke alamat IP sumber log. | |
| read_only_udm.metadata.event_type | Nilai ditetapkan ke RESOURCE_READ jika event_id adalah salah satu dari IC_SERVICE_AUDIT, AC_BREAK_THE_GLASS_FAILED_ACCESS, AC_BREAK_THE_GLASS_INAPPROPRIATE_ATTEMPT, AC_BREAK_THE_GLASS_ACCESS, atau MCMEMEDISA dan target_ip_set adalah true atau resource tidak kosong. Nilai ditetapkan ke USER_LOGIN jika event_id adalah salah satu dari FAILEDLOGIN, LOGIN, ROVER_FAILED_LOGIN, SWITCHUSER, AUTHENTICATION, EW_LOGIN, ROVER_LOGIN, CTO_FAILED_LOGIN, CTO_LOGIN, HKU_FAILED_LOGIN, HKU_LOGIN, WPSEC_SEC_AUTH_OPT_OUT, WPSEC_SEC_AUTH_OPT_IN, BCA_LOGIN_FAILURE, BCA_LOGIN_SUCCESS, BCA_USER_LOCKED, WPSEC_LOGIN_FAIL, atau WPSEC_LOGIN_SUCCESS dan setidaknya salah satu dari target_ip_set, resource, SERVICENAME, SERVICETYPE, atau shost tidak kosong. Nilai ditetapkan ke USER_CHANGE_PASSWORD jika event_id adalah salah satu dari E_ADMINPASSWORDCHANGE, E_FAILEDPASSWORDCHANGE, E_SELFPASSWORDCHANGE, WPSEC_USER_PASSWORD_CHANGE_FAIL, atau WPSEC_USER_PASSWORD_CHANGE. Nilai ditetapkan ke USER_UNCATEGORIZED jika event_id adalah CONTEXTCHANGE. Nilai ditetapkan ke USER_RESOURCE_ACCESS jika event_id adalah salah satu dari SECURE, UNSECURE, MASKED_DATA_DISPLAY, atau MASKED_DATA_PRINTING. Nilai ditetapkan ke USER_RESOURCE_UPDATE_CONTENT jika event_id adalah PHI_CLIENT_FILE. Nilai ditetapkan ke STATUS_UPDATE jika CLIENTNAME tidak kosong. Nilai ditetapkan ke USER_UNCATEGORIZED jika prin_usr_id tidak kosong. Jika tidak, nilai ditetapkan ke GENERIC_EVENT. |
|
| read_only_udm.metadata.log_type | Nilai ditetapkan ke EPIC. |
|
| read_only_udm.metadata.product_name | Nilai ditetapkan ke Epic Systems. |
|
| read_only_udm.metadata.vendor_name | Nilai ditetapkan ke EPIC. |
|
| read_only_udm.network.ip_protocol | Nilai berasal dari kolom proto di log mentah dan dipetakan ke nama protokol IP yang sesuai. | |
| read_only_udm.principal.resource.attribute.labels.workstation_type.key | Nilai ditetapkan ke Workstation ID/Type. |
|
| read_only_udm.principal.resource.attribute.labels.prev_user.key | Nilai ditetapkan ke Prev User. |
|
| read_only_udm.security_result.action | Nilai disetel ke BLOCK jika kolom ERRMSG atau LOGINERROR ada di log mentah. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.