收集 Epic Systems 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane 代理程式,將 Epic Systems 記錄收集至 Google Security Operations。剖析器會將原始 Epic EMR/EHR 系統記錄轉換為統一資料模型 (UDM)。這項服務會先清理及建構記錄訊息、擷取鍵/值組合,然後將擷取的欄位對應至相應的 UDM 欄位,處理各種記錄格式和資料不一致的情況,確保資料呈現方式全面且標準化。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載
systemd的 Linux 主機。 - 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
- 確認您具備 Epic Systems 的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: EPIC raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 SendSIEMSyslogAudit 服務
- 登入 Epic Systems 控制台。
- 依序前往「開始」>「Epic」>「Interconnect」>「
<your instance>」>「Configuration editor」(設定編輯器)。 - 選取「商家服務」表單。
- 在「服務類別」分頁中,選取「SendSIEMSyslogAudit」。
- 按一下 [儲存]。
設定 Epic Systems 匯出系統記錄檔
- 依序前往「Epic 系統定義」>「安全性」>「稽核選項」>「SIEM Syslog 設定」。
- 提供下列設定詳細資料:
- 主機:輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號。
- SIEM 格式:選取「CEF (通用事件格式)」。
- 系統記錄結尾字元:選取「新行」「\n」。
- 在「SIEM syslog 設定」選單中,選取「SIEM syslog」。
- 按一下「已啟用」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| APIID | read_only_udm.additional.fields.api.value.string_value | 值取自原始記錄中的 APIID 欄位 |
| APPLICATIONID | read_only_udm.additional.fields.application_id.value.string_value | 值取自原始記錄中的 APPLICATIONID 欄位 |
| 應用程式 | read_only_udm.target.application | 值取自原始記錄中的 APP 欄位 |
| 稽核工作階段 | read_only_udm.network.session_id | 值取自原始記錄中的 AUDIT SESSION 欄位 |
| AUTH_SOURCE | 這個欄位未對應至 UDM | |
| BCAPCS | read_only_udm.target.application | 值取自原始記錄中的 BCAPCS 欄位 |
| BTGEXPLANATION | read_only_udm.security_result.description | 值取自原始記錄中的 BTGEXPLANATION 欄位 |
| BTGNOACCESSREAS | read_only_udm.security_result.summary | 值取自原始記錄中的 BTGNOACCESSREAS 欄位 |
| BTGREASON | read_only_udm.security_result.summary | 值取自原始記錄中的 BTGREASON 欄位 |
| CLIENTNAME | read_only_udm.principal.hostname | 值取自原始記錄中的 CLIENTNAME 欄位 |
| CSISESS_TOKEN | read_only_udm.network.session_id | 值取自原始記錄中的 CSISESS_TOKEN 欄位 |
| CTXT | read_only_udm.metadata.description | 值取自原始記錄中的 CTXT 欄位 |
| CVG | read_only_udm.additional.fields.cvg.value.string_value | 值取自原始記錄中的 CVG 欄位 |
| DAT | 這個欄位未對應至 UDM | |
| DEP | read_only_udm.principal.user.department | 值取自原始記錄中的 DEP 欄位。如果原始記錄中同時存在 NEWDEPARTMENT 和 PREVDEPARTMENT 欄位,值會是 PREVDEPARTMENT:-{PREVDEPARTMENT}, NEWDEPARTMENT:-{NEWDEPARTMENT}。如果只有 NEWDEPARTMENT,值會是 PREVDEPARTMENT:-NONE, NEWDEPARTMENT:{NEWDEPARTMENT}。如果只有 PREVDEPARTMENT,值會是 PREVDEPARTMENT:{PREVDEPARTMENT}, NEWDEPARTMENT:-NONE |
| devTime | read_only_udm.metadata.event_timestamp | 值取自原始記錄中的 devTime 欄位,並轉換為自 Epoch 起算的秒數 |
| devTimeFormat | 這個欄位未對應至 UDM | |
| E3MID | read_only_udm.network.session_id | 值取自原始記錄中的 E3MID 欄位 |
| ENCRYPTED | read_only_udm.additional.fields.encrypt.value.string_value | 值取自原始記錄中的 ENCRYPTED 欄位 |
| ERRMSG | read_only_udm.security_result.summary | 值取自原始記錄中的 ERRMSG 欄位 |
| eventCnt | 這個欄位未對應至 UDM | |
| FILENAME | read_only_udm.target.file.full_path | 值取自原始記錄中的 FILENAME 欄位,且所有 \\\\ 均會替換為 \ |
| 旗標 | read_only_udm.security_result.description | 值取自原始記錄中的旗標欄位,並移除所有前置和後置 - |
| HKUAPVER | read_only_udm.metadata.product_version | 值取自原始記錄中的 HKUAPVER 欄位 |
| HKUDVCID | read_only_udm.principal.asset_id | 值取自原始記錄中的 HKUDVCID 欄位,並格式化為 Device ID:{HKUDVCID} |
| HKUOSNAM | read_only_udm.principal.platform | 值取自原始記錄中的 HKUOSNAM 欄位,並根據值對應至 WINDOWS、MAC、LINUX 或 UNKNOWN_PLATFORM |
| HKUOSVER | read_only_udm.principal.platform_version | 值取自原始記錄中的 HKUOSVER 欄位 |
| INSTANCEURN | read_only_udm.intermediary.hostname | 值取自原始記錄中的 INSTANCEURN 欄位 |
| IP | read_only_udm.target.ip | 值取自原始記錄中的 IP 欄位。如果值包含 /,系統會將其分割為兩個 IP 位址。如果值包含 ,,系統會將其分割為多個 IP 位址。 |
| LOGINERROR | read_only_udm.security_result.summary | 值取自原始記錄中的 LOGINERROR 欄位 |
| LOGIN_CONTEXT | read_only_udm.metadata.description | 值取自原始記錄中的 LOGIN_CONTEXT 欄位 |
| LOGIN_DEVICE | read_only_udm.additional.fields.login_device.value.string_value | 值取自原始記錄中的 LOGIN_DEVICE 欄位 |
| LOGIN_LDAP_ID | read_only_udm.principal.user.userid | 值取自原始記錄中的 LOGIN_LDAP_ID 欄位 |
| LOGIN_REASON | read_only_udm.security_result.summary | 值取自原始記錄中的 LOGIN_REASON 欄位 |
| LOGIN_REVAL | read_only_udm.additional.fields.login_reval.value.string_value | 值取自原始記錄中的 LOGIN_REVAL 欄位 |
| MASKMODE | read_only_udm.additional.fields.masked_mode.value.string_value | 值取自原始記錄中的 MASKMODE 欄位 |
| MYCACCT | read_only_udm.principal.user.userid | 值取自原始記錄中的 MYCACCT 欄位 |
| NEWDEPARTMENT | read_only_udm.principal.user.department | 查看 DEP 欄位的邏輯 |
| NEWUSER | 這個欄位未對應至 UDM | |
| NSC | read_only_udm.additional.fields.nsc.value.string_value | 值取自原始記錄中的 NSC 欄位 |
| OSUSR | read_only_udm.target.user.userid | 值取自原始記錄中的 OSUSR 欄位 |
| 病患 | read_only_udm.target.user.userid | 值取自原始記錄中的 PATIENT 欄位 |
| PREVDEPARTMENT | read_only_udm.principal.user.department | 查看 DEP 欄位的邏輯 |
| PREVPROVIDER | 這個欄位未對應至 UDM | |
| PREVUSER | read_only_udm.principal.resource.attribute.labels.prev_user.value | 值取自原始記錄中的 PREVUSER 欄位 |
| PWREASON | read_only_udm.metadata.description | 值取自原始記錄中的 PWREASON 欄位 |
| 角色 | read_only_udm.principal.user.attribute.roles.name | 值取自原始記錄中的 ROLE 欄位 |
| 資源 | read_only_udm.target.hostname | 值取自原始記錄中的資源欄位 |
| SERVICEID | read_only_udm.additional.fields.service_id.value.string_value | 值取自原始記錄中的 SERVICEID 欄位 |
| SERVICECATEGORY | read_only_udm.additional.fields.service_category.value.string_value | 值取自原始記錄中的 SERVICECATEGORY 欄位 |
| SERVICEMSGID | 這個欄位未對應至 UDM | |
| SERVICENAME | read_only_udm.target.resource.name | 值取自原始記錄中的 SERVICENAME 欄位 |
| SERVICETYPE | read_only_udm.target.resource.type | 值取自原始記錄中的 SERVICETYPE 欄位。如果 event_id 為 PHI_CLIENT_FILE,則值會設為 FILE |
| SERVICE_USER | read_only_udm.target.user.userid | 值取自原始記錄中的 SERVICE_USER 欄位 |
| SERVICE_USERTYP | read_only_udm.additional.fields.service_user_type.value.string_value | 值取自原始記錄中的 SERVICE_USERTYP 欄位 |
| sev | read_only_udm.security_result.severity | 值取自原始記錄中的 sev 欄位,並根據值對應至 LOW、HIGH 或 CRITICAL |
| shost | read_only_udm.target.resource.attribute.labels.workstation_type.value | 值取自原始記錄中的 shost 欄位 |
| 來源 | read_only_udm.additional.fields.login_source.value.string_value | 值取自原始記錄中的 SOURCE 欄位 |
| 成功 | read_only_udm.additional.fields.success_yes_no.value.string_value | 值取自原始記錄中的 SUCCESS 欄位 |
| 逾時 | read_only_udm.additional.fields.time_out.value.string_value | 值取自原始記錄中的 TIMEOUT 欄位 |
| UID | read_only_udm.principal.user.userid | 值取自原始記錄中的 UID 欄位 |
| USERJOB | 這個欄位未對應至 UDM | |
| usrName | read_only_udm.principal.user.userid、read_only_udm.principal.user.user_display_name | 如果原始記錄中存在 UID 或 LOGIN_LDAP_ID 欄位,usrName 會用於 read_only_udm.principal.user.user_display_name,另一個欄位則用於 read_only_udm.principal.user.userid。否則,usrName 會用於 read_only_udm.principal.user.userid |
| WEBLGAPP | read_only_udm.target.application | 值取自原始記錄中的 WEBLGAPP 欄位 |
| read_only_udm.extensions.auth.type | 如果 LOGIN_LDAP_ID 不為空白,值會設為 SSO。否則,值會設為 AUTHTYPE_UNSPECIFIED。 |
|
| read_only_udm.intermediary.ip | 值已設為記錄來源的 IP 位址。 | |
| read_only_udm.metadata.event_type | 如果 event_id 為 IC_SERVICE_AUDIT、AC_BREAK_THE_GLASS_FAILED_ACCESS、AC_BREAK_THE_GLASS_INAPPROPRIATE_ATTEMPT、AC_BREAK_THE_GLASS_ACCESS 或 MCMEMEDISA,且 target_ip_set 為 true 或 resource 不為空白,則值會設為 RESOURCE_READ。如果 event_id 為 FAILEDLOGIN、LOGIN、ROVER_FAILED_LOGIN、SWITCHUSER、AUTHENTICATION、EW_LOGIN、ROVER_LOGIN、CTO_FAILED_LOGIN、CTO_LOGIN、HKU_FAILED_LOGIN、HKU_LOGIN、WPSEC_SEC_AUTH_OPT_OUT、WPSEC_SEC_AUTH_OPT_IN、BCA_LOGIN_FAILURE、BCA_LOGIN_SUCCESS、BCA_USER_LOCKED、WPSEC_LOGIN_FAIL 或 WPSEC_LOGIN_SUCCESS,且 target_ip_set、resource、SERVICENAME、SERVICETYPE 或 shost 中至少有一個不為空白,則值會設為 USER_LOGIN。如果 event_id 為 E_ADMINPASSWORDCHANGE、E_FAILEDPASSWORDCHANGE、E_SELFPASSWORDCHANGE、WPSEC_USER_PASSWORD_CHANGE_FAIL 或 WPSEC_USER_PASSWORD_CHANGE,值會設為 USER_CHANGE_PASSWORD。如果 event_id 為 CONTEXTCHANGE,值會設為 USER_UNCATEGORIZED。如果 event_id 是 SECURE、UNSECURE、MASKED_DATA_DISPLAY 或 MASKED_DATA_PRINTING,則值會設為 USER_RESOURCE_ACCESS。如果 event_id 為 PHI_CLIENT_FILE,值會設為 USER_RESOURCE_UPDATE_CONTENT。如果 CLIENTNAME 不為空白,則值會設為 STATUS_UPDATE。如果 prin_usr_id 不為空白,值會設為 USER_UNCATEGORIZED。否則,值會設為 GENERIC_EVENT。 |
|
| read_only_udm.metadata.log_type | 值設為 EPIC。 |
|
| read_only_udm.metadata.product_name | 值設為 Epic Systems。 |
|
| read_only_udm.metadata.vendor_name | 值設為 EPIC。 |
|
| read_only_udm.network.ip_protocol | 值衍生自原始記錄中的 proto 欄位,並對應至相應的 IP 通訊協定名稱。 | |
| read_only_udm.principal.resource.attribute.labels.workstation_type.key | 值設為 Workstation ID/Type。 |
|
| read_only_udm.principal.resource.attribute.labels.prev_user.key | 值設為 Prev User。 |
|
| read_only_udm.security_result.action | 如果原始記錄中存在 ERRMSG 或 LOGINERROR 欄位,值會設為 BLOCK。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。