ESET AV-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie ESET AV-Logs mit Bindplane in Google Security Operations aufnehmen. Der Logstash-Parsercode extrahiert Sicherheitsereignisdaten aus ESET_AV-Logs, die im SYSLOG- oder JSON-Format formatiert sind. Zuerst wird die Rohdaten-Nachricht normalisiert. Anschließend wird sie anhand des ermittelten Formats geparst und die extrahierten Felder werden dem entsprechenden UDM-Schema (Unified Data Model) zugeordnet, um eine einheitliche Darstellung und Analyse zu ermöglichen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf ESET Protect

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ESET_AV'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog für ESET PROTECT On-Premise konfigurieren

  1. Melden Sie sich in der ESET Protect Web Console an.
  2. Gehen Sie zu Mehr > Einstellungen > Erweiterte Einstellungen > Syslog-Server.
  3. Wählen Sie den Schalter neben Syslog aktivieren aus.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Host: Geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Port: Geben Sie die Portnummer des Bindplane-Agents ein (514 für UDP).
    • Format: Wählen Sie Syslog aus.
    • Transport: Wählen Sie UDP aus.
    • Ausführlichkeit des Trace-Logs: Wählen Sie Informational aus.
    • Logs in Syslog exportieren: Wählen Sie Aktivieren aus.
    • Format der exportierten Protokolle: Wählen Sie JSON aus.
  5. Klicken Sie auf Speichern.

Syslog für ESET PROTECT Cloud konfigurieren

  1. Melden Sie sich in der ESET Protect Web Console an.
  2. Gehen Sie zu Mehr > Einstellungen > Syslog-Server.
  3. Wählen Sie den Schalter neben Syslog aktivieren aus.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Format der Nutzlast: Wählen Sie JSON aus.
    • Format des Umschlags: Wählen Sie Syslog aus.
    • Geringste Logebene: Wählen Sie Informationen aus.
    • Zu protokollierende Ereignistypen: Wählen Sie Alle Ereignistypen aus.
    • Ziel-IP: Geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Port: Geben Sie die Portnummer des Bindplane-Agents ein (514 für UDP).
  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Konto principal.administrative_domain Aus dem Feld account mit dem Grok-Muster %{DATA:admin_domain}\\\\%{WORD:user_id} extrahiert.
Konto principal.user.userid Aus dem Feld account mit dem Grok-Muster %{DATA:admin_domain}\\\\%{WORD:user_id} extrahiert.
Aktion security_result.action Wenn action Block ist (ohne Berücksichtigung der Groß- und Kleinschreibung), wird BLOCK festgelegt. Wenn action Start ist (ohne Berücksichtigung der Groß- und Kleinschreibung), wird ALLOW festgelegt.
action_taken security_result.action_details Direkt aus dem Feld action_taken zugeordnet.
computer_severity_score security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel computer_severity_score und dem Wert aus dem Feld computer_severity_score erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
Detail security_result.description Direkt aus dem Feld detail zugeordnet.
Domain principal.domain.name Direkt aus dem Feld domain zugeordnet.
eialarmid security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel eialarmid und dem Wert aus dem Feld eialarmid erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
eiconsolelink principal.url Direkt aus dem Feld eiconsolelink zugeordnet.
event metadata.description Von event in event_desc umbenannt und metadata.description zugeordnet.
event_type metadata.product_event_type Direkt aus dem Feld event_type zugeordnet.
group_name principal.group.group_display_name Direkt aus dem Feld group_name zugeordnet.
Hash principal.file.sha1 In Kleinbuchstaben umgewandelt. Wenn der Kleinbuchstabenwert mit dem SHA-1-regulären Ausdruck übereinstimmt, wird er principal.file.sha1 zugeordnet.
Hash principal.resource.attribute.labels Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel hash und dem Wert aus dem Feld hash erstellt. Dieses Paar wird an das principal.resource.attribute.labels-Array angehängt.
Hostname principal.asset.hostname Direkt aus dem Feld hostname zugeordnet.
Hostname principal.hostname Direkt aus dem Feld hostname zugeordnet.
eingehend network.direction Wenn „true“, auf INBOUND festlegen. Andernfalls legen Sie OUTBOUND fest.
IPv4 target.asset.ip Direkt aus dem Feld ipv4 zugeordnet, wenn target_address leer ist.
IPv4 target.ip Direkt aus dem Feld ipv4 zugeordnet, wenn target_address leer ist.
json_data Als JSON geparst, um verschiedene Felder zu extrahieren.
Nachricht Geparsed mit „grok“, um Zeitstempel, Host und „json_data“ zu extrahieren.
need_restart additional.fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel need_restart und dem Wert aus dem Feld need_restart (in String konvertiert) erstellt. Dieses Paar wird an das additional.fields-Array angehängt.
os_name principal.platform Wenn Window oder window enthalten ist (Groß-/Kleinschreibung wird nicht berücksichtigt), auf WINDOWS setzen. Wenn Linux oder linux enthalten ist (Groß-/Kleinschreibung wird nicht berücksichtigt), auf LINUX setzen. Wenn Mac oder mac enthalten ist (Groß-/Kleinschreibung wird nicht berücksichtigt), auf MAC setzen.
os_name principal.platform_version Direkt aus dem Feld os_name zugeordnet.
process_name principal.process.file.full_path Direkt aus dem Feld process_name zugeordnet. Wenn leer, wird der Wert von processname übernommen.
processname principal.process.file.full_path Wenn process_name leer ist, wird process_name zugeordnet.
Protokoll network.ip_protocol In Großbuchstaben umgewandelt. Wenn der Wert in Großbuchstaben mit bekannten Protokollen (TCP, UDP, ICMP usw.) übereinstimmt, wird er network.ip_protocol zugeordnet.
Ergebnis security_result.summary Direkt aus dem Feld result zugeordnet.
rulename security_result.rule_name Direkt aus dem Feld rulename zugeordnet.
scan_id security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel scan_id und dem Wert aus dem Feld scan_id erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
scanner_id security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel scanner_id und dem Wert aus dem Feld scanner_id erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
die Ausprägung security_result.severity Wenn Warn oder warn enthalten ist (Groß-/Kleinschreibung wird nicht berücksichtigt), auf HIGH setzen. Wenn Info oder info enthalten ist (Groß-/Kleinschreibung wird nicht berücksichtigt), auf LOW setzen.
severity_score security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel severity_score und dem Wert aus dem Feld severity_score erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
source_address principal.asset.ip Direkt aus dem Feld source_address zugeordnet.
source_address principal.ip Direkt aus dem Feld source_address zugeordnet.
source_port principal.port Wird in einen String und dann in eine Ganzzahl umgewandelt. Zugeordnet zu principal.port.
source_uuid metadata.product_log_id Direkt aus dem Feld source_uuid zugeordnet.
Ziel Wurde in target1 umbenannt.
target_address target.asset.ip Direkt aus dem Feld target_address zugeordnet.
target_address target.ip Direkt aus dem Feld target_address zugeordnet.
target_port target.port Wird in einen String und dann in eine Ganzzahl umgewandelt. Zugeordnet zu target.port.
threat_handled security_result.detection_fields Es wird ein Schlüssel/Wert-Paar mit dem Schlüssel threat_handled und dem Wert aus dem Feld threat_handled (in String konvertiert) erstellt. Dieses Paar wird an das security_result.detection_fields-Array angehängt.
threat_name security_result.threat_name Direkt aus dem Feld threat_name zugeordnet.
threat_type security_result.threat_id Direkt aus dem Feld threat_type zugeordnet.
Zeit metadata.event_timestamp Wird verwendet, um metadata.event_timestamp auszufüllen.
Nutzername principal.user.userid Direkt aus dem Feld username zugeordnet, wenn user_id und user leer sind.
Nutzer principal.user.userid Direkt aus dem Feld user zugeordnet, wenn user_id leer ist.
metadata.event_type Wenn source_address und target_address nicht leer sind, wird NETWORK_CONNECTION festgelegt. Andernfalls, wenn has_user „true“ ist, wird der Wert auf USER_UNCATEGORIZED gesetzt. Andernfalls, wenn has_principal „true“ ist, wird der Wert auf STATUS_UPDATE gesetzt. Andernfalls legen Sie GENERIC_EVENT fest.
metadata.log_type Legen Sie ESET_AV fest.
metadata.product_name Legen Sie ESET_AV fest.
metadata.vendor_name Legen Sie ESET_AV fest.
intermediary.hostname Der Wert dieses Felds stammt aus dem Feld host, das aus der Logmeldung extrahiert wurde.
principal.user.userid Wenn das Feld account nicht leer ist, extrahiert der Parser die Nutzer-ID aus dem Feld account mithilfe eines Grok-Musters. Andernfalls wird geprüft, ob das Feld user nicht leer ist. Wenn dies der Fall ist, wird der Wert übernommen. Wenn sowohl account als auch user leer sind, wird geprüft, ob das Feld username nicht leer ist. Wenn dies der Fall ist, wird der Wert übernommen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten