本頁面由 Cloud Translation API 翻譯而成。

收集 ESET AV 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 ESET AV 記錄擷取至 Google Security Operations。Logstash 剖析器程式碼會從 SYSLOG 或 JSON 格式的 ESET_AV 記錄中，擷取安全性事件資料。系統會先將原始訊息正規化，然後根據識別出的格式進行剖析，並將擷取的欄位對應至相應的 Unified Data Model (UDM) 結構定義，確保呈現和分析結果一致。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
ESET Protect 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ESET_AV'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 ESET PROTECT 內部部署版的系統記錄

登入 ESET Protect 網頁管理中心。
依序點選「更多」>「設定」>「進階設定」>「系統記錄伺服器」。
選取「啟用 Syslog」旁的切換鈕。
提供下列設定詳細資料：
- 主機：輸入 Bindplane 代理程式 IP 位址
- 通訊埠：輸入 Bindplane 代理程式通訊埠編號 (UDP 為 514)
- 格式：選取「Syslog」
- 傳輸：選取「UDP」
- 追蹤記錄詳細程度：選取「資訊」
- 將記錄匯出至 Syslog 切換鈕：選取「啟用」
- 匯出記錄格式：選取「JSON」
按一下 [儲存]。

為 ESET PROTECT Cloud 設定 Syslog

登入 ESET Protect 網頁管理中心。
依序前往「更多」>「設定」>「系統記錄伺服器」。
選取「啟用 Syslog」旁的切換鈕。
提供下列設定詳細資料：
- 酬載格式：選取「JSON」
- 信封格式：選取「Syslog」
- 最低記錄層級：選取「資訊」
- 要記錄的事件類型：選取「所有」事件類型
- 目的地 IP：輸入 Bindplane 代理程式 IP 位址
- 通訊埠：輸入 Bindplane 代理程式通訊埠編號 (UDP 為 514)
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
帳戶	principal.administrative_domain	使用 grok 模式 `%{DATA:admin_domain}\\\\%{WORD:user_id}` 從 `account` 欄位擷取。
帳戶	principal.user.userid	使用 grok 模式 `%{DATA:admin_domain}\\\\%{WORD:user_id}` 從 `account` 欄位擷取。
動作	security_result.action	如果 `action` 為 `Block` (不區分大小寫)，請設為 `BLOCK`。如果 `action` 為 `Start` (不區分大小寫)，則設為 `ALLOW`。
action_taken	security_result.action_details	直接從「`action_taken`」欄位對應。
computer_severity_score	security_result.detection_fields	系統會使用 `computer_severity_score` 鍵和 `computer_severity_score` 欄位中的值建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
詳細資料	security_result.description	直接從「`detail`」欄位對應。
網域	principal.domain.name	直接從「`domain`」欄位對應。
eialarmid	security_result.detection_fields	系統會使用 `eialarmid` 鍵和 `eialarmid` 欄位中的值建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
eiconsolelink	principal.url	直接從「`eiconsolelink`」欄位對應。
活動	metadata.description	已從 `event` 重新命名為 `event_desc`，並對應至 `metadata.description`。
event_type	metadata.product_event_type	直接從「`event_type`」欄位對應。
group_name	principal.group.group_display_name	直接從「`group_name`」欄位對應。
hash	principal.file.sha1	轉換為小寫。如果小寫值符合 SHA-1 規則運算式，則會對應至 `principal.file.sha1`。
hash	principal.resource.attribute.labels	系統會使用 `hash` 鍵和 `hash` 欄位中的值建立鍵/值組合。這個配對會附加至 `principal.resource.attribute.labels` 陣列。
主機名稱	principal.asset.hostname	直接從「`hostname`」欄位對應。
主機名稱	principal.hostname	直接從「`hostname`」欄位對應。
進城	network.direction	如果為 true，請設為 `INBOUND`。如果為 false，請設為 `OUTBOUND`。
ipv4	target.asset.ip	如果 `target_address` 為空，則直接從 `ipv4` 欄位對應。
ipv4	target.ip	如果 `target_address` 為空，則直接從 `ipv4` 欄位對應。
json_data		剖析為 JSON，以擷取各種欄位。
訊息		使用 grok 剖析，擷取時間戳記、主機和 json_data。
need_restart	additional.fields	系統會使用 `need_restart` 鍵和 `need_restart` 欄位的值 (轉換為字串) 建立鍵/值組合。這個配對會附加至 `additional.fields` 陣列。
os_name	principal.platform	如果包含 `Window` 或 `window` (不區分大小寫)，請設為 `WINDOWS`。如果包含 `Linux` 或 `linux` (不區分大小寫)，請設為 `LINUX`。如果包含 `Mac` 或 `mac` (不區分大小寫)，請設為 `MAC`。
os_name	principal.platform_version	直接從「`os_name`」欄位對應。
process_name	principal.process.file.full_path	直接從「`process_name`」欄位對應。如果為空白，則會採用 `processname` 的值。
processname	principal.process.file.full_path	如果 `process_name` 為空，則會對應至 `process_name`。
通訊協定	network.ip_protocol	轉換為大寫。如果大寫值與已知通訊協定 (TCP、UDP、ICMP 等) 相符，則會對應至 `network.ip_protocol`。
result	security_result.summary	直接從「`result`」欄位對應。
rulename	security_result.rule_name	直接從「`rulename`」欄位對應。
scan_id	security_result.detection_fields	系統會使用 `scan_id` 鍵和 `scan_id` 欄位中的值建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
scanner_id	security_result.detection_fields	系統會使用 `scanner_id` 鍵和 `scanner_id` 欄位中的值建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
嚴重性	security_result.severity	如果包含 `Warn` 或 `warn` (不區分大小寫)，請設為 `HIGH`。如果包含 `Info` 或 `info` (不區分大小寫)，請設為 `LOW`。
severity_score	security_result.detection_fields	系統會使用 `severity_score` 鍵和 `severity_score` 欄位中的值建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
source_address	principal.asset.ip	直接從「`source_address`」欄位對應。
source_address	principal.ip	直接從「`source_address`」欄位對應。
source_port	principal.port	轉換為字串，然後轉換為整數。已對應至「`principal.port`」。
source_uuid	metadata.product_log_id	直接從「`source_uuid`」欄位對應。
目標		已重新命名為「`target1`」。
target_address	target.asset.ip	直接從「`target_address`」欄位對應。
target_address	target.ip	直接從「`target_address`」欄位對應。
target_port	target.port	轉換為字串，然後轉換為整數。已對應至「`target.port`」。
threat_handled	security_result.detection_fields	系統會使用 `threat_handled` 鍵和 `threat_handled` 欄位的值 (轉換為字串) 建立鍵/值組合。這個配對會附加至 `security_result.detection_fields` 陣列。
threat_name	security_result.threat_name	直接從「`threat_name`」欄位對應。
threat_type	security_result.threat_id	直接從「`threat_type`」欄位對應。
時間	metadata.event_timestamp	用於填入 `metadata.event_timestamp`。
使用者名稱	principal.user.userid	如果 `user_id` 和 `user` 為空白，則直接從 `username` 欄位對應。
使用者	principal.user.userid	如果 `user_id` 為空，則直接從 `user` 欄位對應。
	metadata.event_type	如果 `source_address` 和 `target_address` 不為空白，請設為 `NETWORK_CONNECTION`。否則，如果 `has_user` 為 true，則設為 `USER_UNCATEGORIZED`。否則，如果 `has_principal` 為 true，則設為 `STATUS_UPDATE`。否則請設為 `GENERIC_EVENT`。
	metadata.log_type	設為 `ESET_AV`。
	metadata.product_name	設為 `ESET_AV`。
	metadata.vendor_name	設為 `ESET_AV`。
	intermediary.hostname	這個欄位的值取自從記錄訊息中擷取的 `host` 欄位。
	principal.user.userid	如果 `account` 欄位不為空白，剖析器會使用 grok 模式從 `account` 欄位擷取使用者 ID。否則會檢查 `user` 欄位是否不為空白，如果是，則會採用該欄位的值。如果 `account` 和 `user` 皆為空白，則會檢查 `username` 欄位是否不為空白，如果是，則會採用該欄位的值。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。