ExtraHop RevealX 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 ExtraHop RevealX 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 JSON 및 Syslog 형식 로그에서 필드를 추출합니다. grok 패턴과 조건부 로직을 사용하여 다양한 로그 형식을 처리하고, 추출된 필드를 UDM에 매핑하고, 심각도 및 카테고리와 같은 보안 관련 정보로 데이터를 보강합니다. 파서는 DNS 리바인딩, Kerberos 인증 오류, RDP 연결과 같은 특정 ExtraHop 이벤트 유형도 처리하여 각각에 특화된 파싱 로직을 적용합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인
  • ExtraHop Reveal X에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'EXTRAHOP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
    • <customer_id>를 실제 고객 ID로 바꿉니다.
    • Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

ExtraHop Syslog 구성

  1. https://<extrahop-hostname-or-IP-address>/admin를 사용하여 ExtraHop Administration에 로그인합니다.
  2. 상태 및 진단 > 감사 로그로 이동합니다.
  3. Configure Syslog Settings(Syslog 설정 구성)을 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 대상: Bindplane 에이전트 IP 주소를 입력합니다.
    • 프로토콜: Bindplane 구성에 따라 UDP 또는 TCP를 선택합니다.
    • 포트: Bindplane 에이전트 포트 번호를 입력합니다.
    • 설정 테스트를 클릭합니다.
  5. 저장을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
alert_name security_result.summary 원시 로그의 alert_name 값이 security_result.summary에 매핑됩니다.
answers[].data network.dns.answers[].data 원시 로그의 answers 배열에 있는 각 요소의 data 값은 network.dns.answers 배열에 있는 해당 요소의 data 필드에 매핑됩니다.
answers[].name network.dns.answers[].name 원시 로그의 answers 배열에 있는 각 요소의 name 값은 network.dns.answers 배열에 있는 해당 요소의 name 필드에 매핑됩니다.
answers[].ttl network.dns.answers[].ttl 원시 로그의 answers 배열에 있는 각 요소의 ttl 값은 network.dns.answers 배열에 있는 해당 요소의 ttl 필드에 매핑됩니다.
answers[].typeNum network.dns.answers[].type 원시 로그의 answers 배열에 있는 각 요소의 typeNum 값은 network.dns.answers 배열에 있는 해당 요소의 type 필드에 매핑됩니다.
client_ip principal.ip 원시 로그의 client_ip 값이 principal.ip에 매핑됩니다.
cn1 security_result.rule_labels[].value 원시 로그의 cn1 값이 키가 '감지 ID'인 security_result.rule_labels 요소의 값으로 사용됩니다.
cn2 security_result.detection_fields[].value 원시 로그의 cn2 값이 키가 'riskscore'인 security_result.detection_fields 요소의 값으로 사용됩니다.
cs1 security_result.rule_name 원시 로그의 cs1 값이 security_result.rule_name에 매핑됩니다.
cs2 security_result.category_details[] 원시 로그의 cs2 값이 security_result.category_details 배열에 요소로 추가됩니다.
description metadata.description 일부 처리 (줄바꿈 문자 및 백슬래시 삭제) 후 원시 로그의 description 값이 metadata.description에 매핑됩니다. 경우에 따라 원시 로그의 다른 필드가 이 필드에 영향을 주거나 이 필드를 덮어쓸 수 있습니다.
details principal.resource.resource_subtype, security_result.summary, principal.ip details 필드가 파싱됩니다. 'facility' 키와 연결된 값은 principal.resource.resource_subtype에 매핑됩니다. 'details' 키와 연결된 값은 security_result.summary에 매핑됩니다. 'src_ip' 키와 연결된 값은 principal.ip에 매핑됩니다.
dst target.ip 또는 target.mac 원시 로그의 dst 값이 IP 주소인 경우 target.ip에 매핑되고 MAC 주소인 경우 target.mac에 매핑됩니다.
dst_ip target.ip 원시 로그의 dst_ip 값이 target.ip에 매핑됩니다.
eh_event metadata.event_type, network.application_protocol eh_event이 'dns'인 경우 metadata.event_typeNETWORK_DNS로 설정되고 network.application_protocolDNS로 설정됩니다. eh_event이 'RDP'인 경우 metadata.event_typeNETWORK_CONNECTION로 설정되고 network.application_protocolRDP로 설정됩니다.
event_id metadata.product_event_type 원시 로그의 event_id 값이 metadata.product_event_type에 매핑됩니다.
facility principal.resource.resource_subtype 원시 로그의 facility 값이 principal.resource.resource_subtype에 매핑됩니다.
ipaddr principal.ip 원시 로그의 ipaddr 값이 principal.ip에 매핑됩니다.
jsonPayload.description metadata.product_event_type, principal.hostname, principal.asset.hostname, security_result.summary jsonPayload.description 필드는 JSON으로 파싱됩니다. 'operation' 필드가 metadata.product_event_type에 매핑됩니다. 'event' 필드('Audit Log' 삭제 후)는 principal.hostnameprincipal.asset.hostname에 매핑됩니다. 'details' 필드가 security_result.summary에 매핑됩니다.
jsonPayload.event metadata.product_event_type, principal.hostname, principal.asset.hostname 원시 로그에서 '감사 로그'를 삭제한 후의 jsonPayload.event 값이 metadata.product_event_type, principal.hostname, principal.asset.hostname에 매핑됩니다.
jsonPayload.id metadata.product_log_id 원시 로그의 jsonPayload.id 값이 metadata.product_log_id에 매핑됩니다.
macaddr principal.mac 원시 로그의 macaddr 값이 principal.mac에 매핑됩니다.
name metadata.description 원시 로그의 name 값이 metadata.description에 매핑됩니다.
object_id target.resource.product_object_id 원시 로그의 object_id 값이 target.resource.product_object_id에 매핑됩니다.
object_name target.resource.name 원시 로그의 object_name 값이 target.resource.name에 매핑됩니다.
object_type target.resource.resource_type 원시 로그의 object_type 값 (대문자로 변환됨)이 target.resource.resource_type에 매핑됩니다.
operation metadata.product_event_type 원시 로그의 operation 값이 metadata.product_event_type에 매핑됩니다.
priority security_result.severity, security_result.severity_details priority이 'notice'인 경우 security_result.severityMEDIUM로 설정되고 security_result.severity_detailspriority의 값으로 설정됩니다.
product_event_type metadata.product_event_type 원시 로그의 product_event_type 값이 metadata.product_event_type에 매핑됩니다. 또한 값을 기반으로 metadata.event_type 및 기타 필드를 결정하는 데도 사용됩니다.
qname network.dns.questions[].name 원시 로그의 qname 값이 network.dns.questions 요소의 name 필드에 매핑됩니다.
qname_or_host intermediary.hostname 원시 로그의 qname_or_host 값이 intermediary.hostname에 매핑됩니다.
qtype network.dns.questions[].type 원시 로그의 qtype 값이 network.dns.questions 요소의 type 필드에 매핑되어 문자열 표현이 DNS 레코드 유형에 따라 숫자 표현으로 변환됩니다.
resource.labels.project_id target.resource.attribute.labels[].value 원시 로그의 resource.labels.project_id 값이 키가 'Project id'인 target.resource.attribute.labels 요소의 값으로 사용됩니다.
resource.type target.resource.resource_subtype 원시 로그의 resource.type 값이 target.resource.resource_subtype에 매핑됩니다.
rdp_record.clientBuild metadata.product_version 원시 로그의 rdp_record.clientBuild 값이 metadata.product_version에 매핑됩니다.
rdp_record.clientBytes network.sent_bytes 원시 로그의 rdp_record.clientBytes 값이 network.sent_bytes에 매핑됩니다.
rdp_record.clientName principal.hostname 원시 로그의 rdp_record.clientName 값이 principal.hostname에 매핑됩니다.
rdp_record.clientPort principal.port 원시 로그의 rdp_record.clientPort 값이 principal.port에 매핑됩니다.
rdp_record.cookie principal.user.userid 원시 로그에서 rdp_record.cookie 값('mstshash=' 삭제 후)이 principal.user.userid에 매핑됩니다.
rdp_record.proto network.ip_protocol 원시 로그의 rdp_record.proto 값이 network.ip_protocol에 매핑되어 'TCP'는 'TCP'로, 'UDP'는 'UDP'로 변환됩니다.
rdp_record.selectedProtocol security_result.description 원시 로그의 rdp_record.selectedProtocol 값이 security_result.description에 매핑됩니다.
rdp_record.serverBytes network.received_bytes 원시 로그의 rdp_record.serverBytes 값이 network.received_bytes에 매핑됩니다.
rdp_record.serverPort target.port 원시 로그의 rdp_record.serverPort 값이 target.port에 매핑됩니다.
rt metadata.event_timestamp 원시 로그의 rt 값이 타임스탬프로 파싱되고 metadata.event_timestamp에 매핑됩니다.
severity security_result.severity, security_result.severity_details, event.idm.is_alert, event.idm.is_significant severity 값은 security_result.severity_details에 매핑됩니다. security_result.severity, event.idm.is_alert, event.idm.is_significant의 값을 결정하는 데도 사용됩니다.
src principal.ip 또는 principal.mac 원시 로그의 src 값이 IP 주소인 경우 principal.ip에 매핑되고 MAC 주소인 경우 principal.mac에 매핑됩니다.
src_ip principal.ip 또는 principal.mac 원시 로그의 src_ip 값이 IP 주소인 경우 principal.ip에 매핑되고 MAC 주소인 경우 principal.mac에 매핑됩니다.
summary security_result.summary 원시 로그의 summary 값이 security_result.summary에 매핑됩니다.
ts metadata.event_timestamp 원시 로그의 ts 값이 타임스탬프로 파싱되고 metadata.event_timestamp에 매핑됩니다.
user principal.user.userid 원시 로그의 user 값이 principal.user.userid에 매핑됩니다.
(해당 사항 없음) metadata.log_type 항상 'EXTRAHOP'으로 설정됩니다.
(해당 사항 없음) metadata.vendor_name 항상 'EXTRAHOP'으로 설정됩니다.
(해당 사항 없음) metadata.product_name 항상 'EXTRAHOP'으로 설정됩니다.
(해당 사항 없음) security_result.severity 기본적으로 CRITICAL로 설정되거나 severity 또는 priority 값에 따라 설정됩니다.
(해당 사항 없음) event.idm.is_alert security_result.severity이 '높음' 또는 '심각'이면 true로 설정합니다.
(해당 사항 없음) event.idm.is_significant security_result.severity이 '높음' 또는 '심각'이면 true로 설정합니다.
(해당 사항 없음) metadata.event_type eh_event, product_event_type, has_principal, dst과 같은 다른 필드의 값을 기반으로 결정됩니다. 기본값은 GENERIC_EVENT입니다.
(해당 사항 없음) network.application_protocol eh_event이 'dns'이거나 message에 'DNS 리바인딩'이 포함된 경우 DNS로 설정됩니다. eh_event이 'RDP'이면 RDP로 설정합니다.
(해당 사항 없음) security_result.rule_labels[].key cn1에서 파생된 규칙 라벨의 경우 '감지 ID'로 설정됩니다.
(해당 사항 없음) security_result.detection_fields[].key cn2에서 파생된 감지 필드의 경우 'riskscore'로 설정됩니다.
(해당 사항 없음) principal.user.attribute.roles[].type user_name이 있으면 SERVICE_ACCOUNT로 설정합니다.
(해당 사항 없음) extensions.auth.type product_event_type이 'Kerberos 클라이언트 인증 오류'인 경우 SSO로 설정됩니다.
(해당 사항 없음) extensions.auth.mechanism product_event_type이 '안전하지 않은 LDAP 인증' 또는 'Kerberos 클라이언트 인증 오류'인 경우 USERNAME_PASSWORD로 설정됩니다.
(해당 사항 없음) security_result.category product_event_type이 'DNS 내부 역방향 조회 스캔'이거나 '인바운드 의심스러운 연결'이 포함된 경우 NETWORK_SUSPICIOUS로 설정됩니다. product_event_type이 '외부 데이터베이스 서버에 요청'인 경우 NETWORK_MALICIOUS로 설정됩니다.
(해당 사항 없음) network.http.response_code product_event_type에서 추출된 status_code가 'HTTP Server %{INT:status_code} %{GREEDYDATA}' 패턴과 일치하는 경우 설정됩니다.
jsonPayload.cs1 security_result.detection_fields[].value 원시 로그의 jsonPayload.cs1 값이 security_result.detection_fields 요소의 값으로 사용됩니다.
jsonPayload.cn1 security_result.detection_fields[].value 원시 로그의 jsonPayload.cn1 값이 security_result.detection_fields 요소의 값으로 사용됩니다.
jsonPayload.cn2 security_result.detection_fields[].value 원시 로그의 jsonPayload.cn2 값이 security_result.detection_fields 요소의 값으로 사용됩니다.
jsonPayload.cs1Label, jsonPayload.cn1Label, jsonPayload.cn2Label security_result.detection_fields[].key 원시 로그의 이러한 필드는 security_result.detection_fields의 해당 요소의 키로 사용됩니다.
jsonPayload.src principal.ip 원시 로그의 jsonPayload.src 값이 principal.ip에 매핑됩니다.
jsonPayload.dst target.ip 원시 로그의 jsonPayload.dst 값이 target.ip에 매핑됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.