此页面由 Cloud Translation API 翻译。

收集 IBM Verify Identity Access 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何收集 IBM Verify Identity Access 日志。解析器使用 Grok 模式提取通用字段，并利用 XML 解析来获取嵌入在说明字段中的详细事件信息，最终将提取的数据映射到统一数据模型 (UDM)，以实现标准化安全事件表示。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
对 IBM Verify Identity Access (IVIA) 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'IBM_SVA'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 IVIA 中配置 Syslog 转发

登录 IBM Security Verify Governance。
依次前往监控 > 日志 > 远程 Syslog 转发。
在远程 Syslog 转发页面中，点击添加。
提供以下配置详细信息：
- 服务器：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号。
- 协议：选择 UDP（另一个可能的选项是 TCP，具体取决于您的 Bindplane 代理配置）。
- 格式：选择您要发送的系统日志的格式（BSD Syslog 协议或 Syslog 协议）。
点击保存配置。

为远程日志服务器配置日志源

在远程 Syslog 转发页面中，点击来源标签页。
提供以下配置详细信息：
- 名称：从下拉列表中选择日志源。
- 实例名称：仅当您选择“名称”作为 IsimNode 时，此选项才可用。
- 日志文件：当您选择“名称”为 IsimNodes、安装日志或 IsimDmgr 时，下拉菜单中会自动显示相应的日志文件。
- 标记：此标记名称在所有来源中必须是唯一的，并且不得包含任何空格（例如：My_Tag 或 MyTag）。
- Facility：选择要转发的系统日志的类别名称。
- 严重程度：选择信息。
点击保存配置。