Kaseya Datto File Protection-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Kaseya Datto File Protection-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus Datto S4P4-Syslog-Nachrichten mithilfe von Grok-Mustern, ordnet sie dem Unified Data Model (UDM) zu und kategorisiert Ereignisse basierend auf dem Syslog-Schweregrad. Es verarbeitet speziell CEF-formatierte Daten in der Syslog-Nachricht und extrahiert wichtige Felder wie Anbieter, Produkt, Version und Ereignisdetails zur Anreicherung und Klassifizierung.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf Datto Siris oder Alto

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DATTO_FILE_PROTECTION'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog für Datto Siris und Alto konfigurieren

  1. Melden Sie sich in der Datto Web Console an.
  2. Gehen Sie zu Konfigurieren > Geräteeinstellungen > Remote-Logging.
  3. Aktivieren Sie Remote-Logging.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Achten Sie darauf, dass der Bindplane-Agent so konfiguriert ist, dass er über die TCP-Verbindung auf Port 514 wartet.
    • IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
  5. Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
act security_result.category_details Der Wert von act aus dem Feld „extensions“ des Rohlogs.
desc metadata.description Der Wert des Felds description, der mit grok aus dem Feld desc extrahiert wurde.
dvc target.ip Der Wert von dvc aus dem Feld „extensions“ des Rohlogs.
extensions security_result.category_details, target.ip Die Daten werden mit dem kv-Filter geparst, um act und dvc zu extrahieren, die dann UDM-Feldern zugeordnet werden.
hostname principal.hostname Der aus der Roh-Lognachricht extrahierte Hostname.
log_id metadata.product_log_id Die Log-ID, die aus der Log-Rohnachricht extrahiert wurde.
prod_dvc_version metadata.product_version Die Produktversion, die aus dem Feld desc des Rohlogs extrahiert wurde. Gleicher Wert wie principal.hostname. Auf STATUS_UPDATE setzen, wenn hostname oder dvc im Rohlog vorhanden sind, andernfalls „GENERIC_EVENT“. Der hartcodierte Wert \n\n\0017, wenn das Feld extensions im Rohlog vorhanden ist. Der aus der Roh-Lognachricht extrahierte Zeitstempel. Gleicher Wert wie edr.raw_event_name. Hartcodierter Wert DATTO_FILE_PROTECTION. Hartcodierter Wert S4P4. Hartcodierter Wert Datto. Abgeleitet von syslog_severity_code. Bei weniger als 3 ist die Schweregradstufe NIEDRIG. Wenn > 2 und < 6, ist der Schweregrad MITTEL. Wenn > 5, ist die Schweregrad HOCH.
timestamp metadata.event_timestamp Der aus der Roh-Lognachricht extrahierte Zeitstempel.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten