Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log ManageEngine AD360

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara Anda dapat menyerap log ManageEngine AD360 ke Google Security Operations menggunakan BindPlane. Parser terlebih dahulu membersihkan dan menyiapkan data log yang masuk, lalu menggunakan serangkaian pola grok untuk mengekstrak kolom yang relevan berdasarkan jenis peristiwa dan format pesan tertentu. Setelah ekstraksi, kode memetakan kolom yang diekstrak ke Model Data Terpadu (UDM), menangani transformasi data tertentu, dan memperkaya data dengan konteks tambahan seperti geolokasi dan tingkat keparahan keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke ManageEngine AD360

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MANAGE_ENGINE_AD360'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Ekspor Syslog ManageEngine AD360

Login ke UI web AD360.
Buka Admin > Administration > SIEM Integration.
Klik link Konfigurasi Sekarang di samping komponen ADSelfService.
Berikan detail konfigurasi berikut:
- Server Type: Pilih Syslog.
- Server Name/IP: Masukkan Alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane.
- Protocol: Pilih UDP.
- Syslog Standard: Pilih RFC5 424.
- Klik daftar Lanjutan.
- Tingkat keparahan: Pilih Informasi.
Klik Konfigurasi untuk menyimpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
AccessControlRuleName	security_result.rule_name	Nilai diambil dari kolom `AccessControlRuleName` jika ada, atau dari kolom `rule_name`
ACPolicy	security_result.rule_labels.value	Nilai yang diambil dari kolom `ACPolicy`
tindakan	security_result.action_details	Dipetakan langsung ke UDM
action_id	security_result.detection_fields.value	Nilai yang diambil dari kolom `action_id`
application_protocol	network.application_protocol	Dipetakan langsung ke UDM
byte	network.sent_bytes	Dipetakan langsung ke UDM
client_ip	principal.ip	Dipetakan langsung ke UDM
ConnectionID	network.session_id	Nilai diambil dari kolom `connection_id` jika ada, jika tidak ada, diambil dari kolom `ConnectionID`, jika tidak ada, diambil dari kolom `ses`
destination_ip	target.ip	Dipetakan langsung ke UDM
destination_port	target.port	Dipetakan langsung ke UDM
DeviceUUID	target.asset_id	Nilai diambil dari kolom `DeviceUUID` jika ada, atau dari kolom `distinguished_name_device_id`
distinguished_name_device_id	target.asset_id	Nilai diambil dari kolom `DeviceUUID` jika ada, atau dari kolom `distinguished_name_device_id`
distinguished_name_user	target.user.userid	Dipetakan langsung ke UDM
DST	target.ip	Nilai diambil dari kolom `DST` jika ada, atau dari kolom `DstIP`
DPT	target.port	Nilai diambil dari kolom `DPT` jika ada, jika tidak ada, diambil dari kolom `DstPort`, jika tidak ada, diambil dari kolom `destination_port`
DstIP	target.ip	Nilai diambil dari kolom `DST` jika ada, atau dari kolom `DstIP`
DstPort	target.port	Nilai diambil dari kolom `DPT` jika ada, jika tidak ada, diambil dari kolom `DstPort`, jika tidak ada, diambil dari kolom `destination_port`
EgressInterface	additional.fields.value.string_value	Dipetakan langsung ke UDM
EgressZone	target.location.name	Dipetakan langsung ke UDM
EventPriority	security_result.severity	Dipetakan ke tingkat keparahan yang berbeda berdasarkan nilai kolom `EventPriority`.
exe	principal.process.command_line	Dipetakan langsung ke UDM
geoip.city_name	principal.location.city	Dipetakan langsung ke UDM
geoip.country_name	principal.location.country_or_region	Dipetakan langsung ke UDM
geoip.latitude	principal.location.region_latitude	Dipetakan langsung ke UDM
geoip.longitude	principal.location.region_longitude	Dipetakan langsung ke UDM
http_status	network.http.response_code	Dipetakan langsung ke UDM
id	metadata.product_log_id	Dipetakan langsung ke UDM
IngressInterface	additional.fields.value.string_value	Dipetakan langsung ke UDM
IngressZone	principal.location.name	Dipetakan langsung ke UDM
LEN	additional.fields.value.string_value	Dipetakan langsung ke UDM
message_number		Tidak Dipetakan
NAPPolicy	security_result.rule_labels.value	Nilai yang diambil dari kolom `NAPPolicy`
network_direction	network.direction	Dipetakan langsung ke UDM
KELUAR	additional.fields.value.string_value	Dipetakan langsung ke UDM
pid	target.process.pid	Dipetakan langsung ke UDM
ppid	target.process.parent_process.pid	Dipetakan langsung ke UDM
PREC	additional.fields.value.string_value	Dipetakan langsung ke UDM
principal_hostname	principal.hostname	Dipetakan langsung ke UDM
product_event_type	metadata.product_event_type	Dipetakan langsung ke UDM
protokol	network.ip_protocol	Digunakan untuk mengisi kolom `PROTO`, lalu dipetakan ke UDM menggunakan tabel lookup.
PROTO	network.ip_protocol	Dipetakan ke UDM menggunakan tabel penelusuran berdasarkan nomor protokol.
request_method	network.http.method	Dipetakan langsung ke UDM
rule_name	security_result.rule_name	Nilai diambil dari kolom `AccessControlRuleName` jika ada, atau dari kolom `rule_name`
ses	network.session_id	Nilai diambil dari kolom `connection_id` jika ada, jika tidak ada, diambil dari kolom `ConnectionID`, jika tidak ada, diambil dari kolom `ses`
source_ip	principal.ip	Dipetakan langsung ke UDM
source_port	principal.port	Dipetakan langsung ke UDM
SPT	principal.port	Nilai diambil dari kolom `SPT` jika ada, jika tidak ada, diambil dari kolom `SrcPort`, jika tidak ada, diambil dari kolom `source_port`
SRC	principal.ip	Nilai diambil dari kolom `SRC` jika ada, jika tidak ada, diambil dari kolom `SrcIP`, jika tidak ada, diambil dari kolom `client_ip`
SrcIP	principal.ip	Nilai diambil dari kolom `SRC` jika ada, jika tidak ada, diambil dari kolom `SrcIP`, jika tidak ada, diambil dari kolom `client_ip`
SrcPort	principal.port	Nilai diambil dari kolom `SPT` jika ada, jika tidak ada, diambil dari kolom `SrcPort`, jika tidak ada, diambil dari kolom `source_port`
timestamp	metadata.event_timestamp	Dipetakan langsung ke UDM
TOS	additional.fields.value.string_value	Dipetakan langsung ke UDM
TTL	additional.fields.value.string_value	Dipetakan langsung ke UDM
URL	target.url	Dipetakan langsung ke UDM
user_agent	network.http.user_agent	Dipetakan langsung ke UDM
WINDOW	additional.fields.value.string_value	Dipetakan langsung ke UDM
	metadata.vendor_name	Nilai di-hardcode menjadi `MANAGE_ENGINE_AD360`
	metadata.product_name	Nilai di-hardcode menjadi `MANAGE_ENGINE_AD360`
	metadata.log_type	Nilai di-hardcode menjadi `MANAGE_ENGINE_AD360`
	metadata.event_type	Nilai ditetapkan ke `NETWORK_CONNECTION` jika kolom `SRC` dan `DST` ada, atau ditetapkan ke `STATUS_UPDATE` jika kolom `SRC` atau `principal_hostname` ada. Jika tidak satu pun dari kondisi ini terpenuhi, `GENERIC_EVENT` akan berlaku secara default.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.