收集 ManageEngine AD360 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 ManageEngine AD360 日志注入到 Google Security Operations。解析器首先清理并准备传入的日志数据,然后使用一系列 grok 模式根据特定事件类型和消息格式提取相关字段。提取后,代码会将提取的字段映射到统一数据模型 (UDM),处理特定的数据转换,并使用地理定位和安全严重程度等其他上下文信息来丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 ManageEngine AD360 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'MANAGE_ENGINE_AD360' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 ManageEngine AD360 Syslog 导出
- 登录 AD360 网页界面。
- 依次前往管理 > 管理 > SIEM 集成。
- 点击 ADSelfService 组件旁边的立即配置链接。
- 提供以下配置详细信息:
- 服务器类型:选择 Syslog。
- 服务器名称/IP:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号。
- 协议:选择 UDP。
- Syslog 标准:选择 RFC5 424。
- 点击高级列表。
- 严重程度:选择信息。
- 点击配置以保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AccessControlRuleName | security_result.rule_name | 如果存在,则取自字段 AccessControlRuleName 的值;否则,取自字段 rule_name 的值 |
| ACPolicy | security_result.rule_labels.value | 从字段 ACPolicy 中获取的值 |
| 操作 | security_result.action_details | 直接映射到 UDM |
| action_id | security_result.detection_fields.value | 从字段 action_id 中获取的值 |
| application_protocol | network.application_protocol | 直接映射到 UDM |
| 字节 | network.sent_bytes | 直接映射到 UDM |
| client_ip | principal.ip | 直接映射到 UDM |
| ConnectionID | network.session_id | 如果存在,则取自字段 connection_id;否则,取自字段 ConnectionID;否则,取自字段 ses |
| destination_ip | target.ip | 直接映射到 UDM |
| destination_port | target.port | 直接映射到 UDM |
| DeviceUUID | target.asset_id | 如果存在,则取自字段 DeviceUUID 的值;否则,取自字段 distinguished_name_device_id 的值 |
| distinguished_name_device_id | target.asset_id | 如果存在,则取自字段 DeviceUUID 的值;否则,取自字段 distinguished_name_device_id 的值 |
| distinguished_name_user | target.user.userid | 直接映射到 UDM |
| 数字服务税 (DST) | target.ip | 如果存在,则取自字段 DST 的值;否则,取自字段 DstIP 的值 |
| 数据处理条款 : DPT | target.port | 如果存在,则取自字段 DPT;否则,取自字段 DstPort;否则,取自字段 destination_port |
| DstIP | target.ip | 如果存在,则取自字段 DST 的值;否则,取自字段 DstIP 的值 |
| DstPort | target.port | 如果存在,则取自字段 DPT;否则,取自字段 DstPort;否则,取自字段 destination_port |
| EgressInterface | additional.fields.value.string_value | 直接映射到 UDM |
| EgressZone | target.location.name | 直接映射到 UDM |
| EventPriority | security_result.severity | 根据 EventPriority 字段的值映射到不同的严重程度级别。 |
| exe | principal.process.command_line | 直接映射到 UDM |
| geoip.city_name | principal.location.city | 直接映射到 UDM |
| geoip.country_name | principal.location.country_or_region | 直接映射到 UDM |
| geoip.latitude | principal.location.region_latitude | 直接映射到 UDM |
| geoip.longitude | principal.location.region_longitude | 直接映射到 UDM |
| http_status | network.http.response_code | 直接映射到 UDM |
| id | metadata.product_log_id | 直接映射到 UDM |
| IngressInterface | additional.fields.value.string_value | 直接映射到 UDM |
| IngressZone | principal.location.name | 直接映射到 UDM |
| LEN | additional.fields.value.string_value | 直接映射到 UDM |
| message_number | 未映射 | |
| NAPPolicy | security_result.rule_labels.value | 从字段 NAPPolicy 中获取的值 |
| network_direction | network.direction | 直接映射到 UDM |
| OUT | additional.fields.value.string_value | 直接映射到 UDM |
| pid | target.process.pid | 直接映射到 UDM |
| ppid | target.process.parent_process.pid | 直接映射到 UDM |
| PREC | additional.fields.value.string_value | 直接映射到 UDM |
| principal_hostname | principal.hostname | 直接映射到 UDM |
| product_event_type | metadata.product_event_type | 直接映射到 UDM |
| 协议 | network.ip_protocol | 用于填充 PROTO 字段,然后使用查找表映射到 UDM。 |
| PROTO | network.ip_protocol | 使用基于协议号的对照表映射到 UDM。 |
| request_method | network.http.method | 直接映射到 UDM |
| rule_name | security_result.rule_name | 如果存在,则取自字段 AccessControlRuleName 的值;否则,取自字段 rule_name 的值 |
| ses | network.session_id | 如果存在,则取自字段 connection_id;否则,取自字段 ConnectionID;否则,取自字段 ses |
| source_ip | principal.ip | 直接映射到 UDM |
| source_port | principal.port | 直接映射到 UDM |
| SPT | principal.port | 如果存在,则取自字段 SPT;否则,取自字段 SrcPort;否则,取自字段 source_port |
| SRC | principal.ip | 如果存在,则取自字段 SRC;否则,取自字段 SrcIP;否则,取自字段 client_ip |
| SrcIP | principal.ip | 如果存在,则取自字段 SRC;否则,取自字段 SrcIP;否则,取自字段 client_ip |
| SrcPort | principal.port | 如果存在,则取自字段 SPT;否则,取自字段 SrcPort;否则,取自字段 source_port |
| 时间戳 | metadata.event_timestamp | 直接映射到 UDM |
| TOS | additional.fields.value.string_value | 直接映射到 UDM |
| TTL | additional.fields.value.string_value | 直接映射到 UDM |
| 网址 | target.url | 直接映射到 UDM |
| user_agent | network.http.user_agent | 直接映射到 UDM |
| WINDOW | additional.fields.value.string_value | 直接映射到 UDM |
| metadata.vendor_name | 值已硬编码为 MANAGE_ENGINE_AD360 |
|
| metadata.product_name | 值已硬编码为 MANAGE_ENGINE_AD360 |
|
| metadata.log_type | 值已硬编码为 MANAGE_ENGINE_AD360 |
|
| metadata.event_type | 如果 SRC 和 DST 字段均存在,则将值设置为 NETWORK_CONNECTION;否则,如果 SRC 或 principal_hostname 字段存在,则将值设置为 STATUS_UPDATE。如果上述条件均不满足,则默认为 GENERIC_EVENT。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。