このページは Cloud Translation API によって翻訳されました。

ManageEngine ADAudit Plus ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して ManageEngine ADAudit Plus ログを Google Security Operations に取り込む方法について説明します。パーサーは ADAudit Plus からのログを処理し、UDM 形式に変換します。Grok パターンを使用して SYSLOG（CEF）と Key-Value 形式の両方のメッセージからフィールドを抽出し、アラートプロファイルとレポートプロファイルから派生したイベントタイプに基づいて UDM フィールドにマッピングし、追加のコンテキストでデータを拡充します。パーサーは、ログインの失敗、ユーザーの変更、ファイルの変更などの特定のシナリオも処理し、それに応じて UDM マッピングを調整します。

始める前に

Google SecOps インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
ManageEngine ADAudit に対する特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ADAUDIT_PLUS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

ManageEngine ADAudit Plus Syslog の構成

ManageEngine ADAudit Plus ウェブ UI にログインします。
[管理者] > [構成] > [SIEM 統合] に移動します。
[有効にする] を選択して、ADAudit Plus ログを送信します。
[ArcSight（CEF）] 形式を選択します。
次の構成の詳細を指定します。
- IP アドレス: Bindplane エージェントの IP アドレス。
- ポート: Bindplane ポート番号（UDP の場合は 514 など）。
- ターゲットタイプ: [UDP] を選択します（Bindplane エージェントの構成に応じて、[TCP] を選択することもできます）。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`ACCOUNT_DOMAIN`	`principal.administrative_domain`	未加工ログの `ACCOUNT_DOMAIN` の値がこの UDM フィールドに割り当てられます。
`ACCOUNT_NAME`	`principal.user.userid`	未加工ログの `ACCOUNT_NAME` の値がこの UDM フィールドに割り当てられます。
`ALERT_PROFILE`	`security_result.summary`	未加工ログの `ALERT_PROFILE` の値がこの UDM フィールドに割り当てられます。
`APPLICATION_NAME`	`target.resource.name`	未加工ログの `APPLICATION_NAME` の値がこの UDM フィールドに割り当てられます。また、`target.resource.resource_type` を `TASK` に、`has_target_resource` を true に設定します。
`CALLER_DISPLAY_NAME`	`target.user.user_display_name`	未加工ログの `CALLER_DISPLAY_NAME` の値がこの UDM フィールドに割り当てられます。
`CALLER_USER_NAME`	`target.user.userid`	未加工ログの `CALLER_USER_NAME` の値がこの UDM フィールドに割り当てられます。
`CALLER_USER_SID`	`target.group.windows_sid`	未加工ログの `CALLER_USER_SID` の値は、文字 `[%,{,}]` を削除してからこの UDM フィールドに割り当てられます。これは、値が Windows SID パターンと一致する場合にのみ行われます。
`Category`	`metadata.product_event_type`	未加工ログの `Category` の値がこの UDM フィールドに割り当てられます。
`CLIENT_HOST_NAME`	`target.hostname`、`target.asset.hostname`	未加工ログの `CLIENT_HOST_NAME` の値がこれらの UDM フィールドに割り当てられます。
`CLIENT_IP_ADDRESS`	`target.ip`、`target.asset.ip`	未加工ログの `CLIENT_IP_ADDRESS` の値は、有効な IP アドレスであることを検証した後、これらの UDM フィールドに割り当てられます。
`CLIENT_PORT`	`target.port`	未加工ログの `CLIENT_PORT` の値は、整数に変換された後、この UDM フィールドに割り当てられます。
`DOMAIN`	`target.administrative_domain`	未加工ログの `DOMAIN` の値がこの UDM フィールドに割り当てられます。この値は、後で `ACCOUNT_DOMAIN` が存在する場合に上書きされる可能性があります。
`FILE_LOCATION`	`target.file.full_path`	未加工ログの `FILE_LOCATION` の値がこの UDM フィールドに割り当てられます。
`FILE_NAME`	`target.file.full_path`	`FILE_LOCATION` が存在しない場合、未加工ログの `FILE_NAME` の値がこの UDM フィールドに割り当てられます。
`FORMAT_MESSAGE`	`security_result.description`	未加工ログの `FORMAT_MESSAGE` の値がこの UDM フィールドに割り当てられます。このフィールドの一部は、他の UDM フィールドへの入力に使用され、説明から削除されることがあります。
`IP`	`principal.ip`、`principal.asset.ip`	未加工ログの `IP` の値は、有効な IP アドレスであることを検証した後、これらの UDM フィールドに割り当てられます。
`loggerHost`	`intermediary.hostname`、`intermediary.asset.hostname`	未加工ログのメッセージフィールドから抽出された `loggerHost` の値が、これらの UDM フィールドに割り当てられます。
`login_name`	`target.user.userid`、`target.user.email_addresses`、または `target.user.user_display_name`	値に `@` が含まれている場合は、メールアドレスとして扱われます。スペースが含まれている場合は、表示名として扱われます。それ以外の場合は、userid として扱われます。また、`event_type` を `USER_LOGIN` に、`extensions.auth.type` を `MACHINE` に、`extensions.auth.mechanism` を `USERNAME_PASSWORD` に設定します。
`RECORD_NUMBER`	`principal.process.pid`	未加工ログの `RECORD_NUMBER` の値がこの UDM フィールドに割り当てられます。
`REPORT_PROFILE`	`metadata.description`	未加工ログの `REPORT_PROFILE` の値がこの UDM フィールドに割り当てられます。
`SEVERITY`	`security_result.severity`	`SEVERITY` の値によって、この UDM フィールドの値が決まります。1 は LOW に、2 は MEDIUM に、3 は HIGH にマッピングされます。
`SOURCE`	`principal.hostname`、`principal.asset.hostname`	未加工ログの `SOURCE` の値が、`SOURCE` にドメイン部分が含まれていない場合は `DOMAIN` と組み合わされて、これらの UDM フィールドに割り当てられます。また、`has_principal_host` を true に設定します。
`TIME_GENERATED`	`metadata.event_timestamp.seconds`	未加工ログの `TIME_GENERATED` の値がイベントタイムスタンプとして使用されます。
`UNIQUE_ID`	`metadata.product_log_id`	未加工ログの `UNIQUE_ID` の値がこの UDM フィールドに割り当てられます。
`USERNAME`	`principal.user.userid`	`ACCOUNT_NAME` が存在しない場合、未加工ログの `USERNAME` の値がこの UDM フィールドに割り当てられます。
`USER_OU_GUID`	`metadata.product_log_id`	`UNIQUE_ID` が存在しない場合、未加工ログの `USER_OU_GUID` の値から中かっこを削除した値が、この UDM フィールドに割り当てられます。
`access_mode`	`security_result.detection_fields.value`	未加工ログの `access_mode` の値がこの UDM フィールドに割り当てられ、キーが `ACCESS_MODE` に設定されます。
`action_name`	`security_result.description`	未加工ログの `action_name` の値がこの UDM フィールドに割り当てられます。
`domain_name`	`principal.administrative_domain`	未加工ログの `domain_name` の値がこの UDM フィールドに割り当てられます。
`event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	`login_name` が存在する場合、または `event_type` が `USER_LOGIN` の場合、`USERNAME_PASSWORD` に設定します。
`event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	`login_name` が存在する場合、または `event_type` が `USER_LOGIN` の場合、`MACHINE` に設定します。
`event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	`ALERT_PROFILE`、`REPORT_PROFILE`、`FORMAT_MESSAGE` の値に基づいてパーサーによって決定されます。`USER_CHANGE_PERMISSIONS`、`USER_STATS`、`USER_LOGIN`、`USER_CHANGE_PASSWORD`、`SETTING_MODIFICATION`、`FILE_DELETION`、`FILE_MODIFICATION`、`STATUS_SHUTDOWN`、`SCHEDULED_TASK_CREATION`、`FILE_READ`、`NETWORK_CONNECTION`、`GENERIC_EVENT`、`USER_UNCATEGORIZED`、`STATUS_UPDATE` など、複数の値のいずれかになります。
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	常に `ADAUDIT_PLUS` に設定。
`event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	常に `ADAudit Plus` に設定。
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	常に `Zoho Corporation` に設定。
`host`	`principal.hostname`、`principal.asset.hostname`	未加工ログの `host` の値がこれらの UDM フィールドに割り当てられます。また、`has_principal_host` を true に設定します。
`intermediary.hostname`、`intermediary.asset.hostname`	`intermediary.hostname`、`intermediary.asset.hostname`	`loggerHost` の値に設定します。
`principalHost`	`principal.hostname`、`principal.asset.hostname`	未加工ログの `principalHost` の値は、IP であるかどうかを確認してから、これらの UDM フィールドに割り当てられます。また、`has_principal_host` を true に設定します。
`security_result.action`	`security_result.action`	`outcome` または `msg_data_2` に `Success` が含まれている場合、または `FORMAT_MESSAGE` に `Status:Success` が含まれている場合は、`ALLOW` に設定します。`status` に `denied`、`locked out`、`incorrect`、`does not meet`、または `Unable to validate` が含まれている場合は、`BLOCK` に設定します。`ALERT_PROFILE` が `Logon Failures for Admin Users` の場合、`BLOCK` に設定します。
`security_result.category`	`security_result.category`	`event_type` が `USER_STATS` の場合、または `ALERT_PROFILE` が `Logon Failures for Admin Users` の場合、`POLICY_VIOLATION` に設定します。
`security_result.rule_name`	`security_result.rule_name`	`Reason:` が含まれている場合は、`FORMAT_MESSAGE` フィールドから抽出されます。
`status`	`security_result.summary`	未加工ログの `status` の値がこの UDM フィールドに割り当てられます。
`targetHost`	`target.hostname`、`target.asset.hostname`、または `target.ip`、`target.asset.ip`	未加工ログの `targetHost` の値は、IP であるかどうかを確認してから、これらの UDM フィールドに割り当てられます。
`targetUser`	`target.user.userid`	未加工ログの `targetUser` の値がこの UDM フィールドに割り当てられます。
`_CNtargetUser`	`target.user.user_display_name`	未加工ログの `_CNtargetUser` の値がこの UDM フィールドに割り当てられます。
`_user`	`principal.user.userid` または `target.user.userid`	未加工ログの `_user` の値は、`event_type` が `USER_CHANGE_PASSWORD` でない限り `principal.user.userid` に割り当てられます。`event_type` が `USER_CHANGE_PASSWORD` の場合は、`target.user.userid` に割り当てられます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。