收集 ManageEngine ADAudit Plus 記錄

支援的國家/地區:

本文說明如何使用 Bindplane 代理程式,將 ManageEngine ADAudit Plus 記錄擷取至 Google Security Operations。剖析器會處理 ADAudit Plus 的記錄,並轉換為 UDM 格式。它會使用 grok 模式從 SYSLOG (CEF) 和鍵/值格式訊息中擷取欄位,根據從快訊和報表設定檔衍生的事件類型,將這些欄位對應至 UDM 欄位,並以其他情境資訊擴充資料。剖析器也會處理特定情境,例如登入失敗、使用者變更和檔案修改,並據此調整 UDM 對應。

事前準備

  • 確認您擁有 Google SecOps 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您具備 ManageEngine ADAudit 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ADAUDIT_PLUS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

設定 ManageEngine ADAudit Plus 系統記錄檔

  1. 登入 ManageEngine ADAudit Plus 網頁版 UI。
  2. 依序前往「管理」>「設定」>「SIEM 整合」
  3. 選取「啟用」即可傳送 ADAudit Plus 記錄。
  4. 選取「ArcSight (CEF)」格式。
  5. 提供下列設定詳細資料:
    • IP 位址:Bindplane 代理程式 IP 位址。
    • 通訊埠:Bindplane 通訊埠編號,例如 UDP 的 514
    • 目標類型:選取「UDP」 (您也可以根據 Bindplane 代理程式設定選取「TCP」)。
  6. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
ACCOUNT_DOMAIN principal.administrative_domain 原始記錄中的 ACCOUNT_DOMAIN 值會指派給這個 UDM 欄位。
ACCOUNT_NAME principal.user.userid 原始記錄中的 ACCOUNT_NAME 值會指派給這個 UDM 欄位。
ALERT_PROFILE security_result.summary 原始記錄中的 ALERT_PROFILE 值會指派給這個 UDM 欄位。
APPLICATION_NAME target.resource.name 原始記錄中的 APPLICATION_NAME 值會指派給這個 UDM 欄位。也會將 target.resource.resource_type 設為 TASK,並將 has_target_resource 設為 true。
CALLER_DISPLAY_NAME target.user.user_display_name 原始記錄中的 CALLER_DISPLAY_NAME 值會指派給這個 UDM 欄位。
CALLER_USER_NAME target.user.userid 原始記錄中的 CALLER_USER_NAME 值會指派給這個 UDM 欄位。
CALLER_USER_SID target.group.windows_sid 移除 [%,{,}] 字元後,原始記錄中的 CALLER_USER_SID 值會指派給這個 UDM 欄位。只有在值符合 Windows SID 模式時,才會執行這項操作。
Category metadata.product_event_type 原始記錄中的 Category 值會指派給這個 UDM 欄位。
CLIENT_HOST_NAME target.hostnametarget.asset.hostname 原始記錄中的 CLIENT_HOST_NAME 值會指派給這些 UDM 欄位。
CLIENT_IP_ADDRESS target.iptarget.asset.ip 驗證原始記錄中的 CLIENT_IP_ADDRESS 值為有效 IP 位址後,系統會將該值指派給這些 UDM 欄位。
CLIENT_PORT target.port 原始記錄中的 CLIENT_PORT 值會轉換為整數,然後指派給這個 UDM 欄位。
DOMAIN target.administrative_domain 原始記錄中的 DOMAIN 值會指派給這個 UDM 欄位。如果存在 ACCOUNT_DOMAIN,這個值可能會在稍後遭到覆寫。
FILE_LOCATION target.file.full_path 原始記錄中的 FILE_LOCATION 值會指派給這個 UDM 欄位。
FILE_NAME target.file.full_path 如果沒有 FILE_LOCATION,系統會將原始記錄中的 FILE_NAME 值指派給這個 UDM 欄位。
FORMAT_MESSAGE security_result.description 原始記錄中的 FORMAT_MESSAGE 值會指派給這個 UDM 欄位。系統可能會使用這個欄位的部分內容填入其他 UDM 欄位,然後從說明中移除。
IP principal.ipprincipal.asset.ip 驗證原始記錄中的 IP 值為有效 IP 位址後,系統會將該值指派給這些 UDM 欄位。
loggerHost intermediary.hostnameintermediary.asset.hostname 從原始記錄的訊息欄位擷取的 loggerHost 值會指派給這些 UDM 欄位。
login_name target.user.useridtarget.user.email_addressestarget.user.user_display_name 如果值包含 @,系統會將其視為電子郵件地址。如果含有空格,系統會將其視為顯示名稱。否則會視為使用者 ID。同時將 event_type 設為 USER_LOGINextensions.auth.type 設為 MACHINE,以及 extensions.auth.mechanism 設為 USERNAME_PASSWORD
RECORD_NUMBER principal.process.pid 原始記錄中的 RECORD_NUMBER 值會指派給這個 UDM 欄位。
REPORT_PROFILE metadata.description 原始記錄中的 REPORT_PROFILE 值會指派給這個 UDM 欄位。
SEVERITY security_result.severity SEVERITY 的值會決定這個 UDM 欄位的值:1 對應到 LOW、2 對應到 MEDIUM,而 3 對應到 HIGH。
SOURCE principal.hostnameprincipal.asset.hostname 原始記錄中的 SOURCE 值會與 DOMAIN 合併 (如果 SOURCE 不含網域部分),並指派給這些 UDM 欄位。也會將 has_principal_host 設為 true。
TIME_GENERATED metadata.event_timestamp.seconds 原始記錄中的 TIME_GENERATED 值會做為事件時間戳記。
UNIQUE_ID metadata.product_log_id 原始記錄中的 UNIQUE_ID 值會指派給這個 UDM 欄位。
USERNAME principal.user.userid 如果沒有 ACCOUNT_NAME,系統會將原始記錄中的 USERNAME 值指派給這個 UDM 欄位。
USER_OU_GUID metadata.product_log_id 如果沒有 UNIQUE_ID,系統會將原始記錄檔中 USER_OU_GUID 的值 (移除大括號後) 指派給這個 UDM 欄位。
access_mode security_result.detection_fields.value 原始記錄中的 access_mode 值會指派給這個 UDM 欄位,且鍵會設為 ACCESS_MODE
action_name security_result.description 原始記錄中的 action_name 值會指派給這個 UDM 欄位。
domain_name principal.administrative_domain 原始記錄中的 domain_name 值會指派給這個 UDM 欄位。
event.idm.read_only_udm.extensions.auth.mechanism event.idm.read_only_udm.extensions.auth.mechanism 如果 login_name 存在,或 event_typeUSER_LOGIN,請設為 USERNAME_PASSWORD
event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type 如果 login_name 存在,或 event_typeUSER_LOGIN,請設為 MACHINE
event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type 由剖析器根據 ALERT_PROFILEREPORT_PROFILEFORMAT_MESSAGE 的值決定。可以是多個值之一,包括 USER_CHANGE_PERMISSIONSUSER_STATSUSER_LOGINUSER_CHANGE_PASSWORDSETTING_MODIFICATIONFILE_DELETIONFILE_MODIFICATIONSTATUS_SHUTDOWNSCHEDULED_TASK_CREATIONFILE_READNETWORK_CONNECTIONGENERIC_EVENTUSER_UNCATEGORIZEDSTATUS_UPDATE
event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type 一律設為 ADAUDIT_PLUS
event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name 一律設為 ADAudit Plus
event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 一律設為 Zoho Corporation
host principal.hostnameprincipal.asset.hostname 原始記錄中的 host 值會指派給這些 UDM 欄位。也會將 has_principal_host 設為 true。
intermediary.hostnameintermediary.asset.hostname intermediary.hostnameintermediary.asset.hostname 設為 loggerHost 的值。
principalHost principal.hostnameprincipal.asset.hostname 系統會檢查原始記錄中的 principalHost 是否為 IP,然後將該值指派給這些 UDM 欄位。也會將 has_principal_host 設為 true。
security_result.action security_result.action 如果 outcomemsg_data_2 包含 Success,或 FORMAT_MESSAGE 包含 Status:Success,請設為 ALLOW。如果 status 包含 deniedlocked outincorrectdoes not meetUnable to validate,請設為 BLOCK。如果 ALERT_PROFILELogon Failures for Admin Users,請設為 BLOCK
security_result.category security_result.category 如果 event_typeUSER_STATS,或 ALERT_PROFILELogon Failures for Admin Users,請設為 POLICY_VIOLATION
security_result.rule_name security_result.rule_name 如果 FORMAT_MESSAGE 欄位包含 Reason:,則會從該欄位擷取。
status security_result.summary 原始記錄中的 status 值會指派給這個 UDM 欄位。
targetHost target.hostnametarget.asset.hostnametarget.iptarget.asset.ip 系統會檢查原始記錄中的 targetHost 是否為 IP,然後將該值指派給這些 UDM 欄位。
targetUser target.user.userid 原始記錄中的 targetUser 值會指派給這個 UDM 欄位。
_CNtargetUser target.user.user_display_name 原始記錄中的 _CNtargetUser 值會指派給這個 UDM 欄位。
_user principal.user.useridtarget.user.userid 除非 event_typeUSER_CHANGE_PASSWORD,否則系統會將原始記錄中的 _user 值指派給 principal.user.userid,如果是 USER_CHANGE_PASSWORD,則會指派給 target.user.userid

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。