Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de LAPS de Microsoft

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros de la solución de contraseña de administrador local (LAPS) de Microsoft a las Operaciones de seguridad de Google con Bindplane. Primero, el analizador extrae los datos con formato JSON del campo message y, luego, analiza el campo EventData dentro del JSON extraído. Luego, asigna los campos extraídos al esquema del Modelo de datos unificado (UDM), categoriza el tipo de evento según el EventId y, por último, combina todos los datos procesados en el evento de salida.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
Acceso con privilegios a un servidor de Microsoft Windows con LAPS

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  windowseventlog/laps_operational:
    channel: Microsoft-Windows-LAPS/Operational
    max_reads: 100
    poll_interval: 5s
    raw: true
    start_at: end

processors:
  batch:

exporters:
  chronicle/laps:
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'WINDOWS_LAPS'
        override_log_type: false
        raw_log_field: body

service:
  pipelines:
    logs/laps:
      receivers:
      - windowseventlog/laps_operational
      processors: [batch]
      exporters: [chronicle/laps]

Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura LAPS de Microsoft Windows

Escribe eventvwr.msc en un símbolo del sistema con privilegios elevados y presiona INTRO para abrir el Visor de eventos.
Ve a Registros de aplicaciones y servicios > Microsoft > Windows > LAPS.
Expande LAPS.
Haz clic con el botón derecho en LAPS y, luego, en Propiedades.
Selecciona la casilla de verificación Habilitar registro.
Haz clic en Aceptar cuando se te pregunte si el registro está habilitado.
Haz clic en Aceptar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Canal	read_only_udm.additional.fields.key	El valor se toma del campo `Channel` en el registro sin procesar y se asigna al campo `key`.
Canal	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `Channel` en el registro sin procesar y se asigna al campo `string_value`.
Computadora	read_only_udm.principal.hostname	El valor se toma del campo `Computer` en el registro sin procesar.
Computadora	read_only_udm.principal.asset.hostname	El valor se toma del campo `Computer` en el registro sin procesar.
EventData.%1	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `EventData.%1` en el registro sin procesar y se asigna al campo `string_value`.
EventId	read_only_udm.metadata.product_event_type	El valor se toma del campo `EventId` en el registro sin procesar.
EventId	read_only_udm.security_result.rule_name	El valor se toma del campo `EventId` en el registro sin procesar y se agrega a `EventID:`.
EventRecordID	read_only_udm.metadata.product_log_id	El valor se toma del campo `EventRecordID` en el registro sin procesar.
Palabras clave	read_only_udm.additional.fields.key	El valor se toma del campo `Keywords` en el registro sin procesar y se asigna al campo `key`.
Palabras clave	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `Keywords` en el registro sin procesar y se asigna al campo `string_value`.
Nivel	read_only_udm.security_result.severity	El valor se toma del campo `Level` en el registro sin procesar y se asigna a: `INFORMATIONAL` para `INFO`, `Informational`, `Information`, `Normal`, `NOTICE`; `ERROR` para `ERROR`, `Error`; `CRITICAL` para `Critical`.
Opcode	read_only_udm.additional.fields.key	El valor se toma del campo `Opcode` en el registro sin procesar y se asigna al campo `key`.
Opcode	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `Opcode` en el registro sin procesar y se asigna al campo `string_value`.
ProcessID	read_only_udm.principal.process.pid	El valor se toma del campo `ProcessID` en el registro sin procesar.
ProviderName	read_only_udm.metadata.product_name	El valor se toma del campo `ProviderName` en el registro sin procesar.
Tarea	read_only_udm.additional.fields.key	El valor se toma del campo `Task` en el registro sin procesar y se asigna al campo `key`.
Tarea	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `Task` en el registro sin procesar y se asigna al campo `string_value`.
ThreadID	read_only_udm.additional.fields.key	El valor se toma del campo `ThreadID` en el registro sin procesar y se asigna al campo `key`.
ThreadID	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `ThreadID` en el registro sin procesar y se asigna al campo `string_value`.
TimeCreated	read_only_udm.metadata.event_timestamp	El valor se toma del campo `TimeCreated` en el registro sin procesar y se analiza como una marca de tiempo UNIX_MS.
TimeCreated	events.timestamp	El valor se toma del campo `TimeCreated` en el registro sin procesar y se analiza como una marca de tiempo UNIX_MS.
Versión	read_only_udm.additional.fields.key	El valor se toma del campo `Version` en el registro sin procesar y se asigna al campo `key`.
Versión	read_only_udm.additional.fields.value.string_value	El valor se toma del campo `Version` en el registro sin procesar y se asigna al campo `string_value`.
	read_only_udm.additional.fields.key	Se le asignó el valor `EventData_P1`.
	read_only_udm.metadata.event_type	Se asigna de forma condicional `STATUS_UNCATEGORIZED` si EventId es `7` o `2`; de lo contrario, se asigna `GENERIC_EVENT`.
	read_only_udm.metadata.vendor_name	Se le asignó el valor `Microsoft`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.