Mengumpulkan log Microsoft LAPS

Dokumen ini menjelaskan cara menyerap log Microsoft LAPS (Local Administrator Password Solution) ke Google Security Operations menggunakan BindPlane. Parser pertama-tama mengekstrak data berformat JSON dari kolom message, lalu mengurai lebih lanjut kolom EventData dalam JSON yang diekstrak. Kemudian, kolom yang diekstrak dipetakan ke skema Model Data Terpadu (UDM), jenis peristiwa dikategorikan berdasarkan EventId, dan akhirnya semua data yang diproses digabungkan ke dalam peristiwa output.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps
• jika dijalankan di belakang proxy, port firewall terbuka
• Akses istimewa ke Microsoft Windows Server dengan LAPS

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:
   • Cari file config.yaml. Biasanya, file ini ada di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     windowseventlog/laps_operational:
       channel: Microsoft-Windows-LAPS/Operational
       max_reads: 100
       poll_interval: 5s
       raw: true
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/laps:
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'WINDOWS_LAPS'
           override_log_type: false
           raw_log_field: body
   
   service:
     pipelines:
       logs/laps:
         receivers:
         - windowseventlog/laps_operational
         processors: [batch]
         exporters: [chronicle/laps]
   

3. Ganti <customer_id> dengan ID Pelanggan yang sebenarnya.

4. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi LAPS Microsoft Windows

1. Ketik eventvwr.msc di command prompt yang ditinggikan, lalu tekan ENTER untuk membuka Event Viewer.
2. Buka Applications and Services Logs > Microsoft > Windows > LAPS.
3. Luaskan LAPS.
4. Klik kanan LAPS, lalu klik Properties.
5. Centang kotak Aktifkan logging.
6. Klik OK saat ditanya apakah log diaktifkan.
7. Klik Oke.

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.