このページは Cloud Translation API によって翻訳されました。

Microsoft LAPS ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Microsoft LAPS（ローカル管理者パスワードソリューション）のログを Google Security Operations に取り込む方法について説明します。パーサーは、まず message フィールドから JSON 形式のデータを抽出し、抽出された JSON 内の EventData フィールドをさらに解析します。次に、抽出されたフィールドを統合データモデル（UDM）スキーマにマッピングし、EventId に基づいてイベントタイプを分類して、最後に処理されたすべてのデータを出力イベントに統合します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
LAPS を使用した Microsoft Windows Server への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常は、Windows のインストールディレクトリにあります。
- テキストエディタ（メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  windowseventlog/laps_operational:
    channel: Microsoft-Windows-LAPS/Operational
    max_reads: 100
    poll_interval: 5s
    raw: true
    start_at: end

processors:
  batch:

exporters:
  chronicle/laps:
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'WINDOWS_LAPS'
        override_log_type: false
        raw_log_field: body

service:
  pipelines:
    logs/laps:
      receivers:
      - windowseventlog/laps_operational
      processors: [batch]
      exporters: [chronicle/laps]

<customer_id> は、実際のお客様 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Microsoft Windows LAPS を構成する

管理者権限でコマンドプロンプトを開き、「eventvwr.msc」と入力して Enter キーを押すと、イベントビューアーが開きます。
[アプリケーションとサービスログ] > [Microsoft] > [Windows] > [LAPS] に移動します。
[LAPS] を開きます。
[LAPS] を右クリックして、[プロパティ] をクリックします。
[ロギングを有効にする] チェックボックスをオンにします。
ログが有効になっているかどうかを確認するメッセージが表示されたら、[OK] をクリックします。
[OK] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
チャンネル	read_only_udm.additional.fields.key	値は、未加工ログの `Channel` フィールドから取得され、`key` フィールドに割り当てられます。
チャンネル	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `Channel` フィールドから取得され、`string_value` フィールドに割り当てられます。
パソコン	read_only_udm.principal.hostname	値は、未加工ログの `Computer` フィールドから取得されます。
パソコン	read_only_udm.principal.asset.hostname	値は、未加工ログの `Computer` フィールドから取得されます。
EventData.%1	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `EventData.%1` フィールドから取得され、`string_value` フィールドに割り当てられます。
EventId	read_only_udm.metadata.product_event_type	値は、未加工ログの `EventId` フィールドから取得されます。
EventId	read_only_udm.security_result.rule_name	値は未加工ログの `EventId` フィールドから取得され、`EventID:` に追加されます。
EventRecordID	read_only_udm.metadata.product_log_id	値は、未加工ログの `EventRecordID` フィールドから取得されます。
キーワード	read_only_udm.additional.fields.key	値は、未加工ログの `Keywords` フィールドから取得され、`key` フィールドに割り当てられます。
キーワード	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `Keywords` フィールドから取得され、`string_value` フィールドに割り当てられます。
レベル	read_only_udm.security_result.severity	値は未加工ログの `Level` フィールドから取得され、`INFO`、`Informational`、`Information`、`Normal`、`NOTICE` の場合は `INFORMATIONAL`、`ERROR`、`Error` の場合は `ERROR`、`Critical` の場合は `CRITICAL` にマッピングされます。
オペコード	read_only_udm.additional.fields.key	値は、未加工ログの `Opcode` フィールドから取得され、`key` フィールドに割り当てられます。
オペコード	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `Opcode` フィールドから取得され、`string_value` フィールドに割り当てられます。
ProcessID	read_only_udm.principal.process.pid	値は、未加工ログの `ProcessID` フィールドから取得されます。
ProviderName	read_only_udm.metadata.product_name	値は、未加工ログの `ProviderName` フィールドから取得されます。
タスク	read_only_udm.additional.fields.key	値は、未加工ログの `Task` フィールドから取得され、`key` フィールドに割り当てられます。
タスク	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `Task` フィールドから取得され、`string_value` フィールドに割り当てられます。
ThreadID	read_only_udm.additional.fields.key	値は、未加工ログの `ThreadID` フィールドから取得され、`key` フィールドに割り当てられます。
ThreadID	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `ThreadID` フィールドから取得され、`string_value` フィールドに割り当てられます。
TimeCreated	read_only_udm.metadata.event_timestamp	値は、未加工ログの `TimeCreated` フィールドから取得され、UNIX_MS タイムスタンプとして解析されます。
TimeCreated	events.timestamp	値は、未加工ログの `TimeCreated` フィールドから取得され、UNIX_MS タイムスタンプとして解析されます。
バージョン	read_only_udm.additional.fields.key	値は、未加工ログの `Version` フィールドから取得され、`key` フィールドに割り当てられます。
バージョン	read_only_udm.additional.fields.value.string_value	値は、未加工ログの `Version` フィールドから取得され、`string_value` フィールドに割り当てられます。
	read_only_udm.additional.fields.key	値 `EventData_P1` が割り当てられています。
	read_only_udm.metadata.event_type	EventId が `7` または `2` の場合は `STATUS_UNCATEGORIZED` を条件付きで割り当て、それ以外の場合は `GENERIC_EVENT` を割り当てます。
	read_only_udm.metadata.vendor_name	値 `Microsoft` が割り当てられています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。