此页面由 Cloud Translation API 翻译。

收集 Microsoft LAPS 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Microsoft LAPS（本地管理员密码解决方案）日志注入到 Google Security Operations。解析器首先从 message 字段中提取 JSON 格式的数据，然后进一步解析提取的 JSON 中的 EventData 字段。然后，它会将提取的字段映射到统一数据模型 (UDM) 架构，根据 EventId 对事件类型进行分类，最后将所有处理后的数据合并到输出事件中。

准备工作

确保您满足以下前提条件：

Google SecOps 实例
如果在代理后运行，防火墙端口处于开放状态
通过 LAPS 对 Microsoft Windows Server 进行特权访问

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常情况下，它位于 Windows 上的安装目录中。
- 使用文本编辑器（例如记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  windowseventlog/laps_operational:
    channel: Microsoft-Windows-LAPS/Operational
    max_reads: 100
    poll_interval: 5s
    raw: true
    start_at: end

processors:
  batch:

exporters:
  chronicle/laps:
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'WINDOWS_LAPS'
        override_log_type: false
        raw_log_field: body

service:
  pipelines:
    logs/laps:
      receivers:
      - windowseventlog/laps_operational
      processors: [batch]
      exporters: [chronicle/laps]

将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Microsoft Windows LAPS

在提升权限的命令提示符处输入 eventvwr.msc，然后按 Enter 键打开事件查看器。
依次前往应用程序和服务日志 > Microsoft > Windows > LAPS。
展开 LAPS。
右键点击 LAPS，然后点击属性。
选中启用日志记录复选框。
当系统询问是否已启用日志时，点击 OK。
点击确定。

UDM 映射表

日志字段	UDM 映射	逻辑
渠道	read_only_udm.additional.fields.key	值取自原始日志中的 `Channel` 字段，并分配给 `key` 字段。
渠道	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `Channel` 字段，并分配给 `string_value` 字段。
计算机	read_only_udm.principal.hostname	值取自原始日志中的 `Computer` 字段。
计算机	read_only_udm.principal.asset.hostname	值取自原始日志中的 `Computer` 字段。
EventData.%1	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `EventData.%1` 字段，并分配给 `string_value` 字段。
EventId	read_only_udm.metadata.product_event_type	值取自原始日志中的 `EventId` 字段。
EventId	read_only_udm.security_result.rule_name	值取自原始日志中的 `EventId` 字段，并附加到 `EventID:`。
EventRecordID	read_only_udm.metadata.product_log_id	值取自原始日志中的 `EventRecordID` 字段。
关键字	read_only_udm.additional.fields.key	值取自原始日志中的 `Keywords` 字段，并分配给 `key` 字段。
关键字	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `Keywords` 字段，并分配给 `string_value` 字段。
级别	read_only_udm.security_result.severity	值取自原始日志中的 `Level` 字段，并映射到：`INFO`、`Informational`、`Information`、`Normal`、`NOTICE` 对应 `INFORMATIONAL`；`ERROR`、`Error` 对应 `ERROR`；`Critical` 对应 `CRITICAL`。
操作码	read_only_udm.additional.fields.key	值取自原始日志中的 `Opcode` 字段，并分配给 `key` 字段。
操作码	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `Opcode` 字段，并分配给 `string_value` 字段。
ProcessID	read_only_udm.principal.process.pid	值取自原始日志中的 `ProcessID` 字段。
ProviderName	read_only_udm.metadata.product_name	值取自原始日志中的 `ProviderName` 字段。
任务	read_only_udm.additional.fields.key	值取自原始日志中的 `Task` 字段，并分配给 `key` 字段。
任务	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `Task` 字段，并分配给 `string_value` 字段。
ThreadID	read_only_udm.additional.fields.key	值取自原始日志中的 `ThreadID` 字段，并分配给 `key` 字段。
ThreadID	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `ThreadID` 字段，并分配给 `string_value` 字段。
TimeCreated	read_only_udm.metadata.event_timestamp	值取自原始日志中的 `TimeCreated` 字段，解析为 UNIX_MS 时间戳。
TimeCreated	events.timestamp	值取自原始日志中的 `TimeCreated` 字段，解析为 UNIX_MS 时间戳。
版本	read_only_udm.additional.fields.key	值取自原始日志中的 `Version` 字段，并分配给 `key` 字段。
版本	read_only_udm.additional.fields.value.string_value	值取自原始日志中的 `Version` 字段，并分配给 `string_value` 字段。
	read_only_udm.additional.fields.key	分配了值 `EventData_P1`。
	read_only_udm.metadata.event_type	如果 EventId 为 `7` 或 `2`，则有条件地分配 `STATUS_UNCATEGORIZED`，否则分配 `GENERIC_EVENT`。
	read_only_udm.metadata.vendor_name	分配了值 `Microsoft`。