本頁面由 Cloud Translation API 翻譯而成。

收集 Microsoft LAPS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Microsoft LAPS (本機管理員密碼解決方案) 記錄檔擷取至 Google Security Operations。剖析器會先從 message 欄位擷取 JSON 格式的資料，然後進一步剖析擷取 JSON 中的 EventData 欄位。然後將擷取的欄位對應至統合式資料模型 (UDM) 結構定義，根據 EventId 將事件類型分類，最後將所有處理過的資料合併至輸出事件。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
如果透過 Proxy 執行，通訊埠已開啟
使用 LAPS 取得 Microsoft Windows Server 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Windows 的安裝目錄中。
- 使用文字編輯器 (例如記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  windowseventlog/laps_operational:
    channel: Microsoft-Windows-LAPS/Operational
    max_reads: 100
    poll_interval: 5s
    raw: true
    start_at: end

processors:
  batch:

exporters:
  chronicle/laps:
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'WINDOWS_LAPS'
        override_log_type: false
        raw_log_field: body

service:
  pipelines:
    logs/laps:
      receivers:
      - windowseventlog/laps_operational
      processors: [batch]
      exporters: [chronicle/laps]

將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Microsoft Windows LAPS

在已提升權限的命令提示字元中輸入 eventvwr.msc，然後按 Enter 鍵開啟「事件檢視器」。
依序前往「應用程式和服務記錄」>「Microsoft」>「Windows」>「LAPS」。
展開「LAPS」。
在「LAPS」上按一下滑鼠右鍵，然後點選「Properties」。
勾選「啟用記錄功能」核取方塊。
系統詢問是否要啟用記錄時，請按一下「確定」。
按一下 [確定]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
管道	read_only_udm.additional.fields.key	值取自原始記錄中的 `Channel` 欄位，並指派給 `key` 欄位。
管道	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `Channel` 欄位，並指派給 `string_value` 欄位。
電腦	read_only_udm.principal.hostname	值取自原始記錄中的 `Computer` 欄位。
電腦	read_only_udm.principal.asset.hostname	值取自原始記錄中的 `Computer` 欄位。
EventData.%1	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `EventData.%1` 欄位，並指派給 `string_value` 欄位。
EventId	read_only_udm.metadata.product_event_type	值取自原始記錄中的 `EventId` 欄位。
EventId	read_only_udm.security_result.rule_name	值取自原始記錄中的 `EventId` 欄位，並附加至 `EventID:`。
EventRecordID	read_only_udm.metadata.product_log_id	值取自原始記錄中的 `EventRecordID` 欄位。
關鍵字	read_only_udm.additional.fields.key	值取自原始記錄中的 `Keywords` 欄位，並指派給 `key` 欄位。
關鍵字	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `Keywords` 欄位，並指派給 `string_value` 欄位。
等級	read_only_udm.security_result.severity	值取自原始記錄中的 `Level` 欄位，並對應至：`INFO`、`Informational`、`Information`、`Normal`、`NOTICE` 的 `INFORMATIONAL`；`ERROR`、`Error` 的 `ERROR`；`Critical` 的 `CRITICAL`。
Opcode	read_only_udm.additional.fields.key	值取自原始記錄中的 `Opcode` 欄位，並指派給 `key` 欄位。
Opcode	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `Opcode` 欄位，並指派給 `string_value` 欄位。
ProcessID	read_only_udm.principal.process.pid	值取自原始記錄中的 `ProcessID` 欄位。
ProviderName	read_only_udm.metadata.product_name	值取自原始記錄中的 `ProviderName` 欄位。
工作	read_only_udm.additional.fields.key	值取自原始記錄中的 `Task` 欄位，並指派給 `key` 欄位。
工作	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `Task` 欄位，並指派給 `string_value` 欄位。
ThreadID	read_only_udm.additional.fields.key	值取自原始記錄中的 `ThreadID` 欄位，並指派給 `key` 欄位。
ThreadID	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `ThreadID` 欄位，並指派給 `string_value` 欄位。
TimeCreated	read_only_udm.metadata.event_timestamp	值取自原始記錄中的 `TimeCreated` 欄位，並剖析為 UNIX_MS 時間戳記。
TimeCreated	events.timestamp	值取自原始記錄中的 `TimeCreated` 欄位，並剖析為 UNIX_MS 時間戳記。
版本	read_only_udm.additional.fields.key	值取自原始記錄中的 `Version` 欄位，並指派給 `key` 欄位。
版本	read_only_udm.additional.fields.value.string_value	值取自原始記錄中的 `Version` 欄位，並指派給 `string_value` 欄位。
	read_only_udm.additional.fields.key	指派值 `EventData_P1`。
	read_only_udm.metadata.event_type	如果 EventId 為 `7` 或 `2`，則有條件地指派 `STATUS_UNCATEGORIZED`，否則指派 `GENERIC_EVENT`。
	read_only_udm.metadata.vendor_name	指派值 `Microsoft`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。