收集 MobileIron 日志

本文档介绍了如何使用 Bindplane 代理将 MobileIron 日志注入到 Google 安全运营中心。解析器会将 JSON 格式的日志转换为统一数据模型 (UDM)。它会从原始 JSON 中提取字段，将其映射到相应的 UDM 属性，并使用平台专用详细信息和安全事件情境丰富数据。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您使用的是 Windows 2016 或更高版本，或者使用了带有 systemd 的 Linux 主机。
• 如果在代理后面运行，请确保防火墙端口处于打开状态。
• 确保您拥有对 MobileIron 的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。
3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次选择 SIEM 设置 > 配置文件。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安装资源

• 如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

1. 访问配置文件：

   1. 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，该目录位于安装目录中。
   2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

2. 按如下方式修改 config.yaml 文件：

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: MOBILEIRON
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. 根据基础架构中的需要替换端口和 IP 地址。

4. 将 <customer_id> 替换为实际的客户 ID。

5. 在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart bindplane-agent
  

• 如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

在 MobileIron 中配置 Syslog 服务器

1. 登录系统管理器。
2. 依次前往设置 > 数据导出 > SysLog 服务器。
3. 点击添加。
4. 系统随即会打开添加 SysLog 窗口。
5. 提供以下配置详细信息：
   • 服务器：输入 Bindplane IP 地址和端口。
   • 协议：选择 UDP（您也可以根据绑定平面配置选择 TCP 或 TLS over TCP）。
   • 可选：受信任的服务器证书：只有在协议中选择 TLS over TCP 时，此字段才会显示。
   • 管理状态：选择启用。
   • 严重级别 (facility.level)：对于严重级别为“信息”或更高级别的所有消息，请输入 *.info。
6. 依次点击应用 > 确定以保存更改。

UDM 映射表

日志字段	UDM 映射	逻辑
complianceViolationTypeToReason.BLACKLIST_APPS	security_result.description	complianceViolationTypeToReason.BLACKLIST_APPS 字段中的值，前缀为 Compliance Violation Type To Reason BLACKLIST APPS -。
complianceViolationTypeToReason.PC	security_result.description	complianceViolationTypeToReason.PC 字段中的值，前缀为 Compliance Violation Type To Reason PC -。
complianceViolationTypeToReason.SA	security_result.description	complianceViolationTypeToReason.SA 字段中的值，前缀为 Compliance Violation Type To Reason SA -。
displayName	principal.user.user_display_name	直接从 displayName 映射。
emailAddress	principal.user.email_addresses	直接从 emailAddress 映射。
firstName	principal.user.first_name	直接从 firstName 映射。
id	principal.asset.product_object_id	直接从 id 映射。
lastName	principal.user.last_name	直接从 lastName 映射。
platformType	principal.asset.platform_software.platform	使用以下逻辑从 platformType 映射而来： - 如果 platformType 与 Windows 匹配（不区分大小写），则设为 WINDOWS。 - 如果 platformType 与 MAC、OS X 或 IOS 匹配（不区分大小写），则设置为 MAC。 - 如果 platformType 与 Linux 匹配（不区分大小写），则设置为 LINUX。 - 否则，请将其设置为 UNKNOWN_PLATFORM。
platformType	principal.asset.platform_software.platform_version	使用 - 分隔符将 platformType 和 platformVersion 串联起来。
platformVersion	principal.asset.platform_software.platform_version	使用 - 分隔符将 platformType 和 platformVersion 串联起来。
policyViolatedAt	metadata.event_timestamp	已转换为自公元纪年以来的毫秒数形式的时间戳。
policyViolatedAt	security_result.about.labels.value	转换为字符串后直接从 policyViolatedAt 映射。
policyViolatedID	security_result.rule_id	直接从 policyViolatedID 映射。
prettyModel	principal.asset.hardware.model	直接从 prettyModel 映射。
不适用	metadata.event_type	已硬编码为 USER_UNCATEGORIZED。
不适用	metadata.log_type	已硬编码为 MOBILEIRON。
不适用	metadata.product_name	已硬编码为 MOBILEIRON。
不适用	metadata.vendor_name	已硬编码为 MOBILEIRON。
不适用	principal.asset.type	已硬编码为 MOBILE。
不适用	security_result.about.labels.key	已硬编码为 Policy Violated At。
不适用	security_result.category	已硬编码为 POLICY_VIOLATION。

变化

2024-11-07

增强功能：

• 添加了对 syslog 格式的支持。

2023-02-02

增强功能：

• 将 complianceViolationTypeToReason.BLACKLIST_APPS 的现有映射 security_result.summary 更新为 security_result.description。
• 将“complianceViolationTypeToReason.SA”映射到“security_result.summary”。

2022-04-25

增强功能：

• 将 event_type 从“GENERIC_EVENT”修改为“USER_UNCATEGORIZED”
• 将“policyViolatedAt”映射到“metadata.event_timestamp”
• 将“platformType”映射到“principal.asset.platform_software.platform”

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。