此页面由 Cloud Translation API 翻译。

收集 MobileIron 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 代理将 MobileIron 日志注入到 Google Security Operations。解析器会将 JSON 格式的日志转换为统一数据模型 (UDM)。它从原始 JSON 中提取字段，将其映射到相应的 UDM 属性，并使用特定于平台的数据和安全事件上下文来丰富数据。

准备工作

确保您拥有 Google SecOps 实例。
确保您使用的是 Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
确保您拥有对 MobileIron 的特权访问权限。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: MOBILEIRON
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 MobileIron 中配置 Syslog 服务器

登录 System Manager。
依次前往设置> 数据导出 > SysLog 服务器。
点击添加。
系统应会打开添加 SysLog 窗口。
提供以下配置详细信息：
- 服务器：输入 Bindplane IP 地址和端口。
- 协议：选择 UDP（您也可以根据 Bindplane 配置选择 TCP 或 TLS over TCP）。
- 可选：受信任的服务器证书：只有在协议中选择 TLS over TCP 时，此字段才会显示。
- 管理员状态：选择启用。
- 严重程度 (facility.level)：输入 *.info 可记录严重程度为 info 或更高级别的所有消息。
依次点击应用 > 确定以保存更改。

UDM 映射表

日志字段	UDM 映射	逻辑
complianceViolationTypeToReason.BLACKLIST_APPS	security_result.description	`complianceViolationTypeToReason.BLACKLIST_APPS` 字段的值，以 `Compliance Violation Type To Reason BLACKLIST APPS -` 为前缀。
complianceViolationTypeToReason.PC	security_result.description	`complianceViolationTypeToReason.PC` 字段的值，以 `Compliance Violation Type To Reason PC -` 为前缀。
complianceViolationTypeToReason.SA	security_result.description	`complianceViolationTypeToReason.SA` 字段的值，以 `Compliance Violation Type To Reason SA -` 为前缀。
displayName	principal.user.user_display_name	直接从 `displayName` 映射。
emailAddress	principal.user.email_addresses	直接从 `emailAddress` 映射。
firstName	principal.user.first_name	直接从 `firstName` 映射。
id	principal.asset.product_object_id	直接从 `id` 映射。
lastName	principal.user.last_name	直接从 `lastName` 映射。
platformType	principal.asset.platform_software.platform	根据以下逻辑从 `platformType` 映射： - 如果 `platformType` 与 `Windows`（不区分大小写）匹配，则设置为 `WINDOWS`。 - 如果 `platformType` 与 `MAC`、`OS X` 或 `IOS`（不区分大小写）匹配，则设置为 `MAC`。 - 如果 `platformType` 与 `Linux`（不区分大小写）匹配，则设置为 `LINUX`。 - 否则，设置为 `UNKNOWN_PLATFORM`。
platformType	principal.asset.platform_software.platform_version	`platformType` 和 `platformVersion` 的串联，以 `-` 为分隔符。
platformVersion	principal.asset.platform_software.platform_version	`platformType` 和 `platformVersion` 的串联，以 `-` 为分隔符。
policyViolatedAt	metadata.event_timestamp	转换为自纪元以来的毫秒数形式的时间戳。
policyViolatedAt	security_result.about.labels.value	从 `policyViolatedAt` 转换为字符串后直接映射。
policyViolatedID	security_result.rule_id	直接从 `policyViolatedID` 映射。
prettyModel	principal.asset.hardware.model	直接从 `prettyModel` 映射。
不适用	metadata.event_type	硬编码为 `USER_UNCATEGORIZED`。
不适用	metadata.log_type	硬编码为 `MOBILEIRON`。
不适用	metadata.product_name	硬编码为 `MOBILEIRON`。
不适用	metadata.vendor_name	硬编码为 `MOBILEIRON`。
不适用	principal.asset.type	硬编码为 `MOBILE`。
不适用	security_result.about.labels.key	硬编码为 `Policy Violated At`。
不适用	security_result.category	硬编码为 `POLICY_VIOLATION`。