BindPlane-Agent verwenden

Der BindPlane-Agent (auch Erfassungsagent genannt) ist ein Open-Source-Agent, der auf dem OpenTelemetry Collector (OTel) basiert. Er erfasst Logs aus verschiedenen Quellen, einschließlich Microsoft Windows-Ereignisprotokollen, und sendet sie an Google Security Operations.

Die Bindplane OP Management Console bietet eine umfassende und einheitliche Plattform für die Verwaltung Ihrer OTel-Collector-Bereitstellungen in Google SecOps und Google Cloud. BindPlane (früher observIQ) bietet eine BindPlane-Verwaltungskonsole (Google-Version). Die Verwaltungskonsole ist optional. Sie können den Agent mit oder ohne sie verwenden.

Weitere Informationen finden Sie unter:

• Bindplane-Lösungen
• Bindplane OP-Verwaltungskonsole

Die Verwaltungskonsole ist optional. Sie können den Agent mit oder ohne die Console verwenden. Weitere Informationen zur Konsole finden Sie unter Bindplane OP Management Console.

Dies ist dieselbe Lösung, die von Cloud Logging für lokale Bereitstellungen verwendet wird.

Hinweise

Für die Installation des Agents benötigen Sie Folgendes:

• Authentifizierungsdatei für die Aufnahme in Google SecOps

  So laden Sie die Authentifizierungsdatei herunter:

  1. Öffnen Sie die Google SecOps-Konsole.
  2. Rufen Sie SIEM Settings > Collection Agent auf.
  3. Laden Sie die Authentifizierungsdatei für die Google SecOps-Aufnahme herunter.

• Google SecOps-Kundennummer

  So finden Sie die Kunden-ID:

  1. Öffnen Sie die Google SecOps-Konsole.
  2. Rufen Sie SIEM-Einstellungen > Profil auf.
  3. Kopieren Sie die Kunden-ID aus dem Bereich Organisationsdetails.

• Windows 2012 SP2 oder höher oder Linux-Host mit systemd

• Internetverbindung

• GitHub-Zugriff

Firewallkonfiguration prüfen

Für alle Firewalls oder authentifizierten Proxys zwischen dem Agent und dem Internet sind Regeln erforderlich, um den Zugriff auf die folgenden Hosts zu ermöglichen:

Bindplane OP-Verwaltungskonsole

Die Bindplane OP Management Console bietet die folgenden Hauptfunktionen:

• Zentrale Verwaltung: In der Konsole können Sie alle Ihre OTel-Collector-Bereitstellungen in Google Cloudverwalten. Sie können den Status jeder Bereitstellung einsehen und allgemeine Verwaltungsaufgaben wie das Starten, Beenden und Neustarten von Collectors ausführen.
• Echtzeitmonitoring: Die Konsole bietet Echtzeitmonitoring Ihrer OTel-Collector-Bereitstellungen. Sie können Messwerte wie CPU-Auslastung, Speicherauslastung und Durchsatz im Blick behalten sowie Logs und Traces ansehen, um Probleme zu beheben.
• Benachrichtigungen: In der Konsole können Sie Benachrichtigungen für wichtige Ereignisse einrichten, z. B. wenn ein Collector ausfällt oder ein Messwertschwellenwert überschritten wird.
• Konfigurationsverwaltung: In der Console können Sie die Konfiguration Ihrer OTel-Collectoren zentral verwalten. Sie können Konfigurationsdateien bearbeiten, Umgebungsvariablen festlegen und Sicherheitsrichtlinien auf alle Ihre Bereitstellungen anwenden.
• Integration mit Google Cloud: Sie können OTel-Collector-Bereitstellungen in Google Cloud erstellen und verwalten und über die Console auf Ihre Google Cloud -Ressourcen zugreifen.

Es gibt zwei Möglichkeiten, die Bindplane OP Management Console bereitzustellen:

• Auf einem Linux-Host herunterladen und installieren: Verfügbar als DEB-Paket, RPM-Paket oder Docker-Image.
• Über den Google Cloud Marketplace installieren und bereitstellen

Unterschied zwischen Bindplane (Google-Version) und Bindplane Enterprise (Google-Version)

Je nach Ihren Anforderungen an die Bereitstellung können Sie entweder Bindplane (Google Edition) oder Bindplane Enterprise (Google Edition) verwenden.

• Alle Google SecOps-Kunden haben Zugriff auf Bindplane (Google Edition).
• Wenn Sie eine BindPlane (Google Edition)-Lizenz erhalten möchten, laden Sie BindPlane herunter und installieren Sie es.
• Wenn Sie Google SecOps Enterprise Plus-Kunde sind, ist Bindplane Enterprise (Google Edition) enthalten. Wenden Sie sich an Ihr Google-Kontoteam, um Ihren Lizenzschlüssel für Bindplane Enterprise (Google Edition) zu erhalten.

Die Unterschiede sind in der folgenden Tabelle aufgeführt:

BindPlane-Agent installieren

In diesem Abschnitt wird beschrieben, wie Sie den Agent auf verschiedenen Hostbetriebssystemen installieren.

Windows

Führen Sie den folgenden PowerShell-Befehl aus, um den Bindplane-Agent unter Windows zu installieren:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Alternativ können Sie das aktuelle Installationsprogramm für Windows herunterladen, um die Installation mit einem Installationsassistenten durchzuführen.

Öffnen Sie nach dem Herunterladen des Installationsprogramms den Installationsassistenten und folgen Sie der Anleitung, um den Bindplane-Agenten zu konfigurieren und zu installieren. Weitere Informationen zur Installation finden Sie unter Installation unter Windows.

Linux

Sie können den Agent unter Linux mit einem Skript installieren, das automatisch ermittelt, welches Paket installiert werden soll. Sie können dasselbe Skript auch verwenden, um eine vorhandene Installation zu aktualisieren.

Führen Sie das folgende Skript aus, um die Installation mit dem Installationsskript durchzuführen:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Installation über ein lokales Paket

Wenn Sie den Agent aus einem lokalen Paket installieren möchten, verwenden Sie -f mit dem Pfad zum Paket.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh -f path_to_package

RPM-Installation

Laden Sie das RPM-Paket für Ihre Architektur von der Seite mit den Releases herunter und installieren Sie das Paket mit rpm. Im folgenden Beispiel wird das Paket amd64 installiert:

sudo rpm -U ./observiq-otel-collector_v${VERSION}_linux_amd64.rpm
sudo systemctl enable --now observiq-otel-collector

Ersetzen Sie VERSION durch die Version des heruntergeladenen Pakets.

DEB-Installation

Laden Sie das DEB-Paket für Ihre Architektur von der Seite „Releases“ herunter und installieren Sie das Paket mit dpkg. Sehen Sie sich das folgende Beispiel für die Installation des amd64-Pakets an:

sudo dpkg -i --force-overwrite ./observiq-otel-collector_v${VERSION}_linux_amd64.deb
sudo systemctl enable --now observiq-otel-collector

Ersetzen Sie VERSION durch die Version des heruntergeladenen Pakets.

Weitere Informationen finden Sie unter BindPlane-Agent installieren.

Agent konfigurieren

Sie können den Agent entweder manuell oder über die Bindplane OP Management Console konfigurieren. Wenn Sie den Agent manuell konfigurieren, müssen Sie die Exportparameter aktualisieren, damit der Agent sich bei Google SecOps authentifiziert.

Nach der Installation des Agents wird der observiq-otel-collector-Dienst ausgeführt und kann konfiguriert werden. Der Agent protokolliert standardmäßig in C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log.

Das Standardfehlerlog für den Agent-Prozess finden Sie unter C:\Program Files\observIQ OpenTelemetry Collector\log\observiq_collector.err.

Die Agent-Konfigurationsdatei befindet sich standardmäßig unter C:\Program Files\observIQ OpenTelemetry Collector\config.yaml. Wenn Sie die Konfiguration ändern, müssen Sie den Agent-Dienst neu starten, damit die Konfigurationsänderungen wirksam werden.

Sie können eine Beispielkonfigurationsdatei und ein Authentifizierungstoken, die vom Agent verwendet werden, in der Google SecOps-Konsole > SIEM Settings (SIEM-Einstellungen) > Collection Agent (Erfassungs-Agent) herunterladen.

Passen Sie die beiden Abschnitte in der Konfigurationsdatei an:

• Empfänger: Gibt an, welche Logs der Agent erfassen und an Google SecOps senden soll.
• Exporter: Gibt das Ziel an, an das der Agent die Logs sendet. Die folgenden Exporter werden unterstützt:
  • Google SecOps-Exporter: Sendet Logs direkt an die Google SecOps-Aufnahme-API
  • Google SecOps Forwarder-Exporter: Sendet Logs an Google SecOps Forwarder
  • Cloud Logging-Exporter: Sendet Logs an Cloud Logging

Passen Sie im Exporter Folgendes an:

• customer_id: Google SecOps-Kunden-ID
• endpoint: Regionaler Endpunkt von Google SecOps

• creds: Authentifizierungs-Token

  Alternativ können Sie mit creds_file_path direkt auf die Datei mit den Anmeldedaten verweisen. Bei der Windows-Konfiguration müssen Sie den Pfad mit Backslashes maskieren.

• log_type: Logtyp

• ingestion_labels: Optionale Labels für die Aufnahme

• namespace: Optionaler Namespace

  Für jeden Logtyp müssen Sie einen Exporteur konfigurieren.

Architektur

Für die Agent-Architektur stehen die folgenden Optionen zur Verfügung.

Der Erfassungs-Agent sendet Logs an den Erfassungs-Agent, der als Gateway fungiert.

Der Erfassungs-Agent sendet Logs direkt an die Google SecOps-Aufnahme-API.

Der Erfassungsagent sendet Logs direkt an Cloud Logging.

Der Erfassungs-Agent sendet Logs an mehrere Ziele

Skalierbarkeit

Agent-Collector benötigen in der Regel nur minimale Ressourcen. Wenn jedoch große Mengen an Telemetriedaten (Logs oder Traces) auf einem System verarbeitet werden, sollten Sie auf den Ressourcenverbrauch achten, um Auswirkungen auf andere Dienste zu vermeiden. Weitere Informationen finden Sie unter Agent-Größe und ‑Skalierung.

Support

Bei Problemen mit dem Collector-Agent wenden Sie sich bitte an den Google Cloud Support.

Bei Problemen mit der Bindplane OP-Verwaltung wenden Sie sich an den Bindplane-Support.

Zusätzliche Beispiele für die Konfiguration der Protokollerfassung

In den folgenden Abschnitten finden Sie Beispiele für zusätzliche Konfigurationen für die Protokollerfassung.

Windows-Ereignisse und Sysmon-Ereignisse direkt an Google SecOps senden

Konfigurieren Sie diese Parameter im Beispiel:

• chronicleexporter

  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
  windowseventlog/sysmon:
    channel: Microsoft-Windows-Sysmon/Operational
    raw: true
  windowseventlog/security:
    channel: security
    raw: true
  windowseventlog/application:
    channel: application
    raw: true
  windowseventlog/system:
    channel: system
    raw: true

processors:
  batch:

exporters:
  chronicle/sysmon:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}' 
    log_type: 'WINDOWS_SYSMON'
    override_log_type: false
    raw_log_field: body
    customer_id: 'dddddddd-dddd-dddd-dddd-dddddddddddd'
  chronicle/winevtlog:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}'
    log_type: 'WINEVTLOG'
    override_log_type: false
    raw_log_field: body
    customer_id: 'dddddddd-dddd-dddd-dddd-dddddddddddd'

service:
  pipelines:
    logs/sysmon:
      receivers: [windowseventlog/sysmon]
      processors: [batch]
      exporters: [chronicle/sysmon]
    logs/winevtlog:
      receivers: 
        - windowseventlog/security
        - windowseventlog/application
        - windowseventlog/system
      processors: [batch]
      exporters: [chronicle/winevtlog]

Windows-Ereignisse und Syslog direkt an Google SecOps senden

Konfigurieren Sie diese Parameter im Beispiel:

• windowseventlogreceiver
• tcplogreceiver
  • listen_address
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
    tcplog:
      listen_address: "0.0.0.0:54525"
    windowseventlog/source0__application:
        attributes:
            log_type: windows_event.application
        channel: application
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__security:
        attributes:
            log_type: windows_event.security
        channel: security
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__system:
        attributes:
            log_type: windows_event.system
        channel: system
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: <applicable_log_type>
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/source0__system
                - windowseventlog/source0__application
                - windowseventlog/source0__security
            exporters:
                - chronicle/chronicle_w_labels
        logs/source1__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Windows-Ereignisse und Syslog an den Google SecOps-Forwarder senden

Konfigurieren Sie diese Parameter im Beispiel:

• windowseventlogreceiver
• tcplogreceiver
  • listen_address
• chronicleforwarder
  • endpoint

Beispielkonfiguration:

receivers:
tcplog:
    listen_address: "0.0.0.0:54525"
    windowseventlog/source0__application:
        attributes:
            log_type: windows_event.application
        channel: application
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__security:
        attributes:
            log_type: windows_event.security
        channel: security
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__system:
        attributes:
            log_type: windows_event.system
        channel: system
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
exporters:
    chronicleforwarder/forwarder:
        export_type: syslog
        raw_log_field: body
        syslog:
            endpoint: 127.0.0.1:10514
            transport: udp
service:
    pipelines:
        logs/source0__forwarder-0:
            receivers:
                - windowseventlog/source0__system
                - windowseventlog/source0__application
                - windowseventlog/source0__security
            exporters:
                - chronicleforwarder/forwarder
        logs/source1__forwarder-0:
            receivers:
                - tcplog
            exporters:
                - chronicleforwarder/forwarder

Syslog direkt an Google SecOps senden

Konfigurieren Sie diese Parameter im Beispiel:

• tcplogreceiver
  • listen_address
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • Creds

Beispielkonfiguration:

receivers:
  tcplog:
    listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: <applicable_log_type>
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Windows-Ereignisse remote erfassen und direkt an Google SecOps senden

Konfigurieren Sie diese Parameter im Beispiel:

• windowseventlogreceiver
  • username
  • password
  • server
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
    windowseventlog/system:
        channel: system
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "remote-server"
    windowseventlog/application:
        channel: application
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "server-ip"
    windowseventlog/security:
        channel: security
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "server-ip"
exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: WINEVTLOG
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/system
                - windowseventlog/application
                - windowseventlog/security
            exporters:
                - chronicle/chronicle_w_labels

Daten an Cloud Logging senden

Konfigurieren Sie den Parameter credentials_file im Beispiel.

Beispielkonfiguration:

exporters:
  googlecloud:
    credentials_file: /opt/observiq-otel-collector/credentials.json

SQL-Datenbank abfragen und Ergebnisse an Google SecOps senden

Konfigurieren Sie diese Parameter im Beispiel:

• sqlqueryreceiver
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
  sqlquery/source0:
    datasource: host=localhost port=5432 user=postgres password=s3cr3t sslmode=disable
    driver: postgres
    queries:
      - logs:
          - body_column: log_body
        sql: select * from my_logs where log_id > $$1
        tracking_column: log_id
        tracking_start_value: "10000"
processors:
  transform/source0_processor0__logs:
    error_mode: ignore
    log_statements:
      - context: log
        statements:
          - set(attributes["chronicle_log_type"], "POSTGRESQL") where true
exporters:
  chronicle/chronicle_sql:
    compression: gzip
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}' 
    customer_id: customer_id
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: POSTGRESQL
    namespace: null
    raw_log_field: body
    retry_on_failure:
      enabled: false
    sending_queue:
      enabled: false
service:
  pipelines:
    logs/source0_chronicle_sql-0:
      receivers:
        - sqlquery/source0
      processors:
        - transform/source0_processor0__logs
      exporters:
        - chronicle/chronicle_sql

Logs löschen, die mit einem regulären Ausdruck übereinstimmen

Sie können den Collector so konfigurieren, dass Logs, die einem regulären Ausdruck entsprechen, verworfen werden. Dies ist nützlich, um unerwünschte Logs herauszufiltern, z. B. bekannte Fehler oder Debugging-Nachrichten.

Wenn Sie Logs verwerfen möchten, die einem regulären Ausdruck entsprechen, fügen Sie Ihrer Konfiguration einen Prozessor vom Typ filter/drop-matching-logs-to-Chronicle hinzu. Dieser Prozessor verwendet die Funktion IsMatch, um den Log-Body anhand des regulären Ausdrucks auszuwerten. Wenn die Funktion true zurückgibt, wird der Log verworfen.

In der folgenden Beispielkonfiguration werden Logs verworfen, die die Strings <EventID>10</EventID> oder <EventID>4799</EventID> im Log-Text enthalten.

Sie können den regulären Ausdruck an jedes beliebige Muster anpassen. Die Funktion IsMatch verwendet die RE2-Syntax für reguläre Ausdrücke.

Beispielkonfiguration:

processors:
    filter/drop-matching-logs-to-Chronicle:
        error_mode: ignore
        logs:
            log_record:
                - (IsMatch(body, "<EventID>10</EventID>")) or (IsMatch(body, "<EventID>4799</EventID>"))

Im folgenden Beispiel wird der Prozessor der Pipeline in derselben Konfiguration hinzugefügt:

service:
  pipelines:
    logs/winevtlog:
      receivers: 
        - windowseventlog/security
        - windowseventlog/application
        - windowseventlog/system
      processors: 
      - filter/drop-matching-logs-to-Chronicle # Add this line
      - batch
      exporters: [chronicle/winevtlog]

Referenzdokumentation

Weitere Informationen zu BindPlane (früher observIQ) finden Sie unter:

• Bindplane-Lösungen
• Bindplane OP-Kurzanleitung
• Unterstützte Logtypen für Google Cloud
• Nach Condition Processor filtern
• Für BindPlane OP verfügbare Quellen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten