Absolute Secure Endpoint-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Absolute Secure Endpoint-Logs (früher Absolute Data & Device Security) mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den SIEM-Connector-Logs im SYSLOG- oder KV-Format (CEF). Dabei werden Grok-Muster verwendet, um Felder zu identifizieren und zu extrahieren. Anschließend wird anhand bedingter Logik, die auf dem Vorhandensein von kv_pair- oder cef-Daten basiert, eine Zuordnung der extrahierten Felder zum UDM-Schema vorgenommen. Je nach den identifizierten Feldern und ihren Werten werden spezifische Zuordnungen und Transformationen angewendet, die sowohl Status-Heartbeat- als auch Sicherheitsereignisdaten verarbeiten.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein Windows 2016- oder höher- oder Linux-Host mit systemd zum Ausführen des Bindplane-Agents
• Ein Windows-Server (2012 oder höher) zum Hosten des Absolute SIEM Connector-Dienstes
• Microsoft .NET Framework 4.0 oder höher ist auf dem Windows-Server installiert, auf dem der SIEM-Connector gehostet wird.
• Privilegierter Zugriff auf die Absolute Secure Endpoint-Konsole mit aktivierter SIEM-Integration
• Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des BindPlane-Agents geöffnet sind.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Konfigurationsdatei aufrufen:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'ABSOLUTE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
   • Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kunden-ID.
   • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Absolute SIEM Connector auf Windows Server installieren

Der Absolute SIEM-Connector ist ein Windows-Dienst, der Benachrichtigungsereignisdaten aus dem Absolute Monitoring Center abruft und sie über Syslog im CEF-Format weiterleitet. Der SIEM-Connector wird als MSI-Installer bereitgestellt und ist für Kunden von Absolute Data & Device Security (DDS) Professional und Premium über das Absolute Customer Center kostenlos verfügbar.

1. Melden Sie sich unter https://cc.absolute.com/ in der Absolute Secure Endpoint Console an.
2. Rufen Sie das Kundencenter oder den Bereich Downloads auf.
3. Laden Sie das MSI-Installationsprogramm für Absolute SIEM Connector herunter.
4. Übertragen Sie das Installationsprogramm auf Ihren Windows-Server.
5. Führen Sie das Installationsprogramm auf Ihrem Windows Server als Administrator aus.
6. Folgen Sie dem Installationsassistenten, um die Installation abzuschließen.
7. Notieren Sie sich das Installationsverzeichnis (in der Regel C:\Program Files\Absolute Software\Absolute SIEM Connector).

SIEM-Integration in der Absolute Secure Endpoint Console aktivieren

Bevor der SIEM-Connector Ereignisse abrufen kann, müssen Sie die SIEM-Integration in der Absolute Secure Endpoint Console aktivieren.

1. Melden Sie sich unter https://cc.absolute.com/ in der Absolute Secure Endpoint Console an.
2. Rufen Sie den Bereich Einstellungen oder Verwaltung auf.
3. Suchen Sie die Einstellungen für die SIEM-Integration.
4. Klicken Sie auf SIEM-Integration aktivieren oder stellen Sie die SIEM-Integration auf Ein.
5. Wählen Sie die Ereignistypen aus, die Sie an Ihr SIEM weiterleiten möchten:
   • Sie können auch Alle Ereignistypen auswählen, um alle verfügbaren Logs weiterzuleiten.
6. Klicken Sie auf Speichern oder Übernehmen, um die Konfiguration zu speichern.

Absolute SIEM Connector konfigurieren

Nachdem Sie den SIEM-Connector installiert und die SIEM-Integration in der Konsole aktiviert haben, konfigurieren Sie den Connector so, dass Ereignisse an den BindPlane-Agent gesendet werden.

1. Öffnen Sie auf dem Windows-Server, auf dem der Absolute SIEM Connector installiert ist, das Absolute SIEM Connector Configuration Tool.
   • Sie finden diese im Startmenü unter Absolute Software oder im Installationsverzeichnis.
2. Geben Sie die folgenden Konfigurationsdetails an:
   • Syslog Server Host (Syslog-Serverhost): Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agents ein.
   • Syslog-Serverport: Geben Sie 514 ein (oder den in BindPlane konfigurierten Port).
   • Protokoll: Wählen Sie je nach der tatsächlichen Bindplane-Konfiguration UDP oder TCP aus.
   • Format: Prüfen Sie, ob CEF (Common Event Format) ausgewählt ist.
   • Aktualisierungsintervall: Legen Sie fest, wie oft der Connector Ereignisse von Absolute abruft (mindestens 2 Minuten, maximal 1.440 Minuten/24 Stunden; Standardwert ist 60 Minuten).
   • Zeitzone: Ereignisse werden in der Zeitzone UTC übertragen, um eine universelle Konsistenz zwischen den Systemen zu gewährleisten.
3. Klicken Sie auf Speichern.
4. Starten Sie den Dienst Absolute SIEM Connector oder starten Sie ihn neu:
   • Öffnen Sie Dienste (services.msc).
   • Suchen Sie den Dienst Absolute SIEM Connector.
   • Klicken Sie auf Starten oder Neu starten.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten