Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Absolute Secure Endpoint

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Absolute Secure Endpoint (sebelumnya Absolute Data & Device Security) ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log konektor SIEM dalam format SYSLOG + KV (CEF). Proses ini menggunakan pola grok untuk mengidentifikasi dan mengekstrak kolom, lalu menggunakan logika bersyarat berdasarkan keberadaan data kv_pair atau cef untuk memetakan kolom yang diekstrak ke skema UDM. Pemetaan dan transformasi tertentu diterapkan bergantung pada kolom yang diidentifikasi dan nilainya, yang menangani data peristiwa keamanan dan detak jantung status.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd untuk menjalankan agen Bindplane
Windows Server (2012 atau yang lebih baru) untuk menghosting layanan Absolute SIEM Connector
Microsoft .NET Framework 4.0 atau yang lebih baru diinstal di Windows Server yang menghosting SIEM Connector
Akses istimewa ke konsol Absolute Secure Endpoint dengan integrasi SIEM diaktifkan
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen BindPlane

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Menginstal Absolute SIEM Connector di Windows Server

Absolute SIEM Connector adalah layanan Windows yang mengambil data peristiwa pemberitahuan dari Absolute Monitoring Center dan meneruskannya menggunakan syslog dalam format CEF. Konektor SIEM dikirimkan sebagai penginstal MSI dan tersedia sebagai download gratis untuk pelanggan Absolute Data & Device Security (DDS) Professional dan Premium melalui Pusat Pelanggan Absolute.

Login ke Absolute Secure Endpoint Console di https://cc.absolute.com/.
Buka bagian Pusat Pelanggan atau Download.
Download penginstal MSI Absolute SIEM Connector.
Transfer penginstal ke Windows Server Anda.
Jalankan penginstal di Windows Server Anda sebagai administrator.
Ikuti wizard penginstalan untuk menyelesaikan penginstalan.
Catat direktori penginstalan (biasanya C:\Program Files\Absolute Software\Absolute SIEM Connector).

Mengaktifkan integrasi SIEM di Konsol Absolute Secure Endpoint

Sebelum Konektor SIEM dapat mengambil peristiwa, Anda harus mengaktifkan integrasi SIEM di Konsol Absolute Secure Endpoint.

Login ke Absolute Secure Endpoint Console di https://cc.absolute.com/.
Buka bagian Setelan atau Administrasi.
Cari setelan Integrasi SIEM.
Klik Aktifkan Integrasi SIEM atau alihkan setelan integrasi SIEM ke Aktif.
Pilih jenis peristiwa yang ingin Anda teruskan ke SIEM:
- Atau, pilih Semua jenis peristiwa untuk meneruskan semua log yang tersedia.
Klik Simpan atau Terapkan konfigurasi.

Mengonfigurasi Absolute SIEM Connector

Setelah menginstal SIEM Connector dan mengaktifkan integrasi SIEM di konsol, konfigurasi konektor untuk mengirim peristiwa ke BindPlane Agent.

Di Windows Server tempat Absolute SIEM Connector diinstal, buka Absolute SIEM Connector Configuration Tool.
- Anda dapat menemukannya di Menu Start di bagian Absolute Software atau di direktori penginstalan.
Berikan detail konfigurasi berikut:
- Host Server Syslog: Masukkan alamat IP atau nama host agen Bindplane.
- Syslog Server Port: Masukkan 514 (atau port yang dikonfigurasi di Bindplane).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi Bindplane yang sebenarnya.
- Format: Pastikan CEF (Common Event Format) dipilih.
- Interval Pembaruan: Tetapkan seberapa sering konektor mengambil peristiwa dari Absolute (minimum 2 menit, maksimum 1440 menit/24 jam; default adalah 60 menit).
- Zona waktu: Peristiwa dikirimkan dalam zona waktu UTC untuk konsistensi universal di seluruh sistem.
Klik Simpan.
Mulai atau mulai ulang layanan Absolute SIEM Connector:
- Buka Services (services.msc).
- Temukan layanan Absolute SIEM Connector.
- Klik Mulai atau Mulai ulang.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`actorID`	`principal.user.product_object_id`	Nilai `actorID` dari log mentah dipetakan ke kolom UDM ini.
`actorName`	`principal.hostname`	Jika `actorType` adalah "Perangkat", nilai `actorName` dipetakan ke kolom UDM ini.
`actorName`	`principal.user.userid`	Jika `actorType` adalah "Pengguna", nilai `actorName` dipetakan ke kolom UDM ini.
`actorType`	`principal.user.attribute.roles.name`	Nilai `actorType` dipetakan ke kolom UDM ini.
`Alert ID`	`security_result.threat_id`	Nilai `Alert ID` dari log mentah dipetakan ke kolom UDM ini.
`Alert Name`	`security_result.threat_name`	Nilai `Alert Name` dari log mentah dipetakan ke kolom UDM ini.
`Alert Time`	`metadata.event_timestamp`	Nilai `Alert Time` dari log mentah diuraikan dan dipetakan ke kolom UDM ini. Digunakan sebagai penggantian jika kolom `date` tidak ada atau tidak valid.
`cef`	`metadata.product_event_type`	Kolom `eventType` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`cef`	`principal.hostname`	Kolom `objectName` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`cef`	`principal.resource.product_object_id`	Kolom `objectID` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`cef`	`principal.user.product_object_id`	Kolom `actorID` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`cef`	`principal.user.userid`	Kolom `actorName` yang diekstrak dari string CEF dipetakan ke kolom UDM ini jika `actorType` adalah "Pengguna".
`cef`	`security_result.summary`	Kolom `verb` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`cef`	`target.labels.key`	Parser menetapkan nilai ke "objectProperties".
`cef`	`target.labels.value`	Kolom `objectProperties` yang diekstrak dari string CEF dipetakan ke kolom UDM ini.
`Computer Name`	`principal.hostname`	Nilai `Computer Name` dari log mentah dipetakan ke kolom UDM ini.
`Condition`	`security_result.description`	Nilai `Condition` dari log mentah dipetakan ke kolom UDM ini.
`date`	`metadata.event_timestamp`	Nilai `date` dari log mentah diuraikan dan dipetakan ke kolom UDM ini.
`datetime`	`timestamp.seconds`	Detik epoch yang diekstrak dari kolom `datetime` digunakan untuk mengisi kolom `timestamp.seconds`.
`dvc_ip`	`intermediary.ip`	Nilai `dvc_ip` dari log mentah dipetakan ke kolom UDM ini.
`device_product`	`metadata.product_name`	Nilai ditetapkan ke "ABSOLUTE_PLATFORM".
`device_vendor`	`metadata.vendor_name`	Nilai ditetapkan ke "ABSOLUTE".
`device_version`	`metadata.product_version`	Nilai `device_version` dari log mentah dipetakan ke kolom UDM ini.
`ESN`	`security_result.detection_fields.key`	Parser menetapkan nilai ke "ESN".
`ESN`	`security_result.detection_fields.value`	Nilai `ESN` yang diekstrak dari kolom `kv_pair` dipetakan ke kolom UDM ini.
`event_class`	`metadata.product_event_type`	Nilai `event_class` dari log mentah dipetakan ke kolom UDM ini jika `eventType` tidak ada.
`eventType`	`metadata.product_event_type`	Nilai `eventType` dari log mentah dipetakan ke kolom UDM ini.
`hostname`	`intermediary.hostname`	Nilai `hostname` dari log mentah dipetakan ke kolom UDM ini.
`is_alert`	`is_alert`	Nilai ditetapkan ke "true" dan dikonversi menjadi boolean.
`is_significant`	`is_significant`	Nilai ditetapkan ke "true" dan dikonversi menjadi boolean.
`kv_pair`	`metadata.event_type`	Jika `kv_pair` ada, `metadata.event_type` ditetapkan ke "STATUS_HEARTBEAT".
`kv_pair`	`principal.asset.asset_id`	Nilai `Serial Number` yang diekstrak dari kolom `kv_pair` digunakan untuk membuat ID aset dalam format "serialNumber:".
`log_type`	`metadata.log_type`	Nilai ditetapkan ke "ABSOLUTE".
`objectID`	`principal.resource.product_object_id`	Nilai `objectID` dari log mentah dipetakan ke kolom UDM ini.
`objectName`	`principal.hostname`	Nilai `objectName` dari log mentah dipetakan ke kolom UDM ini.
`objectProperties`	`target.labels.key`	Parser menetapkan nilai ke "objectProperties".
`objectProperties`	`target.labels.value`	Nilai `objectProperties` dari log mentah dipetakan ke kolom UDM ini.
`objectType`	`principal.resource.resource_type`	Jika `objectType` adalah "Device", maka akan dikonversi menjadi huruf besar ("DEVICE") dan dipetakan ke kolom UDM ini.
`pid`	`about.process.pid`	Nilai `pid` dari log mentah dipetakan ke kolom UDM ini.
`Serial Number`	`principal.asset.asset_id`	Nilai `Serial Number` dari log mentah digunakan untuk membuat ID aset dalam format "serialNumber:".
`verb`	`security_result.summary`	Nilai `verb` dari log mentah dipetakan ke kolom UDM ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.