Absolute Secure Endpoint のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Absolute Secure Endpoint(以前の Absolute Data & Device Security)のログを Google Security Operations に取り込む方法について説明します。パーサーは、SYSLOG + KV(CEF)形式の SIEM コネクタログからフィールドを抽出します。grok パターンを使用してフィールドを識別して抽出し、kv_pair または cef データの有無に基づいて条件付きロジックを使用して、抽出されたフィールドを UDM スキーマにマッピングします。特定のマッピングと変換は、識別されたフィールドとその値に応じて適用され、ステータスのハートビートとセキュリティ イベントデータの両方が処理されます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Bindplane エージェントを実行する Windows 2016 以降または systemd を使用する Linux ホスト
- Absolute SIEM Connector サービスをホストする Windows Server(2012 以降)
- SIEM コネクタをホストする Windows Server に Microsoft .NET Framework 4.0 以降がインストールされている
- SIEM 統合が有効になっている Absolute Secure Endpoint コンソールへの特権アクセス
- プロキシの背後で実行している場合は、BindPlane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ABSOLUTE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<CUSTOMER_ID>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Windows Server に Absolute SIEM Connector をインストールする
Absolute SIEM Connector は、Absolute Monitoring Center からアラート イベント データを取得し、CEF 形式の syslog を使用して転送する Windows サービスです。SIEM コネクタは MSI インストーラとして提供され、Absolute Data & Device Security(DDS)Professional および Premium のお客様は、Absolute Customer Center から無料でダウンロードできます。
https://cc.absolute.com/で Absolute Secure Endpoint Console にログインします。- [Customer Center] または [Downloads] セクションに移動します。
- Absolute SIEM Connector MSI インストーラをダウンロードします。
- インストーラを Windows Server に転送します。
- Windows Server で管理者としてインストーラを実行します。
- インストール ウィザードに沿ってインストールを完了します。
- インストール ディレクトリ(通常は
C:\Program Files\Absolute Software\Absolute SIEM Connector)をメモします。
Absolute Secure Endpoint Console で SIEM 統合を有効にする
SIEM コネクタがイベントを取得するには、Absolute Secure Endpoint Console で SIEM 統合を有効にする必要があります。
https://cc.absolute.com/で Absolute Secure Endpoint Console にログインします。- [設定] または [管理] セクションに移動します。
- [SIEM Integration] 設定を見つけます。
- [SIEM 統合を有効にする] をクリックするか、SIEM 統合の設定を [オン] に切り替えます。
- SIEM に転送するイベントタイプを選択します。
- または、[すべてのイベントタイプ] を選択して、利用可能なすべてのログを転送します。
- [保存] または [適用] をクリックします。
Absolute SIEM Connector を構成する
SIEM Connector をインストールし、コンソールで SIEM 統合を有効にしたら、コネクタを構成して BindPlane エージェントにイベントを送信します。
- Absolute SIEM Connector がインストールされている Windows Server で、Absolute SIEM Connector 構成ツールを開きます。
- これは、[スタート メニュー] の [Absolute Software] またはインストール ディレクトリにあります。
- 次の構成の詳細を入力します。
- Syslog サーバー ホスト: Bindplane エージェントの IP アドレスまたはホスト名を入力します。
- Syslog サーバーポート:
514(または Bindplane で構成されたポート)を入力します。 - プロトコル: 実際の Bindplane の構成に応じて、[UDP] または [TCP] を選択します。
- 形式: [CEF](Common Event Format)が選択されていることを確認します。
- 更新間隔: コネクタが Absolute からイベントを取得する頻度を設定します(最小 2 分、最大 1, 440 分/24 時間。デフォルトは 60 分)。
- タイムゾーン: イベントは、システム全体で一貫性を保つため、UTC タイムゾーンで送信されます。
- [保存] をクリックします。
- Absolute SIEM Connector サービスを開始または再起動します。
- [サービス](services.msc)を開きます。
- Absolute SIEM Connector サービスを見つけます。
- [開始] または [再起動] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
actorID |
principal.user.product_object_id |
未加工ログの actorID の値は、この UDM フィールドにマッピングされます。 |
actorName |
principal.hostname |
actorType が「Device」の場合、actorName の値がこの UDM フィールドにマッピングされます。 |
actorName |
principal.user.userid |
actorType が「User」の場合、actorName の値がこの UDM フィールドにマッピングされます。 |
actorType |
principal.user.attribute.roles.name |
actorType の値がこの UDM フィールドにマッピングされます。 |
Alert ID |
security_result.threat_id |
未加工ログの Alert ID の値は、この UDM フィールドにマッピングされます。 |
Alert Name |
security_result.threat_name |
未加工ログの Alert Name の値は、この UDM フィールドにマッピングされます。 |
Alert Time |
metadata.event_timestamp |
未加工ログの Alert Time の値が解析され、この UDM フィールドにマッピングされます。date フィールドが存在しないか無効な場合、フォールバックとして使用されます。 |
cef |
metadata.product_event_type |
CEF 文字列から抽出された eventType フィールドが、この UDM フィールドにマッピングされます。 |
cef |
principal.hostname |
CEF 文字列から抽出された objectName フィールドが、この UDM フィールドにマッピングされます。 |
cef |
principal.resource.product_object_id |
CEF 文字列から抽出された objectID フィールドが、この UDM フィールドにマッピングされます。 |
cef |
principal.user.product_object_id |
CEF 文字列から抽出された actorID フィールドが、この UDM フィールドにマッピングされます。 |
cef |
principal.user.userid |
actorType が「User」の場合、CEF 文字列から抽出された actorName フィールドがこの UDM フィールドにマッピングされます。 |
cef |
security_result.summary |
CEF 文字列から抽出された verb フィールドが、この UDM フィールドにマッピングされます。 |
cef |
target.labels.key |
パーサーは値を「objectProperties」に設定します。 |
cef |
target.labels.value |
CEF 文字列から抽出された objectProperties フィールドが、この UDM フィールドにマッピングされます。 |
Computer Name |
principal.hostname |
未加工ログの Computer Name の値は、この UDM フィールドにマッピングされます。 |
Condition |
security_result.description |
未加工ログの Condition の値は、この UDM フィールドにマッピングされます。 |
date |
metadata.event_timestamp |
未加工ログの date の値が解析され、この UDM フィールドにマッピングされます。 |
datetime |
timestamp.seconds |
datetime フィールドから抽出されたエポック秒数は、timestamp.seconds フィールドに値を設定するために使用されます。 |
dvc_ip |
intermediary.ip |
未加工ログの dvc_ip の値は、この UDM フィールドにマッピングされます。 |
device_product |
metadata.product_name |
値は「ABSOLUTE_PLATFORM」に設定されます。 |
device_vendor |
metadata.vendor_name |
値は「ABSOLUTE」に設定されます。 |
device_version |
metadata.product_version |
未加工ログの device_version の値は、この UDM フィールドにマッピングされます。 |
ESN |
security_result.detection_fields.key |
パーサーは値を「ESN」に設定します。 |
ESN |
security_result.detection_fields.value |
kv_pair フィールドから抽出された ESN の値が、この UDM フィールドにマッピングされます。 |
event_class |
metadata.product_event_type |
eventType が存在しない場合、未加工ログの event_class の値がこの UDM フィールドにマッピングされます。 |
eventType |
metadata.product_event_type |
未加工ログの eventType の値は、この UDM フィールドにマッピングされます。 |
hostname |
intermediary.hostname |
未加工ログの hostname の値は、この UDM フィールドにマッピングされます。 |
is_alert |
is_alert |
値は「true」に設定され、ブール値に変換されます。 |
is_significant |
is_significant |
値は「true」に設定され、ブール値に変換されます。 |
kv_pair |
metadata.event_type |
kv_pair が存在する場合、metadata.event_type は「STATUS_HEARTBEAT」に設定されます。 |
kv_pair |
principal.asset.asset_id |
kv_pair フィールドから抽出された Serial Number の値は、「serialNumber: |
log_type |
metadata.log_type |
値は「ABSOLUTE」に設定されます。 |
objectID |
principal.resource.product_object_id |
未加工ログの objectID の値は、この UDM フィールドにマッピングされます。 |
objectName |
principal.hostname |
未加工ログの objectName の値は、この UDM フィールドにマッピングされます。 |
objectProperties |
target.labels.key |
パーサーは値を「objectProperties」に設定します。 |
objectProperties |
target.labels.value |
未加工ログの objectProperties の値は、この UDM フィールドにマッピングされます。 |
objectType |
principal.resource.resource_type |
objectType が「Device」の場合、大文字(「DEVICE」)に変換され、この UDM フィールドにマッピングされます。 |
pid |
about.process.pid |
未加工ログの pid の値は、この UDM フィールドにマッピングされます。 |
Serial Number |
principal.asset.asset_id |
未加工ログの Serial Number の値は、「serialNumber: |
verb |
security_result.summary |
未加工ログの verb の値は、この UDM フィールドにマッピングされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。