此页面由 Cloud Translation API 翻译。

收集 Absolute Secure Endpoint 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Absolute Secure Endpoint（以前称为 Absolute Data & Device Security）日志注入到 Google Security Operations。解析器会从 SIEM 连接器日志中提取 SYSLOG + KV (CEF) 格式的字段。它使用 Grok 模式来识别和提取字段，然后根据是否存在 kv_pair 或 cef 数据使用条件逻辑将提取的字段映射到 UDM 架构。系统会根据识别出的字段及其值应用特定的映射和转换，以处理状态心跳和安全事件数据。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
运行 Bindplane 代理的 Windows 2016 或更高版本或 Linux 主机（带 systemd）
用于托管 Absolute SIEM 连接器服务的 Windows Server（2012 或更高版本）
在托管 SIEM 连接器的 Windows Server 上安装了 Microsoft .NET Framework 4.0 或更高版本
对 Absolute Secure Endpoint 控制台的特权访问权限（已启用 SIEM 集成）
如果通过代理运行，请确保防火墙端口已根据 BindPlane 代理要求打开

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <CUSTOMER_ID> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Windows Server 上安装 Absolute SIEM 连接器

Absolute SIEM 连接器是一项 Windows 服务，可从 Absolute Monitoring Center 检索提醒事件数据，并以 CEF 格式使用 syslog 将其转发。SIEM 连接器以 MSI 安装程序的形式提供，Absolute Data & Device Security (DDS) Professional 和 Premium 客户可以通过 Absolute Customer Center 免费下载。

前往 https://cc.absolute.com/，登录 Absolute Secure Endpoint Console。
前往客户中心或下载内容部分。
下载 Absolute SIEM 连接器 MSI 安装程序。
将安装程序转移到 Windows Server。
以管理员身份在 Windows Server 上运行安装程序。
按照安装向导完成安装。
记下安装目录（通常为 C:\Program Files\Absolute Software\Absolute SIEM Connector）。

在 Absolute Secure Endpoint 控制台中启用 SIEM 集成

在 SIEM 连接器检索事件之前，您必须在 Absolute Secure Endpoint 控制台中启用 SIEM 集成。

前往 https://cc.absolute.com/，登录 Absolute Secure Endpoint Console。
前往设置或管理部分。
找到 SIEM 集成设置。
点击 Enable SIEM Integration（启用 SIEM 集成），或将 SIEM 集成设置切换为 On（开启）。
选择要转发到 SIEM 的事件类型：
- 或者，选择所有事件类型以转发所有可用的日志。
点击保存或应用配置。

配置 Absolute SIEM 连接器

在控制台中安装 SIEM 连接器并启用 SIEM 集成后，配置连接器以将事件发送到 BindPlane 代理。

在安装了 Absolute SIEM 连接器的 Windows Server 上，打开 Absolute SIEM 连接器配置工具。
- 您可以在开始菜单中的 Absolute Software 下或安装目录中找到此文件。
提供以下配置详细信息：
- Syslog 服务器主机：输入 Bindplane 代理的 IP 地址或主机名。
- Syslog 服务器端口：输入 514（或在 Bindplane 中配置的端口）。
- 协议：根据实际的 Bindplane 配置，选择 UDP 或 TCP。
- 格式：确认已选择 CEF（通用事件格式）。
- 更新间隔：设置连接器从 Absolute 检索事件的频率（最短 2 分钟，最长 1440 分钟/24 小时；默认值为 60 分钟）。
- 时区：为了确保系统之间的一致性，事件以 UTC 时区进行传输。
点击保存。
启动或重启 Absolute SIEM 连接器服务：
- 打开服务 (services.msc)。
- 找到 Absolute SIEM 连接器服务。
- 点击开始或重新开始。

UDM 映射表

日志字段	UDM 映射	逻辑
`actorID`	`principal.user.product_object_id`	原始日志中的 `actorID` 值会映射到此 UDM 字段。
`actorName`	`principal.hostname`	如果 `actorType` 为“设备”，则 `actorName` 的值会映射到此 UDM 字段。
`actorName`	`principal.user.userid`	如果 `actorType` 为“User”，则 `actorName` 的值会映射到此 UDM 字段。
`actorType`	`principal.user.attribute.roles.name`	`actorType` 的值会映射到此 UDM 字段。
`Alert ID`	`security_result.threat_id`	原始日志中的 `Alert ID` 值会映射到此 UDM 字段。
`Alert Name`	`security_result.threat_name`	原始日志中的 `Alert Name` 值会映射到此 UDM 字段。
`Alert Time`	`metadata.event_timestamp`	系统会解析原始日志中的 `Alert Time` 值，并将其映射到此 UDM 字段。如果 `date` 字段不存在或无效，则用作后备。
`cef`	`metadata.product_event_type`	从 CEF 字符串中提取的 `eventType` 字段会映射到此 UDM 字段。
`cef`	`principal.hostname`	从 CEF 字符串中提取的 `objectName` 字段会映射到此 UDM 字段。
`cef`	`principal.resource.product_object_id`	从 CEF 字符串中提取的 `objectID` 字段会映射到此 UDM 字段。
`cef`	`principal.user.product_object_id`	从 CEF 字符串中提取的 `actorID` 字段会映射到此 UDM 字段。
`cef`	`principal.user.userid`	如果 `actorType` 为“User”，则从 CEF 字符串中提取的 `actorName` 字段会映射到此 UDM 字段。
`cef`	`security_result.summary`	从 CEF 字符串中提取的 `verb` 字段会映射到此 UDM 字段。
`cef`	`target.labels.key`	解析器将值设置为“objectProperties”。
`cef`	`target.labels.value`	从 CEF 字符串中提取的 `objectProperties` 字段会映射到此 UDM 字段。
`Computer Name`	`principal.hostname`	原始日志中的 `Computer Name` 值会映射到此 UDM 字段。
`Condition`	`security_result.description`	原始日志中的 `Condition` 值会映射到此 UDM 字段。
`date`	`metadata.event_timestamp`	系统会解析原始日志中的 `date` 值，并将其映射到此 UDM 字段。
`datetime`	`timestamp.seconds`	从 `datetime` 字段提取的纪元秒数用于填充 `timestamp.seconds` 字段。
`dvc_ip`	`intermediary.ip`	原始日志中的 `dvc_ip` 值会映射到此 UDM 字段。
`device_product`	`metadata.product_name`	该值设置为“ABSOLUTE_PLATFORM”。
`device_vendor`	`metadata.vendor_name`	该值设置为“ABSOLUTE”。
`device_version`	`metadata.product_version`	原始日志中的 `device_version` 值会映射到此 UDM 字段。
`ESN`	`security_result.detection_fields.key`	解析器将值设置为“ESN”。
`ESN`	`security_result.detection_fields.value`	从 `kv_pair` 字段提取的 `ESN` 值会映射到此 UDM 字段。
`event_class`	`metadata.product_event_type`	如果原始日志中存在 `event_class` 值，但不存在 `eventType` 值，则会将 `event_class` 值映射到此 UDM 字段。
`eventType`	`metadata.product_event_type`	原始日志中的 `eventType` 值会映射到此 UDM 字段。
`hostname`	`intermediary.hostname`	原始日志中的 `hostname` 值会映射到此 UDM 字段。
`is_alert`	`is_alert`	该值设置为“true”并转换为布尔值。
`is_significant`	`is_significant`	该值设置为“true”并转换为布尔值。
`kv_pair`	`metadata.event_type`	如果存在 `kv_pair`，则将 `metadata.event_type` 设置为“STATUS_HEARTBEAT”。
`kv_pair`	`principal.asset.asset_id`	从 `kv_pair` 字段提取的 `Serial Number` 值用于构建格式为“serialNumber:”的资产 ID。
`log_type`	`metadata.log_type`	该值设置为“ABSOLUTE”。
`objectID`	`principal.resource.product_object_id`	原始日志中的 `objectID` 值会映射到此 UDM 字段。
`objectName`	`principal.hostname`	原始日志中的 `objectName` 值会映射到此 UDM 字段。
`objectProperties`	`target.labels.key`	解析器将值设置为“objectProperties”。
`objectProperties`	`target.labels.value`	原始日志中的 `objectProperties` 值会映射到此 UDM 字段。
`objectType`	`principal.resource.resource_type`	如果 `objectType` 为“Device”，则将其转换为大写形式（“DEVICE”）并映射到此 UDM 字段。
`pid`	`about.process.pid`	原始日志中的 `pid` 值会映射到此 UDM 字段。
`Serial Number`	`principal.asset.asset_id`	原始日志中的 `Serial Number` 值用于构建格式为“serialNumber:”的资产 ID。
`verb`	`security_result.summary`	原始日志中的 `verb` 值会映射到此 UDM 字段。