本頁面由 Cloud Translation API 翻譯而成。

收集 Absolute Secure Endpoint 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Absolute Secure Endpoint (舊稱 Absolute Data & Device Security) 記錄擷取至 Google Security Operations。剖析器會從 SYSLOG + KV (CEF) 格式的 SIEM 連接器記錄中擷取欄位。系統會使用 grok 模式識別及擷取欄位，然後根據 kv_pair 或 cef 資料是否存在，使用條件邏輯將擷取的欄位對應至 UDM 結構定義。系統會根據識別出的欄位及其值套用特定對應和轉換，同時處理狀態心跳和安全性事件資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
搭載 systemd 的 Windows 2016 以上版本或 Linux 主機，用於執行 Bindplane 代理程式
Windows Server (2012 以上版本)，用於代管 Absolute SIEM Connector 服務
在代管 SIEM 連接器的 Windows Server 上安裝 Microsoft .NET Framework 4.0 以上版本
啟用 SIEM 整合功能後，即可取得 Absolute Secure Endpoint 主控台的特殊權限
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 BindPlane 代理程式需求開啟

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <CUSTOMER_ID> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Windows Server 上安裝 Absolute SIEM 連接器

Absolute SIEM Connector 是一項 Windows 服務，可從 Absolute Monitoring Center 擷取快訊事件資料，並以 CEF 格式透過 Syslog 轉送資料。SIEM 連接器以 MSI 安裝程式的形式提供，Absolute Customer Center 的 Absolute Data & Device Security (DDS) Professional 和 Premium 客戶可免費下載。

前往 https://cc.absolute.com/，登入 Absolute Secure Endpoint Console。
前往「客戶中心」或「下載」專區。
下載 Absolute SIEM Connector MSI 安裝程式。
將安裝程式轉移至 Windows Server。
以管理員身分在 Windows Server 上執行安裝程式。
按照安裝精靈的指示完成安裝。
記下安裝目錄 (通常是 C:\Program Files\Absolute Software\Absolute SIEM Connector)。

在 Absolute Secure Endpoint Console 中啟用 SIEM 整合功能

SIEM 連接器必須先在 Absolute Secure Endpoint 控制台中啟用 SIEM 整合，才能擷取事件。

前往 https://cc.absolute.com/，登入 Absolute Secure Endpoint Console。
前往「設定」或「管理」部分。
找出「SIEM Integration」設定。
按一下「啟用 SIEM 整合」，或將 SIEM 整合設定切換為「開啟」。
選取要轉送至 SIEM 的事件類型：
- 或者選取「所有事件類型」，轉送所有可用的記錄。
按一下「儲存」或「套用」設定。

設定 Absolute SIEM 連接器

安裝 SIEM 連接器並在管理中心啟用 SIEM 整合功能後，請設定連接器，將事件傳送至 BindPlane 代理程式。

在安裝 Absolute SIEM Connector 的 Windows Server 上，開啟 Absolute SIEM Connector Configuration Tool。
- 您可以在「開始」選單的「Absolute Software」下找到這個檔案，也可以在安裝目錄中找到。
提供下列設定詳細資料：
- 系統記錄伺服器主機：輸入 Bindplane 代理程式的 IP 位址或主機名稱。
- Syslog 伺服器連接埠：輸入 514 (或在 Bindplane 中設定的連接埠)。
- 通訊協定：根據實際的 Bindplane 設定，選取「UDP」或「TCP」。
- 格式：確認已選取「CEF」(通用事件格式)。
- 更新間隔：設定連接器從 Absolute 擷取事件的頻率 (最短 2 分鐘，最長 1440 分鐘/24 小時；預設為 60 分鐘)。
- 時區：為確保系統間的一致性，活動會以 UTC 時區傳輸。
按一下 [儲存]。
啟動或重新啟動 Absolute SIEM Connector 服務：
- 開啟「服務」 (services.msc)。
- 找出「Absolute SIEM Connector」服務。
- 按一下「開始」或「重新啟動」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`actorID`	`principal.user.product_object_id`	原始記錄中的 `actorID` 值會對應至這個 UDM 欄位。
`actorName`	`principal.hostname`	如果 `actorType` 為「Device」，`actorName` 的值會對應至這個 UDM 欄位。
`actorName`	`principal.user.userid`	如果 `actorType` 是「使用者」，`actorName` 的值會對應至這個 UDM 欄位。
`actorType`	`principal.user.attribute.roles.name`	`actorType` 的值會對應至這個 UDM 欄位。
`Alert ID`	`security_result.threat_id`	原始記錄中的 `Alert ID` 值會對應至這個 UDM 欄位。
`Alert Name`	`security_result.threat_name`	原始記錄中的 `Alert Name` 值會對應至這個 UDM 欄位。
`Alert Time`	`metadata.event_timestamp`	系統會剖析原始記錄中的 `Alert Time` 值，並對應至這個 UDM 欄位。如果 `date` 欄位不存在或無效，系統會改用這個欄位。
`cef`	`metadata.product_event_type`	從 CEF 字串擷取的 `eventType` 欄位會對應至這個 UDM 欄位。
`cef`	`principal.hostname`	從 CEF 字串擷取的 `objectName` 欄位會對應至這個 UDM 欄位。
`cef`	`principal.resource.product_object_id`	從 CEF 字串擷取的 `objectID` 欄位會對應至這個 UDM 欄位。
`cef`	`principal.user.product_object_id`	從 CEF 字串擷取的 `actorID` 欄位會對應至這個 UDM 欄位。
`cef`	`principal.user.userid`	如果 `actorType` 為「User」，系統會將從 CEF 字串擷取的 `actorName` 欄位對應至這個 UDM 欄位。
`cef`	`security_result.summary`	從 CEF 字串擷取的 `verb` 欄位會對應至這個 UDM 欄位。
`cef`	`target.labels.key`	剖析器會將值設為「objectProperties」。
`cef`	`target.labels.value`	從 CEF 字串擷取的 `objectProperties` 欄位會對應至這個 UDM 欄位。
`Computer Name`	`principal.hostname`	原始記錄中的 `Computer Name` 值會對應至這個 UDM 欄位。
`Condition`	`security_result.description`	原始記錄中的 `Condition` 值會對應至這個 UDM 欄位。
`date`	`metadata.event_timestamp`	系統會剖析原始記錄中的 `date` 值，並對應至這個 UDM 欄位。
`datetime`	`timestamp.seconds`	系統會使用從 `datetime` 欄位擷取的 Epoch 秒數，填入 `timestamp.seconds` 欄位。
`dvc_ip`	`intermediary.ip`	原始記錄中的 `dvc_ip` 值會對應至這個 UDM 欄位。
`device_product`	`metadata.product_name`	值會設為「ABSOLUTE_PLATFORM」。
`device_vendor`	`metadata.vendor_name`	值設為「ABSOLUTE」。
`device_version`	`metadata.product_version`	原始記錄中的 `device_version` 值會對應至這個 UDM 欄位。
`ESN`	`security_result.detection_fields.key`	剖析器會將值設為「ESN」。
`ESN`	`security_result.detection_fields.value`	從 `kv_pair` 欄位擷取的 `ESN` 值會對應至這個 UDM 欄位。
`event_class`	`metadata.product_event_type`	如果沒有 `eventType`，系統會將原始記錄中的 `event_class` 值對應至這個 UDM 欄位。
`eventType`	`metadata.product_event_type`	原始記錄中的 `eventType` 值會對應至這個 UDM 欄位。
`hostname`	`intermediary.hostname`	原始記錄中的 `hostname` 值會對應至這個 UDM 欄位。
`is_alert`	`is_alert`	值會設為「true」並轉換為布林值。
`is_significant`	`is_significant`	值會設為「true」並轉換為布林值。
`kv_pair`	`metadata.event_type`	如果存在 `kv_pair`，則 `metadata.event_type` 會設為「STATUS_HEARTBEAT」。
`kv_pair`	`principal.asset.asset_id`	從 `kv_pair` 欄位擷取的 `Serial Number` 值會用於建構資產 ID，格式為「serialNumber:」。
`log_type`	`metadata.log_type`	值設為「ABSOLUTE」。
`objectID`	`principal.resource.product_object_id`	原始記錄中的 `objectID` 值會對應至這個 UDM 欄位。
`objectName`	`principal.hostname`	原始記錄中的 `objectName` 值會對應至這個 UDM 欄位。
`objectProperties`	`target.labels.key`	剖析器會將值設為「objectProperties」。
`objectProperties`	`target.labels.value`	原始記錄中的 `objectProperties` 值會對應至這個 UDM 欄位。
`objectType`	`principal.resource.resource_type`	如果 `objectType` 是「裝置」，系統會轉換為大寫 (「裝置」)，並對應至這個 UDM 欄位。
`pid`	`about.process.pid`	原始記錄中的 `pid` 值會對應至這個 UDM 欄位。
`Serial Number`	`principal.asset.asset_id`	原始記錄中的 `Serial Number` 值會用於建構資產 ID，格式為「serialNumber:」。
`verb`	`security_result.summary`	原始記錄中的 `verb` 值會對應至這個 UDM 欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。