此页面由 Cloud Translation API 翻译。

收集 Acalvio 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Acalvio 日志注入到 Google Security Operations。解析器首先使用 Grok 和键值模式匹配从原始 syslog 消息中提取字段，然后将提取的字段映射到 Google SecOps Unified Data Model (UDM) 架构，根据特定值对事件进行分类，最后使用严重程度和类别等安全相关信息丰富数据。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
安装了 Acalvio ShadowPlex 集成服务器
对 Acalvio ShadowPlex 服务和实例的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ACALVIO'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Acalvio ShadowPlex 中配置 Syslog

登录 ShadowPlex Integration Server 界面。
依次前往设置 > SIEM。
提供以下配置详细信息：
- 点击启用切换开关。
- 主机名或 IP：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号。
- 协议：选择 UDP。
- 传感器：选择要从中流式传输数据的传感器。
点击测试并保存。

UDM 映射表

日志字段	UDM 映射	逻辑
adc_email	read_only_udm.target.user.email_addresses	从 `adc_email` 字段中获取的值。
应用	read_only_udm.principal.application	从 `app` 字段中获取的值。
猫	read_only_udm.security_result.summary	从 `cat` 字段中获取的值。如果 `cat` 为 `Vulnerability Exploited`，则该值会被 `Intrusion_method_used` 字段的值覆盖。
customer_id	read_only_udm.metadata.description	值已添加到说明字段：`CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
deviceProduct	read_only_udm.metadata.product_name	从 `deviceProduct` 字段中获取的值。
deviceVendor	read_only_udm.metadata.vendor_name	从 `deviceVendor` 字段中获取的值。
deviceVersion	read_only_udm.metadata.product_version	从 `deviceVersion` 字段中获取的值。
dstHostName	read_only_udm.target.hostname	从 `dstHostName` 字段中获取的值。
dstIp	read_only_udm.target.ip	从 `dstIp` 字段中获取的值。
dstMAC	read_only_udm.target.mac	从 `dstMAC` 字段中获取的值。
dstPort	read_only_udm.target.port	从 `dstPort` 字段中获取的值并转换为整数。
incidentid	read_only_udm.metadata.product_log_id	从 `incidentid` 字段中获取的值。
incidentSubCategory	read_only_udm.metadata.product_event_type、read_only_udm.security_result.description	从 `incidentSubCategory` 字段中获取的值。
Intrusion_method_used	read_only_udm.security_result.summary	如果 `cat` 为 `Vulnerability Exploited`，则取自 `Intrusion_method_used` 字段的值。
investigation_id	read_only_udm.metadata.description	值已添加到说明字段：`CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
job_id	read_only_udm.metadata.description	值已添加到说明字段：`CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
	read_only_udm.metadata.event_type	如果 `srcIp` 为 `Unknown` 或为空，则设置为 `GENERIC_EVENT`。否则，设置为 `STATUS_UPDATE`。
	read_only_udm.principal.resource.type	硬编码为 `scan_type`。
	read_only_udm.security_result.category	根据 `cat`、`incidentSubCategory` 和 `sr_category` 字段的值确定。
	read_only_udm.security_result.severity	如果 `severity` 大于 7，则设置为 `HIGH`；如果 `severity` 大于 3，则设置为 `MEDIUM`；否则设置为 `LOW`。
srcIp	read_only_udm.principal.ip	从 `srcIp` 字段中获取的值。
startTime	read_only_udm.metadata.event_timestamp	从 `startTime` 字段中获取的值，并解析为时间戳。如果 `startTime` 为空，则该值设置为 `%{ts_month} %{ts_day} %{ts_time}`。
userIdsUsed	read_only_udm.principal.user.userid	从 `userIdsUsed` 字段中获取的值。