Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Kiteworks (sebelumnya Accellion)

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Kiteworks (sebelumnya Accellion) ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom audit_message dari pesan SYSLOG, menangani pesan berformat JSON (menggunakan grok untuk mengekstrak textPayload) dan pesan teks biasa. Kemudian, alat ini menerapkan serangkaian transformasi umum yang ditentukan dalam auditd.include dan menambahkan pemetaan khusus untuk peristiwa jenis SYSCALL, yang memperkaya kolom UDM dengan data yang diekstrak.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2012 SP2 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol pengelolaan atau appliance Kiteworks (sebelumnya Accellion)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ACCELLION'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di Kiteworks (sebelumnya Accellion)

Login ke Kiteworks Management Console sebagai administrator.
Buka halaman Lokasi menggunakan salah satu jalur berikut:
- UI Lama: Buka Sistem > Lokasi.
- UI Baru: Buka Penyiapan Sistem > Lokasi.
Pilih lokasi target dari daftar.
Buka bagian Layanan Eksternal.
Luaskan panel Setelan Syslog.
Klik Tambahkan untuk membuat konfigurasi server syslog baru.
Berikan detail konfigurasi berikut:
- Server Syslog: Masukkan alamat IP agen Bindplane.
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda yang sebenarnya.
- Port: Masukkan nomor port agen Bindplane (misalnya, 514).
- Format: Pilih Format JSON (direkomendasikan untuk parsing terstruktur).
- Zona waktu: Pilih zona waktu UTC untuk konsistensi universal di seluruh sistem.
Klik Simpan untuk menerapkan konfigurasi.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`acct`	`principal.user.user_display_name`	Nilai `acct` dari kolom `msg` log mentah.
`acct`	`target.user.user_display_name`	Nilai `acct` dari kolom `msg` log mentah.
`addr`	`principal.ip`	Nilai `addr` dari kolom `msg` log mentah.
`a0`	`security_result.about.labels.value`	Nilai `a0` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "a0".
`a1`	`security_result.about.labels.value`	Nilai `a1` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "a1".
`a2`	`security_result.about.labels.value`	Nilai `a2` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "a2".
`a3`	`security_result.about.labels.value`	Nilai `a3` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "a3".
`arch`	`security_result.about.platform_version`	Nilai `arch` dari kolom `msg` log mentah. Hanya berlaku untuk SYSCALL `type_name`.
`auid`	`about.user.userid`	Nilai `auid` dari kolom `msg` log mentah.
`auid`	`security_result.detection_fields.value`	Nilai `auid` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "auid".
`comm`	`principal.application`	Nilai `comm` dari kolom `msg` log mentah.
`cmd`	`principal.process.command_line`	Nilai `cmd` dari kolom `msg` log mentah.
`cwd`	`security_result.detection_fields.value`	Nilai `cwd` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "cwd".
`cwd`	`target.process.file.full_path`	Nilai `cwd` dari kolom `msg` log mentah.
`exe`	`principal.process.file.full_path`	Nilai `exe` dari kolom `msg` log mentah.
`exe`	`target.process.file.full_path`	Nilai `exe` dari kolom `msg` log mentah.
`exit`	`security_result.about.labels.value`	Nilai `exit` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "Exit Code".
`hostname`	`principal.hostname`	Nilai `hostname` dari kolom `msg` log mentah. Nilai yang di-hardcode "zing-h2" dari kolom `msg` log mentah.
`key`	`security_result.about.registry.registry_key`	Nilai `key` dari kolom `msg` log mentah. Hanya berlaku untuk SYSCALL `type_name`.
`log_type`	`metadata.log_type`	Nilai `log_type` dari log mentah.
`msg`	`security_result.action_details`	Nilai setelah `res=` di kolom `msg` log mentah.
`msg`	`security_result.summary`	Kombinasi kolom dari kolom `msg` log mentah. Misalnya, "session_open success" atau "setcred success". Diuraikan dari bagian `audit` kolom `msg` dalam log mentah. Dipetakan berdasarkan kolom `type` dalam log mentah. Misalnya, "USER_START" dipetakan ke "USER_LOGIN", "CRED_DISP" dipetakan ke "USER_LOGOUT", "CRED_ACQ" dipetakan ke "USER_LOGIN", "USER_END" dipetakan ke "USER_LOGOUT", "CRED_REFR" dipetakan ke "USER_LOGIN", "USER_CMD" dipetakan ke "USER_LOGIN", "CWD" dipetakan ke "STATUS_UPDATE", "PROCTITLE" dipetakan ke "STATUS_UPDATE", "USER_ACCT" dipetakan ke "USER_UNCATEGORIZED", dan "SYSCALL" dipetakan ke "USER_UNCATEGORIZED". Nilai kolom `type` dari kolom `msg` log mentah. Diekstrak dari bagian `audit` kolom `msg` dalam log mentah.
`node`	`principal.hostname`	Nilai `node` dari kolom `msg` log mentah.
`pid`	`principal.process.pid`	Nilai `pid` dari kolom `msg` log mentah.
`ppid`	`principal.process.parent_process.pid`	Nilai `ppid` dari kolom `msg` log mentah.
`proctitle`	`target.process.file.full_path`	Nilai heksadesimal `proctitle` yang didekode dari kolom `msg` log mentah. Dikodekan secara permanen ke "LINUX". Tetapkan ke "ALLOW" jika `res=success` ada di kolom `msg` log mentah.
`ses`	`network.session_id`	Nilai `ses` dari kolom `msg` log mentah.
`syscall`	`security_result.about.labels.value`	Nilai `syscall` dari kolom `msg` log mentah, dengan `key` yang sesuai adalah "Syscall".
`success`	`security_result.summary`	Digabungkan dengan kolom lain untuk membentuk ringkasan. Untuk peristiwa SYSCALL, logikanya adalah: jika success=yes, maka "ya, Panggilan Sistem berhasil", jika tidak, "tidak, Panggilan Sistem gagal".
`terminal`	`principal.terminal`	Nilai `terminal` dari kolom `msg` log mentah.
`timestamp`	`timestamp`	Nilai `timestamp` dari entri log mentah.
`tty`	`principal.terminal`	Nilai `tty` dari kolom `msg` log mentah.
`type`	`metadata.product_event_type`	Nilai `type` dari kolom `msg` log mentah.
`uid`	`about.user.userid`	Nilai `uid` dari kolom `msg` log mentah. Hanya berlaku untuk SYSCALL `type_name`.
`uid`	`target.user.userid`	Nilai `uid` dari kolom `msg` log mentah. Ditetapkan ke "SETTING" jika `type` adalah "USER_ACCT".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.