ManageEngine ADManager Plus-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie ManageEngine ADManager Plus-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

ManageEngine ADManager Plus bietet eine webbasierte Lösung für die vereinfachte AD-Verwaltung, einschließlich Nutzererstellung und ‑änderung, rollenbasierter Sicherheit und detaillierter Berichte. Durch die Integration von ADManager Plus in Splunk- und Syslog-Server können Organisationen Logs aller Active Directory-, Microsoft 365- und Google Workspace-Verwaltungsaktionen, die in ADManager Plus ausgeführt werden, weiterleiten.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und ManageEngine ADManager Plus
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Verwaltungskonsole von ManageEngine ADManager Plus

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Klicken Sie auf Herunterladen, um die Datei zur Aufnahmeauthentifizierung herunterzuladen.
Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstermontage

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-otel-collector/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
  tcplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/admanager_plus:
    compression: gzip
    creds_file_path: '<CREDS_FILE_PATH>'
    customer_id: '<CUSTOMER_ID>'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: ADMANAGER_PLUS
    raw_log_field: body
    ingestion_labels:
      log_source: admanager_plus

service:
  pipelines:
    logs/admanager_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/admanager_plus

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - Der Empfänger verwendet tcplog, um Syslog-Daten über den TCP-Port 514 zu empfangen.
  - listen_address: Auf 0.0.0.0:514 setzen, um alle Schnittstellen auf Port 514 zu überwachen.
- Exporter-Konfiguration:
  - <CREDS_FILE_PATH>: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    - Linux: /opt/observiq-otel-collector/ingestion-auth.json
    - Windows: C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
  - <CUSTOMER_ID>: Kunden-ID aus dem vorherigen Schritt.
  - endpoint: Regionale Endpunkt-URL:
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
  - log_type: Muss genau wie in Chronicle auf ADMANAGER_PLUS gesetzt werden.
  - ingestion_labels: Optionale Labels im YAML-Format.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Linux

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Logs auf Fehler prüfen:

sudo journalctl -u observiq-otel-collector -f

Windows

Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- So verwenden Sie die Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services Console verwenden:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ Distro for OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Logs auf Fehler prüfen:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für ManageEngine ADManager Plus konfigurieren

Melden Sie sich in ADManager Plus an.
Rufen Sie den Tab Verwaltung auf.
Klicken Sie unter Systemeinstellungen auf Integrationen.
Klicken Sie unter Log Forwarding (Log-Weiterleitung) auf Syslog.
Konfigurieren Sie die folgenden Felder:
- Syslog-Server: Geben Sie den Namen des Syslog-Servers ein. Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agent-Hosts ein.
- Port: Geben Sie die Portnummer ein. Geben Sie 514 ein.
- Protokoll: Wählen Sie das entsprechende Protokoll (TCP oder UDP) zum Weiterleiten von Logs aus. Wählen Sie TCP aus.
- Syslog-Standard: Wählen Sie das gewünschte Syslog-Nachrichtenformat aus: RFC 3164, RFC 5424 oder RawLog. Wählen Sie RFC 5424 aus (empfohlen).
- Datenformat: Geben Sie das Datenformat ein. Konfigurieren Sie das Datenformat nach Bedarf für Ihre Umgebung.
Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Nach der Konfiguration leitet ADManager Plus Logs von Verwaltungsaktionen an den BindPlane-Agent weiter, der sie dann an Google SecOps sendet.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
ipPhone	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „ipPhone“ und dem Wert aus „ipPhone“, wenn „ipPhone“ != „“
l	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „l“ und dem Wert aus „l“, wenn „l“ != „“
lockoutTime	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „lockoutTime“ und dem Wert aus „lockoutTime“, wenn „lockoutTime“ != „“
Verschieben von	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „Move From“ und dem Wert aus „Move_From“, wenn „Move_From“ != „“
Verschieben nach	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „Verschieben nach“ und dem Wert aus „Move_To“, wenn „Move_To“ != „“
msg	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „member“ und dem Wert aus „msg“, wenn „msg“ nicht leer ist
sn	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „sn“ und dem Wert aus „sn“, wenn „sn“ != „“
st	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „st“ und dem Wert aus „st“, wenn „st“ != „“
Name der Vorlage	event.idm.read_only_udm.additional.fields	Zusammengeführt als Label mit dem Schlüssel „Template Name“ und dem Wert aus „Template_Name“, wenn „Template_Name“ != „“
Status	event.idm.read_only_udm.metadata.description	Wert aus „Status“, wenn „Status“ != „“
Zeit	event.idm.read_only_udm.metadata.event_timestamp	Konvertiert von Zeit in Zeitstempelformat, wenn „time“ != „“
	event.idm.read_only_udm.metadata.event_type	Abgeleitet: if has_principal_user == "true" then "USER_UNCATEGORIZED"; else if has_principal == "true" then "STATUS_UPDATE"; else "GENERIC_EVENT"
TechnicianName	event.idm.read_only_udm.metadata.product_event_type	Wert aus TechnicianName, wenn TechnicianName != „“
	event.idm.read_only_udm.metadata.product_name	Auf „ADMANAGER_PLUS“ festlegen
	event.idm.read_only_udm.metadata.vendor_name	Auf „ADMANAGER_PLUS“ festlegen
Domainname	event.idm.read_only_udm.principal.administrative_domain	Wert aus Domain_Name, wenn Domain_Name != ""
Hostname	event.idm.read_only_udm.principal.asset.hostname	Wert, der vom Hostnamen übernommen wird, wenn hostname != „“
mail	event.idm.read_only_udm.principal.email	Wert aus „mail“, wenn „mail“ != „“
Hostname	event.idm.read_only_udm.principal.hostname	Wert, der vom Hostnamen übernommen wird, wenn hostname != „“
co	event.idm.read_only_udm.principal.location.city	Wert aus „co“, wenn „co“ != „“
Aufgabe	event.idm.read_only_udm.principal.resource.name	Wert aus „Task“, wenn „Task“ != „“
wWWHomePage	event.idm.read_only_udm.principal.url	Wert aus wWWHomePage, wenn wWWHomePage != „“
Passworttyp	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „Password Type“ und dem Wert aus „Password_Type“, wenn „Password_Type“ != „“
Ländercode	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „countryCode“ und dem Wert aus „countryCode“, wenn „countryCode“ != „“
Passwort	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „password“ und dem Wert aus dem Passwort, wenn das Passwort nicht leer ist.
postalCode	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „postalCode“ und dem Wert aus „postalCode“, wenn „postalCode“ != „“
primaryGroupID	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „primaryGroupID“ und dem Wert aus „primaryGroupID“, wenn „primaryGroupID“ != „“
userAccountControl	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „userAccountControl“ und dem Wert aus „userAccountControl“, wenn „userAccountControl“ != „“
userPrincipalName	event.idm.read_only_udm.principal.user.attribute.labels	Zusammengeführt als Label mit dem Schlüssel „userPrincipalName“ und dem Wert aus „userPrincipalName“, wenn „userPrincipalName“ != „“
Unternehmen	event.idm.read_only_udm.principal.user.company_name	Wert aus dem Unternehmen, wenn das Unternehmen nicht leer ist
Abteilung	event.idm.read_only_udm.principal.user.department	Mit der Abteilung zusammengeführt, wenn department != „“
givenName	event.idm.read_only_udm.principal.user.first_name	Der Wert wird aus „givenName“ übernommen, wenn „givenName“ != „“
physicalDeliveryOfficeName	event.idm.read_only_udm.principal.user.office_address.name	Wert aus physicalDeliveryOfficeName, wenn physicalDeliveryOfficeName != „“
streetAddress	event.idm.read_only_udm.principal.user.personal_address.name	Wert aus „streetAddress“, wenn „streetAddress“ != „“
homePhone	event.idm.read_only_udm.principal.user.phone_numbers	Mit homePhone zusammengeführt, wenn homePhone != „“
Nutzername	event.idm.read_only_udm.principal.user.user_display_name	Wert aus User_Name, wenn User_Name != „“; andernfalls aus Object_Name, wenn Object_Name != „“
sAMAccountName	event.idm.read_only_udm.principal.user.userid	Wert aus sAMAccountName, wenn sAMAccountName != „“
AKTION	event.idm.read_only_udm.security_result.action_details	Wert aus ACTION, wenn ACTION != ""
Beschreibung	event.idm.read_only_udm.security_result.description	Wert aus der Beschreibung, wenn description != „“
Containername	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von container_Name grok: zusammengeführt als Label mit dem Schlüssel „Container_Name_DC_value1“ und dem Wert aus dc_label_1, wenn dc_label_1 != „“
Containername	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von container_Name grok: zusammengeführt als Label mit dem Schlüssel „Container_Name_DC_value2“ und dem Wert aus dc_label_2, wenn dc_label_2 != „“
Containername	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von container_Name grok: zusammengeführt als Label mit dem Schlüssel „Container_Name_OU_value1“ und dem Wert aus ou_label_1, wenn ou_label_1 != „“
Containername	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von container_Name grok: zusammengeführt als Label mit dem Schlüssel „Container_Name_OU_value2“ und dem Wert aus ou_label_2, wenn ou_label_2 != „“
Containername	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von container_Name grok: zusammengeführt als Label mit dem Schlüssel „Container_Name_OU_value3“ und dem Wert aus ou_label_3, wenn ou_label_3 != „“
Primäre Gruppe	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von Primary_Group grok: zusammengeführt als Label mit dem Schlüssel „Primary_Group_CN_value1“ und dem Wert aus cn_label_1, wenn cn_label_1 != „“
Primäre Gruppe	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von Primary_Group grok: zusammengeführt als Label mit dem Schlüssel „Primary_Group_CN_value2“ und dem Wert aus cn_label_2, wenn cn_label_2 != „“
Primäre Gruppe	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von Primary_Group grok: zusammengeführt als Label mit dem Schlüssel „Primary_Group_DC_value1“ und dem Wert aus primary_dc_label_1, wenn primary_dc_label_1 != „“
Primäre Gruppe	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von Primary_Group grok: zusammengeführt als Label mit dem Schlüssel „Primary_Group_DC_value2“ und dem Wert aus primary_dc_label_2, wenn primary_dc_label_2 != „“
accountExpires	event.idm.read_only_udm.security_result.detection_fields	Zusammengeführt als Label mit dem Schlüssel „accountExpires“ und dem Wert aus „accountExpires“, wenn „accountExpires“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von „manager grok“: zusammengeführt als Label mit dem Schlüssel „manager_cn_value1“ und dem Wert aus „manager_cn_value1“, wenn „manager_cn_value1“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von Manager-Grok: Zusammengeführt als Label mit dem Schlüssel „manager_dc_value1“ und dem Wert aus „manager_dc_value1“, wenn „manager_dc_value1“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von „manager grok“: Zusammengeführt als Label mit dem Schlüssel „manager_dc_value2“ und dem Wert aus „manager_dc_value2“, wenn „manager_dc_value2“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von „manager grok“: zusammengeführt als Label mit dem Schlüssel „manager_ou_value1“ und dem Wert aus „manager_ou_value1“, wenn „manager_ou_value1“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von manager grok: zusammengeführt als Label mit dem Schlüssel „manager_ou_value2“ und dem Wert aus „manager_ou_value2“, wenn „manager_ou_value2“ != „“
Manager	event.idm.read_only_udm.security_result.detection_fields	Abgeleitet von manager grok: zusammengeführt als Label mit dem Schlüssel „manager_ou_value3“ und dem Wert aus „manager_ou_value3“, wenn „manager_ou_value3“ != „“
pwdLastSet	event.idm.read_only_udm.security_result.detection_fields	Zusammengeführt als Label mit dem Schlüssel „pwdLastSet“ und dem Wert aus „pwdLastSet“, wenn „pwdLastSet“ != „“
ModuleName	event.idm.read_only_udm.target.resource.name	Wert aus ModuleName, wenn ModuleName != „“

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten