Mengumpulkan log ManageEngine ADManager Plus
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log ManageEngine ADManager Plus ke Google Security Operations menggunakan agen Bindplane.
ManageEngine ADManager Plus menawarkan solusi berbasis web untuk pengelolaan AD yang disederhanakan, termasuk pembuatan dan modifikasi pengguna, keamanan berbasis peran, dan laporan mendetail. Integrasi ADManager Plus dengan server Splunk dan Syslog memungkinkan organisasi meneruskan log semua tindakan pengelolaan Active Directory, Microsoft 365, dan Google Workspace yang dilakukan di ADManager Plus.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan ManageEngine ADManager Plus
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan ManageEngine ADManager Plus
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Klik Download untuk mendownload File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-otel-collector/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collector
Layanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collector
Layanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/admanager_plus: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: ADMANAGER_PLUS raw_log_field: body ingestion_labels: log_source: admanager_plus service: pipelines: logs/admanager_to_chronicle: receivers: - tcplog exporters: - chronicle/admanager_plusGanti placeholder berikut:
Konfigurasi penerima:
- Penerima menggunakan
tcploguntuk menerima data syslog di port TCP 514. listen_address: Setel ke0.0.0.0:514untuk memproses semua antarmuka di port 514.
- Penerima menggunakan
Konfigurasi eksportir:
<CREDS_FILE_PATH>: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/opt/observiq-otel-collector/ingestion-auth.json - Windows:
C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID Pelanggan dari langkah sebelumnya.endpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
- Amerika Serikat:
log_type: Tetapkan keADMANAGER_PLUSpersis seperti yang muncul di Chronicle.ingestion_labels: Label opsional dalam format YAML.
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Linux
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Windows
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Menggunakan Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorMenggunakan konsol Layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ Distro for OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog ManageEngine ADManager Plus
- Login ke ADManager Plus.
- Buka tab Admin.
- Di bagian System Settings, klik Integrations.
Di bagian Log Forwarding, klik Syslog.
Konfigurasi kolom berikut:
- Syslog Server: Masukkan nama server syslog. Masukkan alamat IP atau nama host dari host agen Bindplane.
- Port: Masukkan nomor port. Masukkan
514. - Protocol: Pilih protokol yang sesuai, TCP atau UDP, untuk meneruskan log. Pilih TCP.
- Standar Syslog: Pilih format pesan syslog yang diinginkan, RFC 3164, RFC 5424, atau RawLog. Pilih RFC 5424 (direkomendasikan).
- Format Data: Masukkan format data. Konfigurasi format data sesuai kebutuhan untuk lingkungan Anda.
Klik Simpan untuk menyimpan konfigurasi.
Setelah konfigurasi, ADManager Plus akan mulai meneruskan log tindakan pengelolaan ke agen BindPlane, yang kemudian akan mengirimkannya ke Google SecOps.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| ipPhone | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "ipPhone" dan nilai dari ipPhone jika ipPhone != "" |
| l | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "l" dan nilai dari l jika l != "" |
| lockoutTime | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "lockoutTime" dan nilai dari lockoutTime jika lockoutTime != "" |
| Pindah Dari | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "Pindah Dari" dan nilai dari Move_From jika Move_From != "" |
| Pindah Ke | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "Pindahkan Ke" dan nilai dari Move_To jika Move_To != "" |
| msg | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "member" dan nilai dari msg jika msg != "" |
| sn | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "sn" dan nilai dari sn jika sn != "" |
| st | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "st" dan nilai dari st jika st != "" |
| Nama Template | event.idm.read_only_udm.additional.fields | Digabungkan sebagai label dengan kunci "Template Name" dan nilai dari Template_Name jika Template_Name != "" |
| Status | event.idm.read_only_udm.metadata.description | Nilai diambil dari Status jika Status != "" |
| waktu | event.idm.read_only_udm.metadata.event_timestamp | Dikonversi dari format waktu ke stempel waktu jika waktu != "" |
| event.idm.read_only_udm.metadata.event_type | Turunan: jika has_principal_user == "true" maka "USER_UNCATEGORIZED"; else if has_principal == "true" maka "STATUS_UPDATE"; else "GENERIC_EVENT" | |
| TechnicianName | event.idm.read_only_udm.metadata.product_event_type | Nilai diambil dari TechnicianName jika TechnicianName != "" |
| event.idm.read_only_udm.metadata.product_name | Disetel ke "ADMANAGER_PLUS" | |
| event.idm.read_only_udm.metadata.vendor_name | Disetel ke "ADMANAGER_PLUS" | |
| Nama Domain | event.idm.read_only_udm.principal.administrative_domain | Nilai diambil dari Domain_Name jika Domain_Name != "" |
| hostname | event.idm.read_only_udm.principal.asset.hostname | Nilai diambil dari nama host jika nama host != "" |
| event.idm.read_only_udm.principal.email | Nilai diambil dari email jika email != "" | |
| hostname | event.idm.read_only_udm.principal.hostname | Nilai diambil dari nama host jika nama host != "" |
| co | event.idm.read_only_udm.principal.location.city | Nilai diambil dari co jika co != "" |
| Tugas | event.idm.read_only_udm.principal.resource.name | Nilai diambil dari Tugas jika Tugas != "" |
| wWWHomePage | event.idm.read_only_udm.principal.url | Nilai diambil dari wWWHomePage jika wWWHomePage != "" |
| Jenis Sandi | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "Password Type" dan nilai dari Password_Type jika Password_Type != "" |
| kodeNegara | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "countryCode" dan nilai dari countryCode jika countryCode != "" |
| sandi | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "password" dan nilai dari sandi jika sandi != "" |
| postalCode | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "postalCode" dan nilai dari postalCode jika postalCode != "" |
| primaryGroupID | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "primaryGroupID" dan nilai dari primaryGroupID jika primaryGroupID != "" |
| userAccountControl | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "userAccountControl" dan nilai dari userAccountControl jika userAccountControl != "" |
| userPrincipalName | event.idm.read_only_udm.principal.user.attribute.labels | Digabungkan sebagai label dengan kunci "userPrincipalName" dan nilai dari userPrincipalName jika userPrincipalName != "" |
| company | event.idm.read_only_udm.principal.user.company_name | Nilai diambil dari perusahaan jika perusahaan != "" |
| department | event.idm.read_only_udm.principal.user.department | Digabungkan dengan departemen jika departemen != "" |
| givenName | event.idm.read_only_udm.principal.user.first_name | Nilai diambil dari givenName jika givenName != "" |
| physicalDeliveryOfficeName | event.idm.read_only_udm.principal.user.office_address.name | Nilai diambil dari physicalDeliveryOfficeName jika physicalDeliveryOfficeName != "" |
| streetAddress | event.idm.read_only_udm.principal.user.personal_address.name | Nilai diambil dari streetAddress jika streetAddress != "" |
| homePhone | event.idm.read_only_udm.principal.user.phone_numbers | Digabungkan dengan homePhone jika homePhone != "" |
| Nama Pengguna | event.idm.read_only_udm.principal.user.user_display_name | Nilai diambil dari User_Name jika User_Name != ""; atau dari Object_Name jika Object_Name != "" |
| sAMAccountName | event.idm.read_only_udm.principal.user.userid | Nilai diambil dari sAMAccountName jika sAMAccountName != "" |
| TINDAKAN | event.idm.read_only_udm.security_result.action_details | Nilai diambil dari ACTION jika ACTION != "" |
| deskripsi | event.idm.read_only_udm.security_result.description | Nilai diambil dari deskripsi jika deskripsi != "" |
| Nama Container | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok container_Name: digabungkan sebagai label dengan kunci "Container_Name_DC_value1" dan nilai dari dc_label_1 jika dc_label_1 != "" |
| Nama Container | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok container_Name: digabungkan sebagai label dengan kunci "Container_Name_DC_value2" dan nilai dari dc_label_2 jika dc_label_2 != "" |
| Nama Container | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok container_Name: digabungkan sebagai label dengan kunci "Container_Name_OU_value1" dan nilai dari ou_label_1 jika ou_label_1 != "" |
| Nama Container | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok container_Name: digabungkan sebagai label dengan kunci "Container_Name_OU_value2" dan nilai dari ou_label_2 jika ou_label_2 != "" |
| Nama Container | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok container_Name: digabungkan sebagai label dengan kunci "Container_Name_OU_value3" dan nilai dari ou_label_3 jika ou_label_3 != "" |
| Grup Utama | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok Primary_Group: digabungkan sebagai label dengan kunci "Primary_Group_CN_value1" dan nilai dari cn_label_1 jika cn_label_1 != "" |
| Grup Utama | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok Primary_Group: digabungkan sebagai label dengan kunci "Primary_Group_CN_value2" dan nilai dari cn_label_2 jika cn_label_2 != "" |
| Grup Utama | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok Primary_Group: digabungkan sebagai label dengan kunci "Primary_Group_DC_value1" dan nilai dari primary_dc_label_1 jika primary_dc_label_1 != "" |
| Grup Utama | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok Primary_Group: digabungkan sebagai label dengan kunci "Primary_Group_DC_value2" dan nilai dari primary_dc_label_2 jika primary_dc_label_2 != "" |
| accountExpires | event.idm.read_only_udm.security_result.detection_fields | Digabungkan sebagai label dengan kunci "accountExpires" dan nilai dari accountExpires jika accountExpires != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok pengelola: digabungkan sebagai label dengan kunci "manager_cn_value1" dan nilai dari manager_cn_value1 jika manager_cn_value1 != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari pemahaman pengelola: digabungkan sebagai label dengan kunci "manager_dc_value1" dan nilai dari manager_dc_value1 jika manager_dc_value1 != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari pemahaman pengelola: digabungkan sebagai label dengan kunci "manager_dc_value2" dan nilai dari manager_dc_value2 jika manager_dc_value2 != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari grok pengelola: digabungkan sebagai label dengan kunci "manager_ou_value1" dan nilai dari manager_ou_value1 jika manager_ou_value1 != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari pemahaman pengelola: digabungkan sebagai label dengan kunci "manager_ou_value2" dan nilai dari manager_ou_value2 jika manager_ou_value2 != "" |
| pengelola | event.idm.read_only_udm.security_result.detection_fields | Diperoleh dari pemahaman pengelola: digabungkan sebagai label dengan kunci "manager_ou_value3" dan nilai dari manager_ou_value3 jika manager_ou_value3 != "" |
| pwdLastSet | event.idm.read_only_udm.security_result.detection_fields | Digabungkan sebagai label dengan kunci "pwdLastSet" dan nilai dari pwdLastSet jika pwdLastSet != "" |
| ModuleName | event.idm.read_only_udm.target.resource.name | Nilai diambil dari ModuleName jika ModuleName != "" |
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.