ManageEngine ADManager Plus 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 ManageEngine ADManager Plus 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
ManageEngine ADManager Plus는 사용자 생성 및 수정, 역할 기반 보안, 자세한 보고서 등 AD 관리를 간소화하는 웹 기반 솔루션을 제공합니다. ADManager Plus와 Splunk 및 Syslog 서버의 통합을 통해 조직은 ADManager Plus에서 실행된 모든 Active Directory, Microsoft 365, Google Workspace 관리 작업의 로그를 전달할 수 있습니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 ManageEngine ADManager Plus 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- ManageEngine ADManager Plus 관리 콘솔에 대한 권한 있는 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 다운로드를 클릭하여 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-otel-collector/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector
서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector
서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/admanager_plus: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: ADMANAGER_PLUS raw_log_field: body ingestion_labels: log_source: admanager_plus service: pipelines: logs/admanager_to_chronicle: receivers: - tcplog exporters: - chronicle/admanager_plus다음 자리표시자를 바꿉니다.
수신기 구성:
- 수신기는
tcplog를 사용하여 TCP 포트 514에서 syslog 데이터를 수신합니다. listen_address: 포트 514의 모든 인터페이스에서 수신하려면0.0.0.0:514로 설정합니다.
- 수신기는
내보내기 도구 구성:
<CREDS_FILE_PATH>: 수집 인증 파일의 전체 경로입니다.- Linux:
/opt/observiq-otel-collector/ingestion-auth.json - Windows:
C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: 이전 단계의 고객 ID입니다.endpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type: Chronicle에 표시되는 대로 정확하게ADMANAGER_PLUS로 설정합니다.ingestion_labels: YAML 형식의 선택적 라벨입니다.
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순으로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
명령 프롬프트 또는 PowerShell을 관리자로 사용합니다.
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔 사용:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- OpenTelemetry Collector용 observIQ Distro를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
ManageEngine ADManager Plus syslog 전달 구성
- ADManager Plus에 로그인합니다.
- 관리 탭으로 이동합니다.
- 시스템 설정에서 통합을 클릭합니다.
로그 전달에서 Syslog를 클릭합니다.
다음 필드를 구성합니다.
- Syslog Server: 시스템로그 서버 이름을 입력합니다. Bindplane 에이전트 호스트의 IP 주소 또는 호스트 이름을 입력합니다.
- 포트: 포트 번호를 입력합니다.
514를 입력합니다. - 프로토콜: 로그 전달에 적합한 프로토콜(TCP 또는 UDP)을 선택합니다. TCP를 선택합니다.
- Syslog 표준: 원하는 syslog 메시지 형식(RFC 3164, RFC 5424 또는 RawLog)을 선택합니다. RFC 5424를 선택합니다 (권장).
- 데이터 형식: 데이터 형식을 입력합니다. 환경에 맞게 데이터 형식을 구성합니다.
저장을 클릭하여 구성을 저장합니다.
구성 후 ADManager Plus는 관리 작업의 로그를 Bindplane 에이전트로 전달하기 시작하며, Bindplane 에이전트는 이를 Google SecOps로 전송합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 로직 |
|---|---|---|
| ipPhone | event.idm.read_only_udm.additional.fields | ipPhone != ''인 경우 ipPhone의 값과 'ipPhone' 키가 있는 라벨로 병합됨 |
| l | event.idm.read_only_udm.additional.fields | l이 ''이 아닌 경우 키가 'l'이고 값이 l인 라벨로 병합됨 |
| lockoutTime | event.idm.read_only_udm.additional.fields | lockoutTime != ''인 경우 lockoutTime의 값과 'lockoutTime' 키가 있는 라벨로 병합됨 |
| 이동 위치 | event.idm.read_only_udm.additional.fields | Move_From != ''인 경우 'Move From' 키와 Move_From의 값으로 라벨로 병합됨 |
| 이동 | event.idm.read_only_udm.additional.fields | Move_To != ''인 경우 'Move To' 키와 Move_To 값으로 라벨로 병합됨 |
| msg | event.idm.read_only_udm.additional.fields | msg != ''인 경우 키가 'member'이고 값이 msg인 라벨로 병합됨 |
| sn | event.idm.read_only_udm.additional.fields | sn이 ''이 아닌 경우 sn의 값과 'sn' 키가 있는 라벨로 병합됨 |
| st | event.idm.read_only_udm.additional.fields | st != ''인 경우 키가 'st'이고 값이 st인 라벨로 병합됨 |
| 템플릿 이름 | event.idm.read_only_udm.additional.fields | Template_Name != ''인 경우 '템플릿 이름' 키와 Template_Name의 값으로 라벨로 병합됨 |
| 상태 | event.idm.read_only_udm.metadata.description | 상태가 ''이 아닌 경우 상태에서 가져온 값 |
| 시간 | event.idm.read_only_udm.metadata.event_timestamp | 시간이 ''이 아닌 경우 시간에서 타임스탬프 형식으로 변환됨 |
| event.idm.read_only_udm.metadata.event_type | 파생: has_principal_user == 'true'이면 'USER_UNCATEGORIZED', has_principal == 'true'이면 'STATUS_UPDATE', 그 외에는 'GENERIC_EVENT' | |
| TechnicianName | event.idm.read_only_udm.metadata.product_event_type | TechnicianName != ''인 경우 TechnicianName에서 가져온 값 |
| event.idm.read_only_udm.metadata.product_name | 'ADMANAGER_PLUS'로 설정 | |
| event.idm.read_only_udm.metadata.vendor_name | 'ADMANAGER_PLUS'로 설정 | |
| 도메인 이름 | event.idm.read_only_udm.principal.administrative_domain | Domain_Name이 ''이 아닌 경우 Domain_Name에서 가져온 값 |
| hostname | event.idm.read_only_udm.principal.asset.hostname | 호스트 이름이 ''이 아닌 경우 호스트 이름에서 가져온 값 |
| 메일 | event.idm.read_only_udm.principal.email | 메일이 ''이 아닌 경우 메일에서 가져온 값 |
| hostname | event.idm.read_only_udm.principal.hostname | 호스트 이름이 ''이 아닌 경우 호스트 이름에서 가져온 값 |
| co | event.idm.read_only_udm.principal.location.city | co != ''인 경우 co에서 가져온 값 |
| 작업 | event.idm.read_only_udm.principal.resource.name | 작업이 ''이 아닌 경우 작업에서 가져온 값 |
| wWWHomePage | event.idm.read_only_udm.principal.url | wWWHomePage != ''인 경우 wWWHomePage에서 가져온 값 |
| 비밀번호 유형 | event.idm.read_only_udm.principal.user.attribute.labels | Password_Type이 ''이 아닌 경우 'Password Type' 키와 Password_Type의 값이 있는 라벨로 병합됨 |
| 국가 코드 | event.idm.read_only_udm.principal.user.attribute.labels | countryCode != ''인 경우 countryCode의 값과 'countryCode' 키가 있는 라벨로 병합됨 |
| 비밀번호 | event.idm.read_only_udm.principal.user.attribute.labels | 비밀번호가 ''이 아닌 경우 비밀번호의 값과 'password' 키가 있는 라벨로 병합됨 |
| postalCode | event.idm.read_only_udm.principal.user.attribute.labels | 우편번호가 ''이 아닌 경우 우편번호의 값과 'postalCode' 키가 있는 라벨로 병합됨 |
| primaryGroupID | event.idm.read_only_udm.principal.user.attribute.labels | primaryGroupID != ''인 경우 primaryGroupID의 값과 'primaryGroupID' 키가 있는 라벨로 병합됨 |
| userAccountControl | event.idm.read_only_udm.principal.user.attribute.labels | userAccountControl != ''인 경우 userAccountControl의 값과 'userAccountControl' 키가 있는 라벨로 병합됨 |
| userPrincipalName | event.idm.read_only_udm.principal.user.attribute.labels | userPrincipalName != ''인 경우 키가 'userPrincipalName'이고 값이 userPrincipalName인 라벨로 병합됨 |
| 회사 | event.idm.read_only_udm.principal.user.company_name | 회사 != ''인 경우 회사에서 가져온 값 |
| department | event.idm.read_only_udm.principal.user.department | 부서가 ''이 아닌 경우 부서와 병합됨 |
| givenName | event.idm.read_only_udm.principal.user.first_name | givenName이 ''이 아닌 경우 givenName에서 가져온 값 |
| physicalDeliveryOfficeName | event.idm.read_only_udm.principal.user.office_address.name | physicalDeliveryOfficeName != ''인 경우 physicalDeliveryOfficeName에서 가져온 값 |
| streetAddress | event.idm.read_only_udm.principal.user.personal_address.name | streetAddress가 ''이 아닌 경우 streetAddress에서 가져온 값 |
| homePhone | event.idm.read_only_udm.principal.user.phone_numbers | homePhone이 ''이 아닌 경우 homePhone과 병합됩니다. |
| 사용자 이름 | event.idm.read_only_udm.principal.user.user_display_name | User_Name이 ''이 아닌 경우 User_Name에서 가져온 값, 그렇지 않고 Object_Name이 ''이 아닌 경우 Object_Name에서 가져온 값 |
| sAMAccountName | event.idm.read_only_udm.principal.user.userid | sAMAccountName != ''인 경우 sAMAccountName에서 가져온 값 |
| 액션 | event.idm.read_only_udm.security_result.action_details | ACTION이 ''이 아닌 경우 ACTION에서 가져온 값 |
| 설명 | event.idm.read_only_udm.security_result.description | 설명이 ''이 아닌 경우 설명에서 가져온 값 |
| 컨테이너 이름 | event.idm.read_only_udm.security_result.detection_fields | container_Name grok에서 파생됨: dc_label_1 != ''인 경우 dc_label_1의 값과 'Container_Name_DC_value1' 키가 있는 라벨로 병합됨 |
| 컨테이너 이름 | event.idm.read_only_udm.security_result.detection_fields | container_Name grok에서 파생됨: dc_label_2 != ''인 경우 dc_label_2의 값과 'Container_Name_DC_value2' 키가 있는 라벨로 병합됨 |
| 컨테이너 이름 | event.idm.read_only_udm.security_result.detection_fields | container_Name grok에서 파생됨: ou_label_1 != ''인 경우 ou_label_1의 값과 'Container_Name_OU_value1' 키가 있는 라벨로 병합됨 |
| 컨테이너 이름 | event.idm.read_only_udm.security_result.detection_fields | container_Name grok에서 파생됨: ou_label_2 != ''인 경우 ou_label_2의 값과 'Container_Name_OU_value2' 키가 있는 라벨로 병합됨 |
| 컨테이너 이름 | event.idm.read_only_udm.security_result.detection_fields | container_Name grok에서 파생됨: ou_label_3 != ''인 경우 ou_label_3의 값과 'Container_Name_OU_value3' 키가 있는 라벨로 병합됨 |
| 기본 그룹 | event.idm.read_only_udm.security_result.detection_fields | Primary_Group grok에서 파생됨: cn_label_1 != ''인 경우 cn_label_1의 값과 키 'Primary_Group_CN_value1'이 있는 라벨로 병합됨 |
| 기본 그룹 | event.idm.read_only_udm.security_result.detection_fields | Primary_Group grok에서 파생됨: cn_label_2 != ''인 경우 cn_label_2의 값과 'Primary_Group_CN_value2' 키가 있는 라벨로 병합됨 |
| 기본 그룹 | event.idm.read_only_udm.security_result.detection_fields | Primary_Group grok에서 파생됨: primary_dc_label_1 != ''인 경우 키가 'Primary_Group_DC_value1'이고 값이 primary_dc_label_1인 라벨로 병합됨 |
| 기본 그룹 | event.idm.read_only_udm.security_result.detection_fields | Primary_Group grok에서 파생됨: primary_dc_label_2 != ''인 경우 primary_dc_label_2의 값과 키 'Primary_Group_DC_value2'가 있는 라벨로 병합됨 |
| accountExpires | event.idm.read_only_udm.security_result.detection_fields | accountExpires != ''인 경우 accountExpires의 값과 'accountExpires' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_cn_value1 != ''인 경우 manager_cn_value1의 값과 'manager_cn_value1' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_dc_value1 != ''인 경우 manager_dc_value1의 값과 'manager_dc_value1' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_dc_value2 != ''인 경우 manager_dc_value2의 값과 'manager_dc_value2' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_ou_value1 != ''인 경우 manager_ou_value1의 값과 'manager_ou_value1' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_ou_value2 != ''인 경우 manager_ou_value2의 값과 'manager_ou_value2' 키가 있는 라벨로 병합됨 |
| 관리자 | event.idm.read_only_udm.security_result.detection_fields | 관리자 grok에서 파생됨: manager_ou_value3 != ''인 경우 manager_ou_value3의 값과 'manager_ou_value3' 키가 있는 라벨로 병합됨 |
| pwdLastSet | event.idm.read_only_udm.security_result.detection_fields | pwdLastSet != ''인 경우 pwdLastSet의 값과 'pwdLastSet' 키가 있는 라벨로 병합됨 |
| ModuleName | event.idm.read_only_udm.target.resource.name | ModuleName이 ''이 아닌 경우 ModuleName에서 가져온 값 |
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.