收集 ManageEngine ADManager Plus 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 ManageEngine ADManager Plus 日志提取到 Google Security Operations。
ManageEngine ADManager Plus 是一款基于 Web 的解决方案,可简化 AD 管理,包括用户创建和修改、基于角色的安全性以及详细报告。ADManager Plus 与 Splunk 和 Syslog 服务器的集成使组织能够转发在 ADManager Plus 中执行的所有 Active Directory、Microsoft 365 和 Google Workspace 管理操作的日志。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 ManageEngine ADManager Plus 之间的网络连接
- 如果在代理后面运行,请确保防火墙端口根据 Bindplane 代理要求处于开放状态
- 对 ManageEngine ADManager Plus 管理控制台的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 点击下载以下载提取身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-otel-collector/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/admanager_plus: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: ADMANAGER_PLUS raw_log_field: body ingestion_labels: log_source: admanager_plus service: pipelines: logs/admanager_to_chronicle: receivers: - tcplog exporters: - chronicle/admanager_plus替换以下占位符:
接收器配置:
- 接收器使用
tcplog在 TCP 端口 514 上接收 syslog 数据。 listen_address:设置为0.0.0.0:514可在端口 514 上监听所有接口。
- 接收器使用
导出器配置:
<CREDS_FILE_PATH>:提取身份验证文件的完整路径:- Linux:
/opt/observiq-otel-collector/ingestion-auth.json - Windows:
C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
- Linux:
<CUSTOMER_ID>:上一步中的客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点。
- 美国:
log_type:设置为 Chronicle 中显示的ADMANAGER_PLUS。ingestion_labels:YAML 格式的可选标签。
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
Linux
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
Windows
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份使用命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector使用“服务”控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ Distro for OpenTelemetry Collector。
- 右键点击并选择重新启动。
- 按
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 ManageEngine ADManager Plus syslog 转发
- 登录 ADManager Plus。
- 前往管理标签页。
- 在系统设置下,点击集成。
在日志转发下,点击 Syslog。
配置以下字段:
- Syslog 服务器:输入 syslog 服务器名称。输入 Bindplane 代理主机所在的 IP 地址或主机名。
- 端口:输入端口号。输入
514。 - 协议:选择用于转发日志的相应协议,即 TCP 或 UDP。选择 TCP。
- Syslog 标准:选择所需的 syslog 消息格式,即 RFC 3164、RFC 5424 或 RawLog。选择 RFC 5424(推荐)。
- 数据格式:输入数据格式。根据环境需要配置数据格式。
点击保存以保存配置。
配置完成后,ADManager Plus 会开始将管理操作的日志转发给 Bindplane 代理,然后 Bindplane 代理会将这些日志发送给 Google SecOps。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| ipPhone | event.idm.read_only_udm.additional.fields | 合并为键为“ipPhone”且值来自 ipPhone 的标签(如果 ipPhone != "") |
| l | event.idm.read_only_udm.additional.fields | 如果 l 不等于 "",则合并为键为“l”且值为 l 的标签 |
| lockoutTime | event.idm.read_only_udm.additional.fields | 合并为键为“lockoutTime”且值为 lockoutTime 的标签(如果 lockoutTime != "") |
| 从以下位置迁移 | event.idm.read_only_udm.additional.fields | 合并为标签,键为“Move From”,值为 Move_From(如果 Move_From != "") |
| 移至 | event.idm.read_only_udm.additional.fields | 如果 Move_To != "",则合并为具有键“Move To”和来自 Move_To 的值的标签 |
| 消息 | event.idm.read_only_udm.additional.fields | 如果 msg != "",则合并为具有键“member”和来自 msg 的值的标签 |
| sn | event.idm.read_only_udm.additional.fields | 如果 sn != "",则合并为键为“sn”且值为 sn 的标签 |
| st | event.idm.read_only_udm.additional.fields | 合并为键为“st”且值来自 st 的标签(如果 st != "") |
| 模板名称 | event.idm.read_only_udm.additional.fields | 合并为标签,键为“Template Name”,值为 Template_Name(如果 Template_Name != "") |
| 状态 | event.idm.read_only_udm.metadata.description | 如果“状态”不为空,则取自“状态”的值 |
| 时间 | event.idm.read_only_udm.metadata.event_timestamp | 如果时间不等于 "",则从时间转换为时间戳格式 |
| event.idm.read_only_udm.metadata.event_type | 派生:如果 has_principal_user == "true",则为“USER_UNCATEGORIZED”;否则,如果 has_principal == "true",则为“STATUS_UPDATE”;否则为“GENERIC_EVENT” | |
| TechnicianName | event.idm.read_only_udm.metadata.product_event_type | 如果 TechnicianName != "",则取自 TechnicianName 的值 |
| event.idm.read_only_udm.metadata.product_name | 设置为“ADMANAGER_PLUS” | |
| event.idm.read_only_udm.metadata.vendor_name | 设置为“ADMANAGER_PLUS” | |
| 域名 | event.idm.read_only_udm.principal.administrative_domain | 如果 Domain_Name != "",则取自 Domain_Name 的值 |
| 主机名 | event.idm.read_only_udm.principal.asset.hostname | 如果主机名不等于“”,则从主机名中获取值 |
| 邮件 | event.idm.read_only_udm.principal.email | 如果 mail != "",则取自 mail 的值 |
| 主机名 | event.idm.read_only_udm.principal.hostname | 如果主机名不等于“”,则从主机名中获取值 |
| co | event.idm.read_only_udm.principal.location.city | 如果 co != "",则从 co 中获取值 |
| 任务 | event.idm.read_only_udm.principal.resource.name | 如果 Task != "",则取自 Task 的值 |
| wWWHomePage | event.idm.read_only_udm.principal.url | 如果 wWWHomePage != "",则取自 wWWHomePage 的值 |
| 密码类型 | event.idm.read_only_udm.principal.user.attribute.labels | 如果 Password_Type != "",则合并为键为“Password Type”且值为 Password_Type 的标签 |
| countryCode | event.idm.read_only_udm.principal.user.attribute.labels | 合并为具有键“countryCode”和来自 countryCode 的值的标签(如果 countryCode != "") |
| 密码 | event.idm.read_only_udm.principal.user.attribute.labels | 如果密码不为空,则合并为键为“password”且值为密码的标签 |
| postalCode | event.idm.read_only_udm.principal.user.attribute.labels | 合并为标签,键为“postalCode”,值为邮政编码(如果邮政编码不为空) |
| primaryGroupID | event.idm.read_only_udm.principal.user.attribute.labels | 如果 primaryGroupID != "",则合并为键为“primaryGroupID”且值为 primaryGroupID 的标签 |
| userAccountControl | event.idm.read_only_udm.principal.user.attribute.labels | 如果 userAccountControl != "",则合并为键为“userAccountControl”且值为 userAccountControl 的标签 |
| userPrincipalName | event.idm.read_only_udm.principal.user.attribute.labels | 合并为标签,键为“userPrincipalName”,值为 userPrincipalName(如果 userPrincipalName != "") |
| company | event.idm.read_only_udm.principal.user.company_name | 如果公司不为空,则取自公司的值 |
| 部门 | event.idm.read_only_udm.principal.user.department | 如果部门不为空,则与部门合并 |
| givenName | event.idm.read_only_udm.principal.user.first_name | 如果 givenName != "",则取自 givenName 的值 |
| physicalDeliveryOfficeName | event.idm.read_only_udm.principal.user.office_address.name | 如果 physicalDeliveryOfficeName != "",则取自 physicalDeliveryOfficeName 的值 |
| streetAddress | event.idm.read_only_udm.principal.user.personal_address.name | 如果 streetAddress != "",则取自 streetAddress 的值 |
| homePhone | event.idm.read_only_udm.principal.user.phone_numbers | 如果 homePhone 不为 "",则与 homePhone 合并 |
| 用户名 | event.idm.read_only_udm.principal.user.user_display_name | 如果 User_Name != "",则取自 User_Name;否则,如果 Object_Name != "",则取自 Object_Name |
| sAMAccountName | event.idm.read_only_udm.principal.user.userid | 如果 sAMAccountName != "",则取自 sAMAccountName 的值 |
| 行动 | event.idm.read_only_udm.security_result.action_details | 如果 ACTION != "",则取自 ACTION 的值 |
| 说明 | event.idm.read_only_udm.security_result.description | 如果说明不为空,则取自说明的值 |
| 容器名称 | event.idm.read_only_udm.security_result.detection_fields | 派生自 container_Name grok:合并为标签,键为“Container_Name_DC_value1”,值为 dc_label_1(如果 dc_label_1 != "") |
| 容器名称 | event.idm.read_only_udm.security_result.detection_fields | 派生自 container_Name grok:合并为标签,键为“Container_Name_DC_value2”,值为 dc_label_2(如果 dc_label_2 != "") |
| 容器名称 | event.idm.read_only_udm.security_result.detection_fields | 派生自 container_Name grok:合并为键为“Container_Name_OU_value1”且值为 ou_label_1(如果 ou_label_1 != "")的标签 |
| 容器名称 | event.idm.read_only_udm.security_result.detection_fields | 派生自 container_Name grok:合并为标签,键为“Container_Name_OU_value2”,值为 ou_label_2(如果 ou_label_2 != "") |
| 容器名称 | event.idm.read_only_udm.security_result.detection_fields | 派生自 container_Name grok:合并为键为“Container_Name_OU_value3”且值为 ou_label_3(如果 ou_label_3 != "")的标签 |
| 主要群组 | event.idm.read_only_udm.security_result.detection_fields | 派生自 Primary_Group grok:合并为标签,键为“Primary_Group_CN_value1”,值为 cn_label_1(如果 cn_label_1 != "") |
| 主要群组 | event.idm.read_only_udm.security_result.detection_fields | 派生自 Primary_Group grok:合并为标签,键为“Primary_Group_CN_value2”,值为 cn_label_2(如果 cn_label_2 != "") |
| 主要群组 | event.idm.read_only_udm.security_result.detection_fields | 从 Primary_Group grok 派生:合并为标签,键为“Primary_Group_DC_value1”,值为 primary_dc_label_1(如果 primary_dc_label_1 != "") |
| 主要群组 | event.idm.read_only_udm.security_result.detection_fields | 从 Primary_Group grok 派生:合并为标签,键为“Primary_Group_DC_value2”,值为 primary_dc_label_2(如果 primary_dc_label_2 != "") |
| accountExpires | event.idm.read_only_udm.security_result.detection_fields | 合并为键为“accountExpires”的标签,如果 accountExpires != "",则值为 accountExpires |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自 manager grok:合并为标签,键为“manager_cn_value1”,值为 manager_cn_value1(如果 manager_cn_value1 != "") |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自 manager grok:合并为标签,键为“manager_dc_value1”,值为 manager_dc_value1(如果 manager_dc_value1 != "") |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自 manager grok:合并为标签,键为“manager_dc_value2”,值为 manager_dc_value2(如果 manager_dc_value2 != "") |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自经理 grok:合并为标签,键为“manager_ou_value1”,值为 manager_ou_value1(如果 manager_ou_value1 != "") |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自经理 grok:合并为标签,键为“manager_ou_value2”,值为 manager_ou_value2(如果 manager_ou_value2 != "") |
| 管理员 | event.idm.read_only_udm.security_result.detection_fields | 派生自 manager grok:合并为键为“manager_ou_value3”的标签,如果 manager_ou_value3 != "",则值为 manager_ou_value3 |
| pwdLastSet | event.idm.read_only_udm.security_result.detection_fields | 合并为键为“pwdLastSet”且值来自 pwdLastSet 的标签(如果 pwdLastSet != "") |
| ModuleName | event.idm.read_only_udm.target.resource.name | 如果 ModuleName != "",则取自 ModuleName 的值 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。