Raccogliere i log di Active Countermeasures AI-Hunter

Questo documento spiega come importare i log di Active Countermeasures AI-Hunter in Google Security Operations utilizzando Bindplane. Il parser estrae i dati degli avvisi di sicurezza dai messaggi syslog. Analizza campi come indirizzo IP, punteggi attuali e precedenti e vari fattori che contribuiscono al punteggio, quindi li mappa all'UDM, arricchendo il principal con etichette che rappresentano i punti dati estratti.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un host Windows 2016 o versioni successive o Linux con systemd
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
• Accesso con privilegi al server Active Countermeasures AI-Hunter per modificare il file di configurazione

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'AI_HUNTER'
       raw_log_field: body
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
   • Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare l'inoltro di Syslog in Active Countermeasures AI-Hunter

1. Accedi al server AI-Hunter tramite SSH con accesso privilegiato.

2. Esegui il backup del file di configurazione esistente:

   sudo cp /etc/AI-Hunter/config.yaml /etc/AI-Hunter/config.yaml.backup
   

3. Modifica il file di configurazione:

   sudo nano /etc/AI-Hunter/config.yaml
   

4. Individua la sezione Avviso: e la sezione nidificata Syslog:. Fornisci i seguenti dettagli di configurazione:

   Alert:
     Syslog:
       Threshold: 20
       Protocol: "udp"
       Address: "bindplane_host:514"
       Tag: " AC-Hunter "
   

   • Soglia: inserisci il punteggio di minaccia minimo per attivare gli avvisi (ad esempio, 20). I sistemi con punteggi pari o superiori a questo valore genereranno avvisi syslog.
   • Protocollo: seleziona udp o tcp in base alla configurazione di Bindplane. Utilizza "" (stringa vuota) per scrivere in /dev/log dell'host per l'inoltro di rsyslog.
   • Indirizzo: inserisci l'indirizzo IP e la porta dell'agente Bindplane (ad esempio, 10.1.2.3:514).
   • Tag: inserisci un tag facoltativo per l'identificazione del log (ad esempio AC-Hunter). Il fornitore consiglia di includere uno spazio finale prima delle virgolette di chiusura.

5. Salva il file di configurazione ed esci dall'editor.

6. Riavvia AI-Hunter per applicare le modifiche:

   hunt up -d --force-recreate
   

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.