AIDE (Advanced Intrusion Detection Environment) 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 AIDE (Advanced Intrusion Detection Environment) 로그를 Google Security Operations로 수집하는 방법을 설명합니다. AIDE는 Linux/Unix 시스템에서 파일 변경사항을 감지하는 파일 무결성 모니터링 도구입니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • AIDE 버전 0.18 이상을 실행하는 systemd가 있는 Linux 호스트 (JSON 형식 지원)
  • 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
  • AIDE 구성 파일에 대한 권한 있는 액세스

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트 로 이동합니다.
  3. 수집 인증 파일 을 다운로드합니다.
  4. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필 로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID 를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    • config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano 또는 vi)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIDE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 인프라에서 필요한 경우 포트와 IP 주소를 바꿉니다.
    • <CUSTOMER_ID>를 실제 고객 ID로 바꿉니다.
    • 1단계에서 인증 파일이 저장된 파일 경로로 /path/to/ingestion-authentication-file.json을 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart observiq-otel-collector

AIDE에서 Syslog 전달 구성

  1. AIDE 구성 파일을 엽니다.

    sudo vi /etc/aide/aide.conf

  2. 보고서 섹션으로 이동합니다.

  3. 다음 구성을 추가합니다.

    • report_level: list_entries를 입력합니다.
    • report_format: json (AIDE 0.18+) 또는 plain을 입력합니다.
    • report_url: syslog:authpriv를 입력합니다.

    구성 예:

    ```ini
report_level=list_entries
report_format=json
report_url=syslog:authpriv
```

  4. 구성을 저장합니다.

  5. AIDE 로그를 Bindplane 에이전트로 전달하도록 rsyslog를 구성합니다. rsyslog 구성을 엽니다.

    sudo vi /etc/rsyslog.d/aide-forward.conf

  6. authpriv 기능 로그를 Bindplane 에이전트로 전달하도록 다음 구성을 추가합니다.

    authpriv.* @<BINDPLANE_AGENT_IP>:514
    • <BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
    • UDP 전달에는 @를 사용하고 TCP 전달에는 @@를 사용합니다.

  7. rsyslog를 다시 시작합니다.

    sudo systemctl restart rsyslog

  8. 새로 설치하는 경우 AIDE 데이터베이스를 초기화합니다.

    sudo aide --init
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

  9. 구성을 테스트합니다.

    sudo aide --check

  10. 크론을 사용하여 자동 검사를 설정합니다.

    sudo crontab -e

  11. 오전 4시 5분에 매일 AIDE를 실행하도록 다음 줄을 추가합니다.

    05 4 * * * root /usr/sbin/aide --check

UDM 매핑 표

로그 필드 UDM 매핑 논리
added_label principal.asset.attribute.labels 병합됨
changed_label principal.asset.attribute.labels 병합됨
old_acl_label principal.asset.attribute.labels 병합됨
old_md5_label principal.asset.attribute.labels 병합됨
old_perms_label principal.asset.attribute.labels 병합됨
old_sha256_label principal.asset.attribute.labels 병합됨
old_ts_label principal.asset.attribute.labels 병합됨
removed_label principal.asset.attribute.labels 병합됨
total_label principal.asset.attribute.labels 병합됨
file_path principal.file.full_path 직접 매핑됨
path principal.file.full_path 직접 매핑됨
old_size principal.file.size 직접 매핑됨
host principal.hostname 직접 매핑됨
sr security_result 병합됨
new_acl_label target.asset.attribute.labels 병합됨
new_md5_label target.asset.attribute.labels 병합됨
new_perms_label target.asset.attribute.labels 병합됨
new_sha256_label target.asset.attribute.labels 병합됨
new_ts_label target.asset.attribute.labels 병합됨
path target.file.full_path 직접 매핑됨
new_size target.file.size 직접 매핑됨
해당 사항 없음 metadata.event_type 상수: GENERIC_EVENT
해당 사항 없음 metadata.product_name 상수: AIDE
해당 사항 없음 metadata.vendor_name 상수: AIDE
해당 사항 없음 principal.application 상수: aide
해당 사항 없음 principal.file.size 상수: sizedata
해당 사항 없음 target.file.size 상수: sizedata_target

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.