AIDE (Advanced Intrusion Detection Environment) 로그 수집

이 문서에서는 Bindplane을 사용하여 AIDE (Advanced Intrusion Detection Environment) 로그를 Google Security Operations로 수집하는 방법을 설명합니다. AIDE는 Linux/Unix 시스템에서 파일의 변경사항을 감지하는 파일 무결성 모니터링 도구입니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• Google SecOps 인스턴스
• systemd가 실행되고 AIDE 버전 0.18 이상이 설치된 Linux 호스트 (JSON 형식 지원)
• 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
• AIDE 구성 파일에 대한 권한이 있는 액세스

Google SecOps 수집 인증 파일 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 수집 에이전트로 이동합니다.
3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 프로필로 이동합니다.
3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Linux 설치

1. 루트 또는 sudo 권한으로 터미널을 엽니다.

2. 다음 명령어를 실행합니다.

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

추가 설치 리소스

• 추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

1. 구성 파일에 액세스합니다.

   1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
   2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

2. 다음과 같이 config.yaml 파일을 수정합니다.

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'AIDE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
   • <CUSTOMER_ID>를 실제 고객 ID로 바꿉니다.
   • Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

• Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

  sudo systemctl restart bindplane-agent
  

AIDE에서 Syslog 전달 구성

1. AIDE 구성 파일을 엽니다.

   sudo vi /etc/aide/aide.conf
   

2. 보고 섹션으로 이동합니다.

3. 다음 구성을 추가합니다.

   • report_level: list_entries를 입력합니다.
   • report_format: json (AIDE 0.18 이상) 또는 plain을 입력합니다.

   • report_url: syslog:authpriv을 입력합니다.

     • 구성 예:

     report_level=list_entries
     report_format=json
     report_url=syslog:authpriv
     

4. 구성을 저장합니다.

5. AIDE 로그를 Bindplane 에이전트로 전달하도록 rsyslog를 구성합니다. rsyslog 구성을 엽니다.

   sudo vi /etc/rsyslog.d/aide-forward.conf
   

6. authpriv 기능 로그를 Bindplane 에이전트로 전달하도록 다음 구성을 추가합니다.

   authpriv.* @<BINDPLANE_AGENT_IP>:514
   

   • <BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
   • UDP의 경우 @를 사용하고 TCP 전달의 경우 @@를 사용합니다.

7. rsyslog를 다시 시작합니다.

   sudo systemctl restart rsyslog
   

8. 새로 설치하는 경우 AIDE 데이터베이스를 초기화합니다.

   sudo aide --init
   sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
   

9. 구성을 테스트합니다.

   sudo aide --check
   

10. cron을 사용하여 자동 검사를 설정합니다.

    sudo crontab -e
    

11. 오전 4시 5분에 매일 AIDE를 실행하려면 다음 줄을 추가합니다.

    05 4 * * * root /usr/sbin/aide --check
    

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.