Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

AlgoSec Security Management のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して AlgoSec Security Management ログを Google Security Operations に取り込む方法について説明します。

AlgoSec Security Management Suite（ASMS）は、ファイアウォール、SDN、クラウドプラットフォーム全体でネットワークセキュリティポリシー管理を提供します。リスクとコンプライアンスの分析を行う Firewall Analyzer、チェンジマネジメントの自動化を行う FireFlow、アプリケーション接続の可視化を行う AppViz が含まれています。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと AlgoSec アプライアンス間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
AlgoSec Firewall Analyzer、FireFlow、AppViz への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [active (running)] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/algosec:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ALGOSEC
        raw_log_field: body

service:
    pipelines:
        logs/algosec_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/algosec

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - ポート 514 は標準の syslog ポートです（Linux で root が必要。root 以外の場合は 1514 を使用）
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Firewall Analyzer の syslog を構成する

SSH を使用して AFA アプライアンスにログインします。
syslog-ng 構成ディレクトリに移動します。
```
cd /etc/syslog-ng
```
既存の構成をバックアップします。
```
cp syslog-ng.conf syslog-ng.conf.orig
```
syslog-ng 構成ファイルを編集します。
```
vi syslog-ng.conf
```
次の行を追加して、リモート syslog サーバーを定義します。
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- <BINDPLANE_IP> は、Bindplane エージェントの IP アドレスに置き換えます。
保存してエディタを終了します。
syslog-ng サービスを再起動して変更を適用します。
```
service syslog-ng restart
```
省略可: Syslog 構成を確認します。
1. [Administration] > [Syslog Server Settings] に移動します。
2. [接続をテスト] をクリックします。

FireFlow の syslog を構成する

FireFlow マシンに root としてログインします。
編集する /etc/syslog.conf ファイルを開きます。
```
vi /etc/syslog.conf
```
次の行をファイルに追加します。
```
local0.*@<BINDPLANE_IP>
```
- <BINDPLANE_IP> は、Bindplane エージェントサーバーの IP アドレスに置き換えます。

AppViz の Syslog を構成する

SSH 経由で AppViz アプライアンスにログインします。
syslog-ng 構成ディレクトリに移動します。
```
cd /etc/syslog-ng
```
既存の構成をバックアップします。
```
cp syslog-ng.conf syslog-ng.conf.orig
```
syslog-ng 構成ファイルを編集します。
```
vi syslog-ng.conf
```
リモート syslog サーバーを定義するには、次を追加します。
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- <BINDPLANE_IP> は、Bindplane エージェントの IP アドレスに置き換えます。
保存してエディタを終了します。
syslog-ng サービスを再起動して変更を適用します。
```
service syslog-ng restart
```
syslog 構成を確認します。
1. AppViz インターフェースで、[Administration > Syslog Server Settings] に移動します。
2. [接続をテスト] をクリックします。

ログインイベントとログアウトイベントの syslog を構成する

SSH 経由で ASMS アプライアンスにログインします。
syslog-ng 構成ディレクトリに移動します。
```
cd /etc/syslog-ng
```
既存の構成をバックアップします。
```
cp syslog-ng.conf syslog-ng.conf.orig
```
syslog-ng 構成ファイルを編集します。
```
vi syslog-ng.conf
```
リモート syslog サーバーを定義するには、次を追加します。
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- <BINDPLANE_IP> は、Bindplane エージェントの IP アドレスに置き換えます。
保存してエディタを終了します。
syslog-ng サービスを再起動して変更を適用します。
```
service syslog-ng restart
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`by_user`	`principal.user.user_display_name`	未加工ログの `by_user` フィールドの値がこの UDM フィールドに割り当てられます。
`collection_time`	`metadata.event_timestamp`	seconds フィールドと nanos フィールドが組み合わされてタイムスタンプが作成されます。
`comm`	`target.process.command_line`	grok を使用して `desc` フィールドから抽出された `comm` フィールドの値が、この UDM フィールドに割り当てられます。
`datetime`	`metadata.event_timestamp`	日付と時刻は未加工ログから抽出され、イベントタイムスタンプの入力に使用されます。
`desc`	`metadata.description`	他の説明がない場合、未加工ログの `desc` フィールドの値がこの UDM フィールドに割り当てられます。
`dest_ip`	`target.ip`	未加工ログの `dest_ip` フィールドの値がこの UDM フィールドに割り当てられます。
`dest_port`	`target.port`	未加工ログの `dest_port` フィールドの値がこの UDM フィールドに割り当てられます。
`details`	`security_result.summary`	未加工ログの `details` フィールドの値がこの UDM フィールドに割り当てられます。
`device`	`principal.asset.hostname`	未加工ログの `device` フィールドの値がこの UDM フィールドに割り当てられます。
`dst_ip`	`target.ip`	未加工ログの `dst_ip` フィールドの値がこの UDM フィールドに割り当てられます。
`dst_port`	`target.port`	未加工ログの `dst_port` フィールドの値がこの UDM フィールドに割り当てられます。
`event_id`	`metadata.product_event_type`	未加工ログの `event_id` フィールドの値がこの UDM フィールドに割り当てられます。また、パーサーロジックで `metadata.event_type` やその他のフィールドを特定するためにも使用されます。
`event_name`	`metadata.product_event_type`	未加工ログの `event_name` フィールドの値がこの UDM フィールドに割り当てられます。
`firewall`	`target.hostname`	未加工ログの `firewall` フィールドの値がこの UDM フィールドに割り当てられます。
`host`	`principal.hostname`	未加工ログの `host` フィールドの値がこの UDM フィールドに割り当てられます。
`host_type`	`principal.asset.category`	未加工ログの `host_type` フィールドの値がこの UDM フィールドに割り当てられます。
`iporhost`	`principal.ip/principal.hostname/target.ip/target.hostname/observer.ip/observer.hostname`	値が IP アドレスの場合、ログソースとイベントタイプに応じて `principal.ip,target.ip,` または `observer.ip` にマッピングされます。ホスト名の場合は、`principal.hostname,target.hostname,` または `observer.hostname` にマッピングされます。
`IP`	`principal.ip`	未加工ログの `IP` フィールドの値がこの UDM フィールドに割り当てられます。
`kv_data`	`security_result.summary`	未加工ログの `kv_data` フィールドの値がこの UDM フィールドに割り当てられます。
`log_type`	`metadata.log_type`	`ALGOSEC` にハードコードされています。
`metric`	`security_result.action_details`	未加工ログの `metric` フィールドの値がこの UDM フィールドに割り当てられます。
`msg`	`security_result.summary/security_result.description`	未加工ログの `msg` フィールドの値は、コンテキストに応じて、セキュリティ結果の概要または説明のいずれかを入力するために使用されます。また、`extractrisk_level,risk_count,risk_code,` フィールドと `risk_title` フィールドにも使用されます。
`pid`	`target.process.pid`	grok を使用して `desc` フィールドから抽出された `pid` フィールドの値が、この UDM フィールドに割り当てられます。
`product`	`metadata.product_name`	未加工ログの `product` フィールドの値がこの UDM フィールドに割り当てられます。
`report`	`security_result.description`	未加工ログの `report` フィールドの値が、セキュリティ結果の説明に含まれます。
`report_data.Device IP`	`target.ip`	解析された JSON データの `Device IP` フィールドの値が、この UDM フィールドに割り当てられます。
`report_data.Highest Risk Level`	`security_result.description`	解析された JSON データの `Highest Risk Level` フィールドの値は、セキュリティ結果の説明に含まれます。セキュリティ結果の重大度を判断するためにも使用されます。
`report_data.Security Rating Score`	`security_result.description`	解析された JSON データの `Security Rating Score` フィールドの値は、セキュリティ結果の説明に含まれます。
`Requestor.Email`	`principal.user.email_addresses`	解析された JSON データの `Request` オブジェクト内の `Email` フィールドの値がこの UDM フィールドに割り当てられます。
`Requestor.Name`	`principal.user.user_display_name`	解析された JSON データの `Requestor` オブジェクト内の `Name` フィールドの値がこの UDM フィールドに割り当てられます。
`RequestType`	`target.resource.attribute.labels`	未加工ログの `RequestType` フィールドの値が、ターゲットリソースのラベルとして追加されます。
`risk_title`	`security_result.summary`	未加工ログの `risk_title` フィールドの値がこの UDM フィールドに割り当てられます。
`src_ip`	`principal.ip`	未加工ログの `src_ip` フィールドの値がこの UDM フィールドに割り当てられます。
`src_port`	`principal.port`	未加工ログの `src_port` フィールドの値がこの UDM フィールドに割り当てられます。
`status`	`security_result.description/security_result.action_details`	未加工ログの `status` フィールドの値は、コンテキストに応じて、セキュリティ結果またはアクションの詳細の説明に含まれます。セキュリティ結果の重大度を判断するためにも使用されます。
`target_app`	`target.application`	未加工ログの `target_app` フィールドの値がこの UDM フィールドに割り当てられます。
`TemplateName`	`metadata.description`	未加工ログの `TemplateName` フィールドの値がこの UDM フィールドに割り当てられます。
`url`	`security_result.url_back_to_product`	未加工ログの `url` フィールドの値がこの UDM フィールドに割り当てられます。
`user`	`principal.user.userid`	未加工ログの `user` フィールドの値がこの UDM フィールドに割り当てられます。
`vendor`	`metadata.vendor_name`	未加工ログの `vendor` フィールドの値がこの UDM フィールドに割り当てられます。
`version`	`metadata.product_version`	未加工ログの `version` フィールドの値がこの UDM フィールドに割り当てられます。
`WorkFlow`	`target.resource.attribute.labels`	未加工ログの `WorkFlow` フィールドの値が、ターゲットリソースのラベルとして追加されます。
`(Parser Logic)`	`extensions.auth.type`	`MACHINE` にハードコードされています。
`(Parser Logic)`	`security_result.action`	`event_id` などのフィールドに基づいて決定されます。通常は `ALLOW or BLOCK` に設定します。
`(Parser Logic)`	`security_result.category`	Firewall Analyzer イベントの場合は `POLICY_VIOLATION` にハードコードされます。
`(Parser Logic)`	`security_result.description`	他のフィールドに基づいて構築され、イベントのコンテキストと詳細情報を提供します。
`(Parser Logic)`	`security_result.severity`	`event_id,msg,` などのフィールドに基づいて決定されます。通常は `LOW,MEDIUM,` または HIGH に設定します。
`(Parser Logic)`	`metadata.event_type`	`event_id` などのフィールドに基づいて決定されます。たとえば、`USER_LOGIN,USER_LOGOUT,USER_RESOURCE_ACCESS,GENERIC_EVENT,STATUS_UNCATEGORIZED,SCAN_HOST,NETWORK_CONNECTION,` や `STATUS_UPDATE` などがあります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。