Appian Cloud-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Appian Cloud-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.
Appian Cloud ist eine Low-Code-Automatisierungsplattform, mit der Unternehmen Unternehmensanwendungen und ‑workflows erstellen können. Mit Log-Streaming können Sie Audit- und Sicherheitsereignislogs aus Ihrer Appian Cloud-Umgebung über eine IPsec-VPN-Verbindung streamen.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Professional- oder Signature-Lizenz mit Appian Cloud
- Aufzeichnung der URL(s) Ihrer Appian-Umgebung
- IPsec-VPN zwischen Appian Cloud und der Umgebung, in der der Bindplane-Agent bereitgestellt wird
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collectorDer Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: tcplog: listen_address: "0.0.0.0:6514" exporters: chronicle/appian_cloud: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: APPIAN_CLOUD raw_log_field: body service: pipelines: logs/appian_to_chronicle: receivers: - tcplog exporters: - chronicle/appian_cloud
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
listen_address: IP-Adresse und Port, auf die gewartet werden soll:0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)- Port
6514ist der empfohlene Port für das Appian Cloud-Log-Streaming.
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Kunden-ID, die aus der Google SecOps Console kopiert wurdeendpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
Konfigurationsdatei speichern
- Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
- Linux: Drücken Sie
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Drücken Sie
Log-Streaming für Appian Cloud aktivieren
- Erstellen Sie eine Supportanfrage bei Appian mit dem Betreff Enable Log Streaming (Log-Streaming aktivieren) und geben Sie die folgenden Details an:
- Umgebungs-URL(s)
- Gewünschter Netzwerkpfad als IPsec-VPN
- IP-Adresse des Bindplane-Agents
- TCP-Portnummer des Bindplane-Agents (z. B. 6514)
- Der Appian-Support plant ein Wartungsfenster und stellt die Konfiguration bereit.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
available_heap_space_label |
additional.fields |
Zusammengeführt |
cpu_core_count_label |
additional.fields |
Zusammengeführt |
daemon_thread_count_label |
additional.fields |
Zusammengeführt |
data_store_label |
additional.fields |
Zusammengeführt |
devicetimestamp_label |
additional.fields |
Zusammengeführt |
entity_label |
additional.fields |
Zusammengeführt |
execute_time_label |
additional.fields |
Zusammengeführt |
load_average_label |
additional.fields |
Zusammengeführt |
operation_name_label |
additional.fields |
Zusammengeführt |
operation_type_label |
additional.fields |
Zusammengeführt |
permanent_generation_available_label |
additional.fields |
Zusammengeführt |
permanent_generation_used_label |
additional.fields |
Zusammengeführt |
prepare_time_label |
additional.fields |
Zusammengeführt |
retcode_label |
additional.fields |
Zusammengeführt |
session_count_label |
additional.fields |
Zusammengeführt |
tenured_collection_count_label |
additional.fields |
Zusammengeführt |
tenured_collection_time_label |
additional.fields |
Zusammengeführt |
tenured_generation_available_label |
additional.fields |
Zusammengeführt |
tenured_generation_usage_after_collection_label |
additional.fields |
Zusammengeführt |
tenured_generation_used_label |
additional.fields |
Zusammengeführt |
thread_label |
additional.fields |
Zusammengeführt |
total_swap_space_label |
additional.fields |
Zusammengeführt |
total_system_memory_label |
additional.fields |
Zusammengeführt |
total_thread_count_label |
additional.fields |
Zusammengeführt |
transform_time_label |
additional.fields |
Zusammengeführt |
used_heap_space_label |
additional.fields |
Zusammengeführt |
used_swap_space_label |
additional.fields |
Zusammengeführt |
used_system_memory_label |
additional.fields |
Zusammengeführt |
young_cllection_time_label |
additional.fields |
Zusammengeführt |
young_collection_count_label |
additional.fields |
Zusammengeführt |
has_principal_user |
extensions.auth.type |
Zugeordnet: true → AUTHTYPE_UNSPECIFIED |
src_host |
intermediary.hostname |
Direkt zugeordnet |
src_ip |
intermediary.ip |
Zusammengeführt |
time |
metadata.event_timestamp |
Geparst als yyyy-MM-dd HH:mm:ss |
event_type |
metadata.event_type |
Direkt zugeordnet |
device |
metadata.product_event_type |
Direkt zugeordnet |
product_type |
metadata.product_event_type |
Direkt zugeordnet |
http_method |
network.http.method |
Direkt zugeordnet |
useragent |
network.http.parsed_user_agent |
Umbenannt/zugeordnet |
useragent |
network.http.user_agent |
Direkt zugeordnet |
connectionid |
network.session_id |
Direkt zugeordnet |
sessionID |
network.session_id |
Direkt zugeordnet |
session_id |
network.session_id |
Direkt zugeordnet |
domain |
principal.administrative_domain |
Direkt zugeordnet |
application |
principal.application |
Direkt zugeordnet |
host |
principal.asset.hostname |
Direkt zugeordnet |
hostname |
principal.asset.hostname |
Direkt zugeordnet |
IpAddress |
principal.asset.ip |
Zusammengeführt |
host |
principal.hostname |
Direkt zugeordnet |
hostname |
principal.hostname |
Direkt zugeordnet |
IpAddress |
principal.ip |
Zusammengeführt |
src_port |
principal.port |
Direkt zugeordnet |
process_id |
principal.process.pid |
Direkt zugeordnet |
url |
principal.url |
Direkt zugeordnet |
roles |
principal.user.attribute.roles |
Zusammengeführt |
companyname |
principal.user.company_name |
Direkt zugeordnet |
email |
principal.user.email_addresses |
Zusammengeführt |
user_id |
principal.user.email_addresses |
Zugeordnet: N/A → user_id |
modified_by_uuid |
principal.user.product_object_id |
Direkt zugeordnet |
user |
principal.user.product_object_id |
Direkt zugeordnet |
modified_by_username |
principal.user.userid |
Direkt zugeordnet |
userId |
principal.user.userid |
Direkt zugeordnet |
user_id |
principal.user.userid |
Direkt zugeordnet |
username2 |
principal.user.userid |
Direkt zugeordnet |
versionDetails |
security_result.about.platform_version |
Direkt zugeordnet |
outcome_result |
security_result.action |
Zusammengeführt |
security_result_action |
security_result.action |
Zusammengeführt |
act |
security_result.action_details |
Direkt zugeordnet |
status |
security_result.action_details |
Direkt zugeordnet |
sec_result_category |
security_result.category |
Zusammengeführt |
category |
security_result.category_details |
Zusammengeführt |
desc |
security_result.description |
Direkt zugeordnet |
details |
security_result.description |
Direkt zugeordnet |
details_label |
security_result.detection_fields |
Zusammengeführt |
endpoint_label |
security_result.detection_fields |
Zusammengeführt |
execution_count_label |
security_result.detection_fields |
Zusammengeführt |
maximum_execution_time_label |
security_result.detection_fields |
Zusammengeführt |
maximum_response_size_label |
security_result.detection_fields |
Zusammengeführt |
maximum_response_time_label |
security_result.detection_fields |
Zusammengeführt |
mean_execution_time_label |
security_result.detection_fields |
Zusammengeführt |
mean_response_size_label |
security_result.detection_fields |
Zusammengeführt |
minimum_execution_time_label |
security_result.detection_fields |
Zusammengeführt |
minimum_response_size_label |
security_result.detection_fields |
Zusammengeführt |
model_label |
security_result.detection_fields |
Zusammengeführt |
rolesAllow_label |
security_result.detection_fields |
Zusammengeführt |
sqlcmd_label |
security_result.detection_fields |
Zusammengeführt |
status_code_1xx_count_label |
security_result.detection_fields |
Zusammengeführt |
status_code_2xx_count_label |
security_result.detection_fields |
Zusammengeführt |
status_code_3xx_count_label |
security_result.detection_fields |
Zusammengeführt |
status_code_4xx_count_label |
security_result.detection_fields |
Zusammengeführt |
status_code_5xx_count_label |
security_result.detection_fields |
Zusammengeführt |
type_label |
security_result.detection_fields |
Zusammengeführt |
uuid_label |
security_result.detection_fields |
Zusammengeführt |
severity |
security_result.severity |
Zugeordnet: "INFORMATIONAL","INFORMATION","INFO" → INFORMATIONAL, "WARNING", "MEDIUM" → `M... |
detail |
security_result.severity_details |
Direkt zugeordnet |
action1 |
security_result.summary |
Direkt zugeordnet |
msg |
security_result.summary |
Direkt zugeordnet |
object |
security_result.summary |
Direkt zugeordnet |
operation_detail |
security_result.summary |
Direkt zugeordnet |
reason |
security_result.summary |
Direkt zugeordnet |
summary |
security_result.summary |
Direkt zugeordnet |
server_host |
target.asset.hostname |
Direkt zugeordnet |
tar_host |
target.asset.hostname |
Direkt zugeordnet |
src_ip1 |
target.asset.ip |
Zusammengeführt |
hash |
target.file.md5 |
Direkt zugeordnet |
document_name |
target.file.names |
Zusammengeführt |
server_host |
target.hostname |
Direkt zugeordnet |
tar_host |
target.hostname |
Direkt zugeordnet |
src_ip1 |
target.ip |
Zusammengeführt |
commandline |
target.process.command_line |
Direkt zugeordnet |
action_label |
target.resource.attribute.labels |
Zusammengeführt |
environment_label |
target.resource.attribute.labels |
Zusammengeführt |
filters_label |
target.resource.attribute.labels |
Zusammengeführt |
new_value_label |
target.resource.attribute.labels |
Zusammengeführt |
original_value_label |
target.resource.attribute.labels |
Zusammengeführt |
page_group_invoved_label |
target.resource.attribute.labels |
Zusammengeführt |
page_involved_label |
target.resource.attribute.labels |
Zusammengeführt |
record_identifier_label |
target.resource.attribute.labels |
Zusammengeführt |
record_type_name_label |
target.resource.attribute.labels |
Zusammengeführt |
record_type_url_stub_label |
target.resource.attribute.labels |
Zusammengeführt |
setting_new_value_label |
target.resource.attribute.labels |
Zusammengeführt |
setting_old_value_label |
target.resource.attribute.labels |
Zusammengeführt |
site_involved_label |
target.resource.attribute.labels |
Zusammengeführt |
site_url_stub_label |
target.resource.attribute.labels |
Zusammengeführt |
view_label |
target.resource.attribute.labels |
Zusammengeführt |
database |
target.resource.name |
Direkt zugeordnet |
property |
target.resource.name |
Direkt zugeordnet |
record_type_name |
target.resource.name |
Direkt zugeordnet |
resourcename |
target.resource.name |
Direkt zugeordnet |
site_involved |
target.resource.name |
Direkt zugeordnet |
id |
target.resource.product_object_id |
Direkt zugeordnet |
oid |
target.resource.product_object_id |
Direkt zugeordnet |
queryid |
target.resource.product_object_id |
Direkt zugeordnet |
sessionID |
target.resource.product_object_id |
Direkt zugeordnet |
transactionId |
target.resource.product_object_id |
Direkt zugeordnet |
action |
target.resource.resource_subtype |
Direkt zugeordnet |
name |
target.resource.resource_subtype |
Direkt zugeordnet |
user_uuid |
target.user.product_object_id |
Direkt zugeordnet |
username1 |
target.user.userid |
Direkt zugeordnet |
| – | extensions.auth.type |
Konstante: AUTHTYPE_UNSPECIFIED |
| – | metadata.event_type |
Konstante: GENERIC_EVENT |
| – | metadata.log_type |
Konstante: APPIAN_CLOUD |
| – | metadata.product_name |
Konstante: Cloud Platform |
| – | metadata.vendor_name |
Konstante: Appian |
| – | security_result.severity |
Konstante: INFORMATIONAL |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten