Raccogliere i log di Appian Cloud
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log di Appian Cloud in Google Security Operations utilizzando l'agente Bindplane.
Appian Cloud è una piattaforma di automazione low-code che consente alle organizzazioni di creare applicazioni e workflow aziendali. Lo streaming dei log fornisce log degli eventi di controllo e sicurezza dal tuo ambiente Appian Cloud tramite una connessione VPN IPsec.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Licenza Professional o Signature con Appian Cloud
- Record degli URL dell'ambiente Appian
- VPN IPsec tra Appian Cloud e l'ambiente in cui verrà eseguito il deployment dell'agente Bindplane
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: tcplog: listen_address: "0.0.0.0:6514" exporters: chronicle/appian_cloud: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: APPIAN_CLOUD raw_log_field: body service: pipelines: logs/appian_to_chronicle: receivers: - tcplog exporters: - chronicle/appian_cloud
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: Indirizzo IP e porta da ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- La porta
6514è la porta consigliata per lo streaming dei log di Appian Cloud
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente copiato dalla console Google SecOpsendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Abilitare lo streaming dei log per Appian Cloud
- Apri una richiesta di assistenza con Appian con l'oggetto Attiva lo streaming dei log e includi i seguenti dettagli:
- URL ambiente
- Il percorso di rete desiderato, come una VPN IPsec
- Indirizzo IP dell'agente Bindplane
- Numero di porta TCP dell'agente Bindplane (ad esempio, 6514)
- L'assistenza Appian pianifica un periodo di manutenzione e implementa la configurazione.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
available_heap_space_label |
additional.fields |
Unita |
cpu_core_count_label |
additional.fields |
Unita |
daemon_thread_count_label |
additional.fields |
Unita |
data_store_label |
additional.fields |
Unita |
devicetimestamp_label |
additional.fields |
Unita |
entity_label |
additional.fields |
Unita |
execute_time_label |
additional.fields |
Unita |
load_average_label |
additional.fields |
Unita |
operation_name_label |
additional.fields |
Unita |
operation_type_label |
additional.fields |
Unita |
permanent_generation_available_label |
additional.fields |
Unita |
permanent_generation_used_label |
additional.fields |
Unita |
prepare_time_label |
additional.fields |
Unita |
retcode_label |
additional.fields |
Unita |
session_count_label |
additional.fields |
Unita |
tenured_collection_count_label |
additional.fields |
Unita |
tenured_collection_time_label |
additional.fields |
Unita |
tenured_generation_available_label |
additional.fields |
Unita |
tenured_generation_usage_after_collection_label |
additional.fields |
Unita |
tenured_generation_used_label |
additional.fields |
Unita |
thread_label |
additional.fields |
Unita |
total_swap_space_label |
additional.fields |
Unita |
total_system_memory_label |
additional.fields |
Unita |
total_thread_count_label |
additional.fields |
Unita |
transform_time_label |
additional.fields |
Unita |
used_heap_space_label |
additional.fields |
Unita |
used_swap_space_label |
additional.fields |
Unita |
used_system_memory_label |
additional.fields |
Unita |
young_cllection_time_label |
additional.fields |
Unita |
young_collection_count_label |
additional.fields |
Unita |
has_principal_user |
extensions.auth.type |
Mappato: true → AUTHTYPE_UNSPECIFIED |
src_host |
intermediary.hostname |
Mappato direttamente |
src_ip |
intermediary.ip |
Unita |
time |
metadata.event_timestamp |
Analizzato come yyyy-MM-dd HH:mm:ss |
event_type |
metadata.event_type |
Mappato direttamente |
device |
metadata.product_event_type |
Mappato direttamente |
product_type |
metadata.product_event_type |
Mappato direttamente |
http_method |
network.http.method |
Mappato direttamente |
useragent |
network.http.parsed_user_agent |
Rinominate/mappate |
useragent |
network.http.user_agent |
Mappato direttamente |
connectionid |
network.session_id |
Mappato direttamente |
sessionID |
network.session_id |
Mappato direttamente |
session_id |
network.session_id |
Mappato direttamente |
domain |
principal.administrative_domain |
Mappato direttamente |
application |
principal.application |
Mappato direttamente |
host |
principal.asset.hostname |
Mappato direttamente |
hostname |
principal.asset.hostname |
Mappato direttamente |
IpAddress |
principal.asset.ip |
Unita |
host |
principal.hostname |
Mappato direttamente |
hostname |
principal.hostname |
Mappato direttamente |
IpAddress |
principal.ip |
Unita |
src_port |
principal.port |
Mappato direttamente |
process_id |
principal.process.pid |
Mappato direttamente |
url |
principal.url |
Mappato direttamente |
roles |
principal.user.attribute.roles |
Unita |
companyname |
principal.user.company_name |
Mappato direttamente |
email |
principal.user.email_addresses |
Unita |
user_id |
principal.user.email_addresses |
Mappato: N/A → user_id |
modified_by_uuid |
principal.user.product_object_id |
Mappato direttamente |
user |
principal.user.product_object_id |
Mappato direttamente |
modified_by_username |
principal.user.userid |
Mappato direttamente |
userId |
principal.user.userid |
Mappato direttamente |
user_id |
principal.user.userid |
Mappato direttamente |
username2 |
principal.user.userid |
Mappato direttamente |
versionDetails |
security_result.about.platform_version |
Mappato direttamente |
outcome_result |
security_result.action |
Unita |
security_result_action |
security_result.action |
Unita |
act |
security_result.action_details |
Mappato direttamente |
status |
security_result.action_details |
Mappato direttamente |
sec_result_category |
security_result.category |
Unita |
category |
security_result.category_details |
Unita |
desc |
security_result.description |
Mappato direttamente |
details |
security_result.description |
Mappato direttamente |
details_label |
security_result.detection_fields |
Unita |
endpoint_label |
security_result.detection_fields |
Unita |
execution_count_label |
security_result.detection_fields |
Unita |
maximum_execution_time_label |
security_result.detection_fields |
Unita |
maximum_response_size_label |
security_result.detection_fields |
Unita |
maximum_response_time_label |
security_result.detection_fields |
Unita |
mean_execution_time_label |
security_result.detection_fields |
Unita |
mean_response_size_label |
security_result.detection_fields |
Unita |
minimum_execution_time_label |
security_result.detection_fields |
Unita |
minimum_response_size_label |
security_result.detection_fields |
Unita |
model_label |
security_result.detection_fields |
Unita |
rolesAllow_label |
security_result.detection_fields |
Unita |
sqlcmd_label |
security_result.detection_fields |
Unita |
status_code_1xx_count_label |
security_result.detection_fields |
Unita |
status_code_2xx_count_label |
security_result.detection_fields |
Unita |
status_code_3xx_count_label |
security_result.detection_fields |
Unita |
status_code_4xx_count_label |
security_result.detection_fields |
Unita |
status_code_5xx_count_label |
security_result.detection_fields |
Unita |
type_label |
security_result.detection_fields |
Unita |
uuid_label |
security_result.detection_fields |
Unita |
severity |
security_result.severity |
Mappato: "INFORMATIONAL","INFORMATION","INFO" → INFORMATIONAL, "WARNING", "MEDIUM" → `M... |
detail |
security_result.severity_details |
Mappato direttamente |
action1 |
security_result.summary |
Mappato direttamente |
msg |
security_result.summary |
Mappato direttamente |
object |
security_result.summary |
Mappato direttamente |
operation_detail |
security_result.summary |
Mappato direttamente |
reason |
security_result.summary |
Mappato direttamente |
summary |
security_result.summary |
Mappato direttamente |
server_host |
target.asset.hostname |
Mappato direttamente |
tar_host |
target.asset.hostname |
Mappato direttamente |
src_ip1 |
target.asset.ip |
Unita |
hash |
target.file.md5 |
Mappato direttamente |
document_name |
target.file.names |
Unita |
server_host |
target.hostname |
Mappato direttamente |
tar_host |
target.hostname |
Mappato direttamente |
src_ip1 |
target.ip |
Unita |
commandline |
target.process.command_line |
Mappato direttamente |
action_label |
target.resource.attribute.labels |
Unita |
environment_label |
target.resource.attribute.labels |
Unita |
filters_label |
target.resource.attribute.labels |
Unita |
new_value_label |
target.resource.attribute.labels |
Unita |
original_value_label |
target.resource.attribute.labels |
Unita |
page_group_invoved_label |
target.resource.attribute.labels |
Unita |
page_involved_label |
target.resource.attribute.labels |
Unita |
record_identifier_label |
target.resource.attribute.labels |
Unita |
record_type_name_label |
target.resource.attribute.labels |
Unita |
record_type_url_stub_label |
target.resource.attribute.labels |
Unita |
setting_new_value_label |
target.resource.attribute.labels |
Unita |
setting_old_value_label |
target.resource.attribute.labels |
Unita |
site_involved_label |
target.resource.attribute.labels |
Unita |
site_url_stub_label |
target.resource.attribute.labels |
Unita |
view_label |
target.resource.attribute.labels |
Unita |
database |
target.resource.name |
Mappato direttamente |
property |
target.resource.name |
Mappato direttamente |
record_type_name |
target.resource.name |
Mappato direttamente |
resourcename |
target.resource.name |
Mappato direttamente |
site_involved |
target.resource.name |
Mappato direttamente |
id |
target.resource.product_object_id |
Mappato direttamente |
oid |
target.resource.product_object_id |
Mappato direttamente |
queryid |
target.resource.product_object_id |
Mappato direttamente |
sessionID |
target.resource.product_object_id |
Mappato direttamente |
transactionId |
target.resource.product_object_id |
Mappato direttamente |
action |
target.resource.resource_subtype |
Mappato direttamente |
name |
target.resource.resource_subtype |
Mappato direttamente |
user_uuid |
target.user.product_object_id |
Mappato direttamente |
username1 |
target.user.userid |
Mappato direttamente |
| N/D | extensions.auth.type |
Costante: AUTHTYPE_UNSPECIFIED |
| N/D | metadata.event_type |
Costante: GENERIC_EVENT |
| N/D | metadata.log_type |
Costante: APPIAN_CLOUD |
| N/D | metadata.product_name |
Costante: Cloud Platform |
| N/D | metadata.vendor_name |
Costante: Appian |
| N/D | security_result.severity |
Costante: INFORMATIONAL |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.