Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Archer IRM 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Archer IRM 記錄檔擷取至 Google Security Operations。

Archer Integrated Risk Management (IRM) 是治理、風險和法規遵循 (GRC) 平台，可提供使用者活動、安全性事件、登入/登出動作和資料庫作業的稽核記錄。這個平台支援透過 TCP 轉送 CEF 格式的稽核記錄。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Archer 應用程式伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Archer 控制台的管理員存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，必須提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為「RUNNING」。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    tcplog:
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/archer_irm:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ARCHER_IRM
        raw_log_field: body

service:
    pipelines:
        logs/archer_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/archer_irm

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 建議使用通訊埠 6514 做為 Archer IRM TCP 系統記錄檔通訊埠
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列其中一個選項：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 Archer IRM 稽核記錄的系統記錄

在應用程式伺服器上開啟 Archer 控制台。
依序前往「Instance Management」>「All Instances」，然後按兩下目標執行個體。
在「一般」分頁中，找到「稽核」部分，然後勾選「為這個執行個體啟用稽核記錄」核取方塊。
請提供下列設定詳細資料：
- 主機名稱或 IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 「Port」：輸入 Bindplane 代理程式通訊埠編號 (例如 6514)。
- 「IP 版本」：選取「IPv4」。
- IP 流量方法：選取「TCP」。
按一下「測試連線」 (僅在選取 TCP 時可用)，確認連線狀態。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`ArcherInstance`	`additional.fields.ArcherInstance.string_value`	從原始記錄訊息的 `ArcherInstance` 欄位擷取。
`ArcherLog`		系統會剖析這個欄位，並將資料對應至其他 UDM 欄位。
`ArcherVersion`	`additional.fields.ArcherVersion.string_value`	從原始記錄訊息的 `ArcherVersion` 欄位擷取。
`InputParameter`	`additional.fields.InputParameter.string_value`	從原始記錄訊息的 `InputParameter` 欄位擷取。
`LogSourceIdentifier`		系統會剖析這個欄位，並將資料對應至其他 UDM 欄位。
`MethodName`	`additional.fields.MethodName.string_value`	從原始記錄訊息的 `MethodName` 欄位擷取。
`OutputValues`	`additional.fields.OutputValue.string_value`	從原始記錄訊息的 `OutputValues` 欄位擷取。
`Success`	`security_result.summary`	該值會設為 `Success:`，並與原始記錄訊息中的 `Success` 欄位值串連。
`UserId`	`principal.user.userid`	從原始記錄訊息的 `UserId` 欄位擷取。
`UserName`	`principal.user.user_display_name`	從原始記錄訊息的 `UserName` 欄位擷取。
`DB_DRIVER`	`target.resource.attribute.labels.db_driver.value`	從原始記錄訊息的 `DB_DRIVER` 欄位擷取。
`DB_HOST`	`target.resource.attribute.labels.db_host.value`	從原始記錄訊息的 `DB_HOST` 欄位擷取。
`DB_NAME`	`target.resource.attribute.labels.db_name.value`	從原始記錄訊息的 `DB_NAME` 欄位擷取。
`DB_PORT`	`target.resource.attribute.labels.db_port.value`	從原始記錄訊息的 `DB_PORT` 欄位擷取。
`DB_URL`	`target.resource.attribute.labels.db_url.value`	從原始記錄訊息的 `DB_URL` 欄位擷取。
`company_security_event_id`	`metadata.product_log_id`	從原始記錄訊息的 `company_security_event_id` 欄位擷取。
`create_date`	`metadata.event_timestamp`	從 UNIX_MS 格式轉換為時間戳記。
`databasename`	`target.resource.attribute.labels.db_name.value`	如果沒有 `DB_NAME`，則從原始記錄訊息的 `databasename` 欄位擷取。
`encrypt`	`security_result.detection_fields.encrypt.value`	從原始記錄訊息的 `encrypt` 欄位擷取。
`eventid`	`metadata.product_event_type`	從原始記錄訊息的 `eventid` 欄位擷取。
`eventtime`	`metadata.event_timestamp`	從各種格式轉換為時間戳記。
`integratedSecurity`	`security_result.detection_fields.integratedSecurity.value`	從原始記錄訊息的 `integratedSecurity` 欄位擷取。
不適用	`extensions.auth.type`	如果是 USER_LOGIN 和 USER_LOGOUT 事件，請設為 `AUTHTYPE_UNSPECIFIED`。
不適用	`metadata.event_type`	如果記錄是由 grok 模式剖析，請設為 `USER_RESOURCE_ACCESS`。如果 `security_event_name` 為 `User Login`，請設為 `USER_LOGIN`。如果 `security_event_name` 為 `User Logout`，請設為 `USER_LOGOUT`。如果 `security_event_name` 包含 `Security Events`，請設為 `USER_RESOURCE_ACCESS`。否則請設為 `GENERIC_EVENT`。
不適用	`metadata.log_type`	設為 `ARCHER_IRM`。
不適用	`metadata.product_name`	如果記錄是由 grok 模式剖析，請設為 `Archer`。否則請設為 `RSA`。
不適用	`metadata.vendor_name`	如果記錄是由 grok 模式剖析，請設為 `RSA`。否則請設為 `Archer`。
不適用	`principal.ip`	如果記錄是由 grok 模式剖析，請設為 `1.2.3.4`。
不適用	`principal.port`	如果記錄是由 grok 模式剖析，請設為從 `LogSourceIdentifier` 擷取的值。
不適用	`security_result.action`	如果 `Success` 是 `True`，則設為 `ALLOW`，否則設為 `BLOCK`。
不適用	`target.resource.resource_type`	如果存在任何資料庫相關欄位，請設為 `DATABASE`。
`source_user`	`principal.user.userid`	從原始記錄訊息的 `source_user` 欄位擷取。
`target_user`	`target.user.userid`	從原始記錄訊息的 `target_user` 欄位擷取。
`trustServerCertificate`	`security_result.detection_fields.trustServerCertificate.value`	從原始記錄訊息的 `trustServerCertificate` 欄位擷取。
`version`	`metadata.product_version`	從原始記錄訊息的 `version` 欄位擷取。

變更記錄

查看這個剖析器的變更記錄

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。