本頁面由 Cloud Translation API 翻譯而成。

收集 ArcSight CEF 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 ArcSight CEF (通用事件格式) 記錄檔擷取至 Google Security Operations。剖析器會將原始資料轉換為具結構性的統一資料模型 (UDM) 格式。這項服務會從 CEF 標頭和擴充功能中擷取欄位，將這些欄位對應至 UDM 欄位，並執行特定邏輯，根據擷取的資訊將使用者登入、網路連線和資源存取等事件分類。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd
如果透過 Proxy 執行，防火牆通訊埠已開啟
主機上安裝 ArcSight SmartConnector 8.4 以上版本，且主機可透過網路存取 Bindplane 代理程式
OpenText 入口網站的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCSIGHT_CEF'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」主控台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

下載 ArcSight SmartConnector

登入 OpenText 支援入口網站。
尋找並下載適用於 Linux 的最新 ArcSight SmartConnector。
例如：ArcSight-Connector-Linux64-8.4.0.8499.0.bin。

安裝 ArcSight SmartConnector

將 .bin 檔案上傳至 SmartConnector 伺服器：

scp ArcSight-Connector-Linux64-8.4.0.8499.0.bin user@your-smartconnector-host:/tmp

使用 SSH 登入 SmartConnector 伺服器，然後執行：

cd /tmp
chmod +x ArcSight-Connector-Linux64-8.4.0.8499.0.bin
./ArcSight-Connector-Linux64-8.4.0.8499.0.bin

按照互動式安裝程式的指示操作：
- 選取安裝目錄 (例如 /opt/arcsight/connectors/current)。
- 接受授權。
- 系統出現提示時，選取「安裝連接器」。

設定 ArcSight SmartConnector，將 CEF 傳送至 Syslog

在 SmartConnector 主機中，啟動目的地精靈：

cd /opt/arcsight/connectors/current/bin
./arcsight connectors

在精靈中執行下列操作：
- 選取「新增目的地」。
- 選取「CEF Syslog」。
請提供下列設定詳細資料：
- 主機/IP：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
- 「通訊協定」：選取「UDP」。
完成設定並重新啟動連接器：
```
./arcsight agents
```
檢查連線狀態 (例如尋找 Successfully connected to syslog: X.X.X.X:514)。
```
tail -f /opt/arcsight/connectors/current/logs/agent.log
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	security_result.action_details	直接對應至「`act`」欄位。
agt	principal.ip	直接對應至「`agt`」欄位。
agt	principal.asset.ip	直接對應至「`agt`」欄位。
應用程式	network.application_protocol	直接對應至「`app`」欄位。
art	metadata.event_timestamp.seconds	直接對應至「`art`」欄位。
cs2	additional.fields.value.string_value	直接從 `cs2` 欄位對應，前提是 `cs2Label` 為 `EventlogCategory`。
cs2Label	additional.fields.key	當值為 `EventlogCategory` 時，直接從 `cs2Label` 欄位對應。
cs3	additional.fields.value.string_value	直接從 `cs3` 欄位對應，前提是 `cs3Label` 為 `Process ID`。
cs3Label	additional.fields.key	當值為 `Process ID` 時，直接從 `cs3Label` 欄位對應。
cs5	additional.fields.value.string_value	直接從 `cs5` 欄位對應，前提是 `cs5Label` 為 `Authentication Package Name`。
cs5Label	additional.fields.key	當值為 `Authentication Package Name` 時，直接從 `cs5Label` 欄位對應。
cs6	additional.fields.value.string_value	直接從 `cs6` 欄位對應，前提是 `cs6Label` 為 `Logon GUID`。
cs6Label	additional.fields.key	當值為 `Logon GUID` 時，直接從 `cs6Label` 欄位對應。
dhost	about.hostname	直接對應至「`dhost`」欄位。
dhost	target.hostname	直接對應至「`dhost`」欄位。
dntdom	about.administrative_domain	直接對應至「`dntdom`」欄位。
dntdom	target.administrative_domain	直接對應至「`dntdom`」欄位。
dproc	about.process.command_line	直接對應至「`dproc`」欄位。
dproc	target.process.command_line	直接對應至「`dproc`」欄位。
dst	principal.ip	直接對應至「`dst`」欄位。
dst	principal.asset.ip	直接對應至「`dst`」欄位。
dst	target.ip	直接對應至「`dst`」欄位。
duid	target.user.userid	直接對應至「`duid`」欄位。
duser	target.user.user_display_name	直接對應至「`duser`」欄位。
dvc	about.ip	直接對應至「`dvc`」欄位。
dvchost	about.hostname	直接對應至「`dvchost`」欄位。
eventId	additional.fields.value.string_value	直接對應至「`eventId`」欄位。
externalId	metadata.product_log_id	直接對應至「`externalId`」欄位。
fname	additional.fields.value.string_value	直接對應至「`fname`」欄位。
msg	metadata.description	直接對應至「`msg`」欄位。
proto	network.ip_protocol	直接對應至「`proto`」欄位。將通訊協定名稱轉譯為對應的常數 (例如 `tcp` 至 `TCP`)。
rt	metadata.event_timestamp.seconds	直接對應至「`rt`」欄位。
shost	about.hostname	直接對應至「`shost`」欄位。
shost	principal.hostname	直接對應至「`shost`」欄位。
src	principal.ip	直接對應至「`src`」欄位。
src	principal.asset.ip	直接對應至「`src`」欄位。
src	target.ip	直接對應至「`src`」欄位。
sproc	principal.process.command_line	直接對應至「`sproc`」欄位。
spt	principal.port	直接對應至「`spt`」欄位。
spt	target.port	直接對應至「`spt`」欄位。
additional.EventRecordID	additional.fields.value.string_value	直接對應至「`ad.EventRecordID`」欄位。
additional.ThreadID	additional.fields.value.string_value	直接對應至「`ad.ThreadID`」欄位。
additional.Opcode	additional.fields.value.string_value	直接對應至「`ad.Opcode`」欄位。
additional.ProcessID	additional.fields.value.string_value	直接對應至「`ad.ProcessID`」欄位。
additional.TargetDomainName	additional.fields.value.string_value	直接對應至「`ad.TargetDomainName`」欄位。
additional.Version	additional.fields.value.string_value	直接對應至「`ad.Version`」欄位。
deviceExternalId	about.asset.hardware.serial_number	直接對應至「`deviceExternalId`」欄位。
deviceInboundInterface	additional.fields.value.string_value	直接對應至「`deviceInboundInterface`」欄位。
deviceOutboundInterface	additional.fields.value.string_value	直接對應至「`deviceOutboundInterface`」欄位。
PanOSConfigVersion	security_result.detection_fields.value	直接對應至「`PanOSConfigVersion`」欄位。
PanOSContentVersion	security_result.detection_fields.value	直接對應至「`PanOSContentVersion`」欄位。
PanOSDGHierarchyLevel1	security_result.detection_fields.value	直接對應至「`PanOSDGHierarchyLevel1`」欄位。
PanOSDestinationLocation	target.location.country_or_region	直接對應至「`PanOSDestinationLocation`」欄位。
PanOSRuleUUID	metadata.product_log_id	直接對應至「`PanOSRuleUUID`」欄位。
PanOSThreatCategory	security_result.category_details	直接對應至「`PanOSThreatCategory`」欄位。
PanOSThreatID	security_result.threat_id	直接對應至「`PanOSThreatID`」欄位。
	about.asset.asset_id	由 `Palo Alto Networks.`、供應商名稱 (`LF`) 和 `deviceExternalId` 欄位串連產生。
	extensions.auth.type	如果 `event_name` 欄位包含 `logged on`，請設為 `AUTHTYPE_UNSPECIFIED`。
	metadata.description	如果 `description` 欄位包含 `by`，後面接著 IP 位址，系統會擷取該 IP 位址，並對應至 `principal.ip` 和 `principal.asset.ip`。
	metadata.event_type	系統會根據各種欄位 (包括 `event_name`、`principal_`、`target_` 和 `device_event_class_id`) 的一系列條件式檢查結果，判斷是否符合資格。系統會根據可用資訊，判斷最合適的事件類型。
	metadata.log_type	設為 `ARCSIGHT_CEF`。
	metadata.product_event_type	由 `\[`, the `device_event_class_id` field, `\] -` 和 `name` 欄位串連而成。
	metadata.product_name	如果 `product_name` 欄位為 `LF`，請設為 `NGFW`。
	principal.asset.ip	如果 `description` 欄位包含 `by`，後面接著 IP 位址，系統會擷取該 IP 位址，並對應至 `principal.ip` 和 `principal.asset.ip`。
	principal.ip	如果 `description` 欄位包含 `by`，後面接著 IP 位址，系統會擷取該 IP 位址，並對應至 `principal.ip` 和 `principal.asset.ip`。
	security_result.action	如果 `act` 欄位為 `alert`，請設為 `ALLOW`，否則請設為 `BLOCK`。
	security_result.severity	如果 `sev` 欄位大於或等於 7，請設為 `HIGH`，否則請設為 `LOW`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。