Attivo Networks BOTsink-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Attivo Networks BOTsink-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser versucht zuerst, eingehende Logeinträge als JSON zu parsen. Wenn das nicht gelingt, werden Felder aus Nachrichten im Common Event Format (CEF) mit einer Reihe von Grok-Mustern extrahiert. Dabei werden verschiedene Formate und potenzielle Fehler berücksichtigt. Schließlich werden die extrahierten Felder dem Unified Data Model (UDM) zugeordnet, um die Daten mit zusätzlichem Kontext anzureichern und die Ausgabe zu standardisieren.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, müssen die Firewall ports geöffnet sein.
Privilegierter Zugriff auf Attivo Networks

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installation unter Windows

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation unter Linux

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in der Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ und unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yaml so:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ATTIVO'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Attivo Networks BOTsink konfigurieren

Melden Sie sich in der Web-UI von Attivo Networks an.
Rufen Sie Administration > Management > Syslog auf.
Klicken Sie auf Hinzufügen , um ein neues Syslog-Profil zu erstellen.
Geben Sie einen aussagekräftigen Namen für das Profil ein.
Wählen Sie unter Event Forwarding (Ereignisweiterleitung) die Option Enabled (Aktiviert) aus.
Konfigurieren Sie die BOTsink-Standards:
- Very Low (Sehr niedrig): Wählen Sie Informational (Information) aus.
- Low (Niedrig): Wählen Sie Warning (Warnung) aus.
- Medium (Mittel): Wählen Sie Alert (Benachrichtigung) aus.
- High (Hoch): Wählen Sie Critical (Kritisch) aus.
- Very High (Sehr hoch): Wählen Sie Emergency (Notfall) aus.
- Wählen Sie unter Message Format (Nachrichtenformat) die Option CEF aus.
Wählen Sie im Profilbereich Add New Connection (Neue Verbindung hinzufügen) aus.
Geben Sie die folgenden Konfigurationsdetails an:
- Server Name (Servername): Geben Sie einen aussagekräftigen Namen ein, mit dem Sie Google SecOps identifizieren können.
- Profile Name (Profilname): Wählen Sie das zuvor erstellte CEF-Syslog-Profil aus.
- IP address (IP-Adresse): Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514 für UDP.
- Protocol (Protokoll): Wählen Sie UDP aus.
Klicken Sie auf Test Connection (Verbindung testen) und prüfen Sie, ob Sie die Testdaten im Bindplane-Agent und in Google SecOps erhalten.
Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
alertID	read_only_udm.metadata.product_log_id	Der Wert wird aus dem Feld `alertID` übernommen.
cat	read_only_udm.security_result.action_details	Der Wert wird aus dem Feld `cat` übernommen.
CEFDeviceProduct	read_only_udm.metadata.product_name	Der Wert wird aus dem Feld `CEFDeviceProduct` übernommen.
CEFDeviceVendor	read_only_udm.metadata.vendor_name	Der Wert wird aus dem Feld `CEFDeviceVendor` übernommen.
CEFDeviceVersion	read_only_udm.metadata.product_version	Der Wert wird aus dem Feld `CEFDeviceVersion` übernommen.
CEFName		Wird verwendet, um die Felder `operation`, `result`, `module` und `descrip` zu extrahieren.
CEFSeverity	read_only_udm.security_result.severity	Wird anhand des Feldes `CEFSeverity` gemäß den folgenden Regeln zugeordnet: - `error` oder `warning`: `HIGH` - `(?i)critical`: `CRITICAL` - `(?i)notice` oder `(?i)MEDIUM`: `MEDIUM` - `information`, `info`, `Very-Low` oder `Low`: `LOW`
CEFSignatureID	read_only_udm.security_result.rule_id	Der Wert wird aus dem Feld `CEFSignatureID` übernommen.
cef_version	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `cef_version` übernommen.
	read_only_udm.additional.fields.key	Statischer Wert: `CEFVersion`
descrip	read_only_udm.metadata.description	Der Wert wird aus dem Feld `descrip` übernommen.
dest_domain	read_only_udm.target.domain.name	Der Wert wird aus dem Feld `dest_domain` übernommen.
dhost	read_only_udm.target.hostname	Der Wert wird aus dem Feld `dhost` übernommen, wenn `service` gleich `NETBIOS` ist.
dIPDomain	read_only_udm.target.domain.name	Der Wert wird aus dem Feld `dIPDomain` übernommen, wenn `dest_domain` leer ist.
dst	read_only_udm.target.ip	Der Wert wird aus dem Feld `dst` übernommen.
dst_os	read_only_udm.target.asset.platform_software.platform_version	Der Wert wird aus dem Feld `dst_os` übernommen.
dpt	read_only_udm.target.port	Der Wert wird aus dem Feld `dpt` übernommen und in eine Ganzzahl konvertiert.
dvc	read_only_udm.principal.hostname, read_only_udm.target.ip, read_only_udm.intermediary.hostname	Die Logik hängt von den Werten der Felder `dvc`, `src` und `sip` ab. Je nach Verfügbarkeit und Format dieser Felder kann sie dem Hostnamen des Prinzipals, der Ziel-IP oder dem Hostnamen des Vermittlers zugeordnet werden.
intf	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `intf` übernommen und in einen String konvertiert.
	read_only_udm.additional.fields.key	Statischer Wert: `intf`
mitreTacticName	read_only_udm.security_result.rule_name	Der Wert wird aus dem Feld `mitreTacticName` übernommen.
mitreTechniqueId	read_only_udm.security_result.detection_fields.value	Der Wert wird aus dem Feld `mitreTechniqueId` übernommen.
	read_only_udm.security_result.detection_fields.key	Statischer Wert: `Technique name`
mitreTechniqueName	read_only_udm.security_result.detection_fields.value	Der Wert wird aus dem Feld `mitreTechniqueName` übernommen.
	read_only_udm.security_result.detection_fields.key	Statischer Wert: `Technique name`
module	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `module` übernommen.
	read_only_udm.additional.fields.key	Statischer Wert: `module`
msg	read_only_udm.metadata.description	Der Wert wird aus dem Feld `msg` übernommen, nachdem das Feld `protocol` extrahiert wurde.
operation	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `operation` übernommen.
	read_only_udm.additional.fields.key	Statischer Wert: `operation`
protocol	read_only_udm.network.ip_protocol	Der Wert wird aus dem Feld `protocol` übernommen, wenn es entweder `TCP` oder `UDP` ist.
result	read_only_udm.security_result.action	Wird anhand der folgenden Regeln aus dem Feld `result` zugeordnet: - `(?i)SUCCESS` oder `(?i)ALLOW`: `ALLOW` - `CHALLENGE`: `CHALLENGE` - `FAILURE`, `DENY`, `SKIPPED`, oder `RATE_LIMIT`: `BLOCK`
rt	read_only_udm.metadata.event_timestamp	Der Wert wird aus dem Feld `rt` übernommen und als UNIX-Zeitstempel in Millisekunden geparst.
shost	read_only_udm.principal.hostname	Der Wert wird aus dem Feld `shost` übernommen.
sip	read_only_udm.principal.hostname, read_only_udm.principal.ip	Die Logik hängt von den Werten der Felder `dvc` und `sip` ab. Je nach Verfügbarkeit und Format dieser Felder kann sie dem Hostnamen oder der IP-Adresse des Prinzipals zugeordnet werden.
smac	read_only_udm.principal.mac	Der Wert wird aus dem Feld `smac` übernommen.
source	read_only_udm.principal.hostname	Der Wert wird aus dem Feld `source` übernommen.
source_domain	read_only_udm.principal.domain.name	Der Wert wird aus dem Feld `source_domain` übernommen.
src	read_only_udm.principal.ip	Der Wert wird aus dem Feld `src` übernommen.
subscriberName	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `subscriberName` übernommen.
	read_only_udm.additional.fields.key	Statischer Wert: `Subscriber Name`
suser	read_only_udm.principal.user.userid, read_only_udm.principal.user.user_display_name	Der Wert wird aus dem Feld `suser` übernommen, nachdem der Nutzername extrahiert wurde.
threshold	read_only_udm.additional.fields.value.string_value	Der Wert wird aus dem Feld `threshold` übernommen.
	read_only_udm.additional.fields.key	Statischer Wert: `arp-scan-threshold`
usrname	read_only_udm.principal.user.email_addresses	Der Wert wird aus dem Feld `usrname` übernommen, wenn es nicht leer oder `N/A` ist.
vlan	read_only_udm.principal.labels.value	Der Wert wird aus dem Feld `vlan` übernommen.
	read_only_udm.principal.labels.key	Statischer Wert: `vlan`
	read_only_udm.metadata.event_type	Wird anhand der Werte der Felder `src`, `smac`, `shost`, `dst`, `protocol`, `dvc` und `service` bestimmt. Mögliche Werte sind: `SCAN_NETWORK`, `NETWORK_CONNECTION`, `NETWORK_UNCATEGORIZED`, `STATUS_UPDATE` oder `GENERIC_EVENT`.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten