收集 BeyondTrust 远程支持日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 BeyondTrust Remote Support(以前称为 Bomgar)日志注入到 Google Security Operations。
BeyondTrust Remote Support 是一种远程访问解决方案,可针对会话活动、账号事件、登录事件和配置更改生成 syslog 消息。该解析器可对字段进行标准化处理,并将其映射到统一数据模型 (UDM)。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 BeyondTrust 远程支持设备之间的网络连接
- 如果在代理后面运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 BeyondTrust Remote Support 的管理员访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载数据注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为 正在运行。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/bomgar: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BOMGAR raw_log_field: body service: pipelines: logs/bomgar_to_chronicle: receivers: - tcplog exporters: - chronicle/bomgar
配置参数
替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0侦听所有接口(推荐)- 端口
514是标准 syslog 端口(在 Linux 上需要 root 权限;对于非 root 用户,请使用1514)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:从 Google SecOps 控制台复制的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
```bash sudo systemctl status observiq-otel-collector ```检查日志是否存在错误:
```bash sudo journalctl -u observiq-otel-collector -f ```
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置从 BeyondTrust Remote Support 导出 syslog
- 登录您的 BeyondTrust 远程支持。
- 依次前往安全性 > 设备管理。
- 前往 Syslog 部分,然后设置以下值:
- 远程 Syslog 服务器:输入 syslog 主机服务器 (Bindplane) 的主机名或 IP 地址。您最多可以添加三个 syslog 服务器。
- 消息格式:选择 RFC 5424。
- 端口:输入 syslog 主机服务器 (Bindplane) 的端口。
- 点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
message |
about |
已映射:CEF → about |
deviceNtDomain |
about.administrative_domain |
已重命名/已映射 |
deviceExternalId |
about.asset.asset_id |
直接映射 |
device_product |
about.asset.asset_id |
直接映射 |
device_vendor |
about.asset.asset_id |
直接映射 |
fileHash |
about.file.full_path |
直接映射 |
filePath |
about.file.full_path |
已重命名/已映射 |
_hash |
about.file.sha256 |
已重命名/已映射 |
fileHash |
about.file.sha256 |
已重命名/已映射 |
fsize |
about.file.size |
已重命名/已映射 |
dvchost |
about.hostname |
已重命名/已映射 |
ips |
about.ip |
已合并 |
message |
about.ip |
已映射:CEF → ips |
dvc_mac |
about.mac |
已映射:slot → mac_address |
dvcmac |
about.mac |
已合并 |
mac_address |
about.mac |
已合并 |
message |
about.mac |
已映射:CEF → mac_address、CEF → dvcmac |
deviceTranslatedAddress |
about.nat_ip |
已合并 |
message |
about.nat_ip |
已映射:CEF → deviceTranslatedAddress |
Emne |
about.process.command_line |
直接映射 |
Path |
about.process.command_line |
直接映射 |
Subject |
about.process.command_line |
直接映射 |
deviceProcessName |
about.process.command_line |
已重命名/已映射 |
dvcpid |
about.process.pid |
已重命名/已映射 |
message |
about.resource.attribute.permissions |
已映射:CEF → permissions |
permissions |
about.resource.attribute.permissions |
已合并 |
additional_cfp1 |
additional.fields |
已合并 |
additional_cfp2 |
additional.fields |
已合并 |
additional_cfp3 |
additional.fields |
已合并 |
additional_cfp4 |
additional.fields |
已合并 |
additional_cn1 |
additional.fields |
已合并 |
additional_cn2 |
additional.fields |
已合并 |
additional_cn3 |
additional.fields |
已合并 |
additional_cs1 |
additional.fields |
已合并 |
additional_cs2 |
additional.fields |
已合并 |
additional_cs3 |
additional.fields |
已合并 |
additional_cs4 |
additional.fields |
已合并 |
additional_cs5 |
additional.fields |
已合并 |
additional_cs6 |
additional.fields |
已合并 |
additional_cs7 |
additional.fields |
已合并 |
additional_devicePayloadId |
additional.fields |
已合并 |
additional_eventId |
additional.fields |
已合并 |
additional_flexString1 |
additional.fields |
已合并 |
additional_fname |
additional.fields |
已合并 |
cs2 |
additional.fields |
已映射:arc_test → additional_cs2 |
cs5_label |
additional.fields |
已合并 |
message |
additional.fields |
映射的值(共 19 个,例如 CEF → additional_eventId、CEF → `additional_devicePayloa... |
_extensions |
extensions |
已重命名/已映射 |
_intermediary |
intermediary |
已合并 |
message |
intermediary |
已映射:CEF → _intermediary |
_metadata |
metadata |
已重命名/已映射 |
meta_desc |
metadata.description |
直接映射 |
msg |
metadata.description |
已重命名/已映射 |
Generated |
metadata.event_timestamp |
解析为 yyyy-MM-ddTHH:mm:ss |
Received |
metadata.event_timestamp |
解析为 yyyy-MM-ddTHH:mm:ss |
datetime |
metadata.event_timestamp |
解析为 RFC 3339 |
dtPostTime |
metadata.event_timestamp |
解析为 yyyy-dd-MM HH:mm:ss |
rt |
metadata.event_timestamp |
解析为 yyyy-MM-ddTHH:mm:ssZ |
when |
metadata.event_timestamp |
解析为 UNIX |
_event_type |
metadata.event_type |
直接映射 |
event_name |
metadata.event_type |
已映射:"LogSpyware","LogPredictiveMachineLearning" → SCAN_UNCATEGORIZED |
message |
metadata.event_type |
映射:CEF → PROCESS_UNCATEGORIZED、CEF → SCAN_UNCATEGORIZED、CEF → `USER_RESOURC... |
device_event_class_id |
metadata.product_event_type |
直接映射 |
eventName |
metadata.product_event_type |
直接映射 |
event_name |
metadata.product_event_type |
直接映射 |
sEventID |
metadata.product_event_type |
直接映射 |
externalId |
metadata.product_log_id |
直接映射 |
when |
metadata.product_log_id |
直接映射 |
device_product |
metadata.product_name |
直接映射 |
message |
metadata.product_name |
已映射:CEF → BeyondTrust Remote Support |
device_version |
metadata.product_version |
直接映射 |
device_vendor |
metadata.vendor_name |
已重命名/已映射 |
message |
metadata.vendor_name |
已映射:CEF → BeyondTrust Bomgar |
app_protocol_output |
network.application_protocol |
直接映射 |
deviceDirection |
network.direction |
映射:0 → INBOUND,1 → OUTBOUND |
message |
network.direction |
已映射:CEF → INBOUND、CEF → OUTBOUND |
requestMethod |
network.http.method |
已重命名/已映射 |
requestClientApplication |
network.http.user_agent |
已重命名/已映射 |
ip_protocol_out |
network.ip_protocol |
直接映射 |
in |
network.received_bytes |
已重命名/已映射 |
out |
network.sent_bytes |
已重命名/已映射 |
_principal |
principal |
已重命名/已映射 |
sntdom |
principal.administrative_domain |
已重命名/已映射 |
sourceServiceName |
principal.application |
已重命名/已映射 |
Group_name |
principal.group.group_display_name |
直接映射 |
Gruppenavn |
principal.group.group_display_name |
直接映射 |
Device_name |
principal.hostname |
直接映射 |
Enhetsnavn |
principal.hostname |
直接映射 |
shost |
principal.hostname |
已重命名/已映射 |
message |
principal.ip |
已映射:CEF → principal_ip、CEF → shost |
principal_ip |
principal.ip |
已合并 |
shost |
principal.ip |
已合并 |
mac |
principal.mac |
已合并 |
message |
principal.mac |
已映射:CEF → mac |
message |
principal.nat_ip |
已映射:CEF → sourceTranslatedAddress |
sourceTranslatedAddress |
principal.nat_ip |
已合并 |
sourceTranslatedPort |
principal.nat_port |
已重命名/已映射 |
spt |
principal.port |
已重命名/已映射 |
sproc |
principal.process.command_line |
已重命名/已映射 |
spid |
principal.process.pid |
已重命名/已映射 |
message |
principal.user.attribute.roles |
已映射:CEF → principal_role |
principal_role |
principal.user.attribute.roles |
已合并 |
suser |
principal.user.user_display_name |
直接映射 |
suid |
principal.user.userid |
已重命名/已映射 |
_security_result |
security_result |
已合并 |
message |
security_result |
已映射:CEF → security_result、CEF → _security_result |
_action |
security_result.action |
已合并 |
act |
security_result.action |
映射:accept → _action,deny → _action |
message |
security_result.action |
已映射:CEF → _action |
Action_Taken |
security_result.action_details |
直接映射 |
act |
security_result.action_details |
直接映射 |
cat |
security_result.category_details |
已合并 |
message |
security_result.category_details |
已映射:CEF → cat |
Scan_Type |
security_result.description |
直接映射 |
Type |
security_result.description |
直接映射 |
msg_data_2 |
security_result.description |
直接映射 |
infection_channel_label |
security_result.detection_fields |
已合并 |
message |
security_result.detection_fields |
映射的值(总共 7 个,例如 CEF → operation_label、CEF → operasjon_label、CEF → `... |
operasjon_label |
security_result.detection_fields |
已合并 |
operation_label |
security_result.detection_fields |
已合并 |
permission_label |
security_result.detection_fields |
已合并 |
spyware_Grayware_Type_label |
security_result.detection_fields |
已合并 |
threat_probability_label |
security_result.detection_fields |
已合并 |
tillatelse_label |
security_result.detection_fields |
已合并 |
mwProfile |
security_result.rule_name |
直接映射 |
message |
security_result.severity |
已映射:CEF → LOW、CEF → MEDIUM、CEF → HIGH、CEF → CRITICAL |
severity |
security_result.severity |
映射:"0", "1", "2", "3", "LOW" → LOW,`"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"... |
Result |
security_result.summary |
直接映射 |
appcategory |
security_result.summary |
直接映射 |
reason |
security_result.summary |
已重命名/已映射 |
Spyware |
security_result.threat_name |
直接映射 |
Unknown_Threat |
security_result.threat_name |
直接映射 |
Virus_Malware_Name |
security_result.threat_name |
直接映射 |
oldFilePath |
src.file.full_path |
已重命名/已映射 |
oldFileSize |
src.file.size |
已重命名/已映射 |
message |
src.resource.attribute.permissions |
已映射:CEF → old_permissions |
old_permissions |
src.resource.attribute.permissions |
已合并 |
_target |
target |
已重命名/已映射 |
dntdom |
target.administrative_domain |
已重命名/已映射 |
destinationServiceName |
target.application |
已重命名/已映射 |
temp_dhost |
target.hostname |
直接映射 |
IPv6_Address |
target.ip |
已合并 |
dst_ip |
target.ip |
已合并 |
ipv6 |
target.ip |
已映射:- → IPv6_Address |
message |
target.ip |
已映射:CEF → dst_ip、CEF → IPv6_Address |
mac_address |
target.mac |
已合并 |
message |
target.mac |
已映射:CEF → mac_address |
destination_translated_address |
target.nat_ip |
已合并 |
message |
target.nat_ip |
已映射:CEF → destination_translated_address |
destinationTranslatedPort |
target.nat_port |
已重命名/已映射 |
dpt |
target.port |
已重命名/已映射 |
dproc |
target.process.command_line |
已重命名/已映射 |
File_name |
target.process.file.full_path |
直接映射 |
Infected_Resource |
target.process.file.full_path |
直接映射 |
Object |
target.process.file.full_path |
直接映射 |
Objekt |
target.process.file.full_path |
直接映射 |
dpid |
target.process.pid |
已重命名/已映射 |
message |
target.resource.attribute.labels |
已映射:CEF → resource_Type_label |
resource_Type_label |
target.resource.attribute.labels |
已合并 |
request |
target.url |
直接映射 |
message |
target.user.attribute.roles |
已映射:CEF → target_role |
target_role |
target.user.attribute.roles |
已合并 |
CustomerName |
target.user.user_display_name |
直接映射 |
temp_duser |
target.user.user_display_name |
直接映射 |
Bruker |
target.user.userid |
直接映射 |
User_value |
target.user.userid |
直接映射 |
temp_duid |
target.user.userid |
直接映射 |
| 不适用 | metadata.event_type |
常量:PROCESS_UNCATEGORIZED |
| 不适用 | metadata.product_name |
常量:BeyondTrust Remote Support |
| 不适用 | metadata.vendor_name |
常量:BeyondTrust Bomgar |
| 不适用 | network.direction |
常量:INBOUND |
| 不适用 | security_result.severity |
常量:LOW |
更新日志
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。