LDAP-Protokolle der Zertifizierungsstelle erfassen
In diesem Dokument wird beschrieben, wie Sie CA-LDAP-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.
CA Directory (früher Symantec Directory) ist ein LDAP v2/v3-kompatibler Verzeichnisserver, der auf X.500-Standards basiert. Sie bietet Verzeichnisdienste auf Unternehmensniveau mit umfassenden Logging-Funktionen, einschließlich Alarm-, Trace-, Warn-, Abfrage-, Zusammenfassungs-, Verbindungs-, Diagnose-, Aktualisierungs- und Statistiklogs zur Überwachung von Verzeichnisvorgängen und Sicherheitsereignissen.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Netzwerkverbindung zwischen dem Bindplane-Agent und dem CA Directory-Server
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf den CA Directory-Server (Root oder Administrator)
- CA Directory ist installiert und konfiguriert und das Logging ist aktiviert.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert werden soll.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collectorDer Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/ca_directory: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CA_LDAP raw_log_field: body ingestion_labels: env: production source: ca_directory service: pipelines: logs/ca_directory_to_chronicle: receivers: - udplog exporters: - chronicle/ca_directoryErsetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
listen_address: Auf0.0.0.0:514setzen, um an allen Schnittstellen auf UDP-Port 514 zu lauschen.- Verwenden Sie für Linux-Installationen ohne Root-Berechtigung den Port
1514oder höher. - Achten Sie darauf, dass der Port mit dem in der rsyslog-Weiterleitung konfigurierten Port übereinstimmt.
- Verwenden Sie für Linux-Installationen ohne Root-Berechtigung den Port
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Ersetzen SieYOUR_CUSTOMER_IDdurch Ihrecustomer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.endpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com
- USA:
log_type: AufCA_LDAPfestlegen (Chronicle-Aufnahmelabel für CA Directory)ingestion_labels: Optionale Labels zum Filtern und Organisieren
Konfigurationsdatei speichern
Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
So starten Sie den Bindplane-Agent unter Linux neu:
Führen Sie dazu diesen Befehl aus:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
So starten Sie den Bindplane-Agent unter Windows neu:
Wählen Sie eine der folgenden Optionen aus:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
- Drücken Sie
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
CA LDAP-Syslog-Weiterleitung mit rsyslog konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie rsyslog auf dem CA Directory-Server konfigurieren, um Logs an den Bindplane-Agent weiterzuleiten.
Speicherorte von CA Directory-Logdateien ermitteln
Im CA Directory werden Protokolldateien an den folgenden Speicherorten gespeichert:
- Linux:
/opt/CA/Directory/dxserver/logs/ - Windows:
C:\Program Files\CA\Directory\dxserver\logs\
Die Logdateien folgen Namensmustern, die auf dem Namen der DSA basieren (z. B. democorp_alarm, democorp_warn, democorp_trace).
Verfügbare Logtypen
CA Directory generiert die folgenden Logtypen:
- Alarmprotokoll: Kritische Ereignisse (immer aktiviert)
- Warnprotokoll: Fehler und Warnungen
- Trace-Log: Detaillierte Ablaufverfolgung von Vorgängen
- Abfragelog: Detaillierte Vorgangsinformationen mit Zeitstempeln
- Zusammenfassungslog: Zusammenfassungen von Vorgängen
- Verbindungsprotokoll: Ereignisse zum Herstellen und Beenden von Verbindungen
- Diagnoselog: Abgelehnte Vorgänge
- Statistiklog: Betriebsstatistiken pro Minute
- Aktualisierungsprotokoll: Vorgänge zum Hinzufügen, Ändern, Umbenennen und Löschen
- Zeitlog: Informationen zum Timing von Vorgängen
rsyslog unter Linux konfigurieren
Melden Sie sich als Root oder mit sudo-Berechtigungen beim CA Directory-Server an.
Installieren Sie rsyslog, falls es noch nicht installiert ist:
sudo yum install rsyslogOder für Debian/Ubuntu:
sudo apt-get install rsyslogErstellen Sie eine neue rsyslog-Konfigurationsdatei für CA Directory:
sudo nano /etc/rsyslog.d/ca-directory.confFügen Sie die folgende Konfiguration hinzu, um CA Directory-Logs weiterzuleiten:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Monitor CA Directory query logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_query*" Tag="ca-directory-query" Severity="info" Facility="local0") # Monitor CA Directory connection logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_connection*" Tag="ca-directory-connection" Severity="info" Facility="local0") # Monitor CA Directory update logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_update*" Tag="ca-directory-update" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopErsetzen Sie
BINDPLANE_AGENT_IPdurch die IP-Adresse des Bindplane-Agent-Hosts:- Wenn sich der BindPlane-Agent auf demselben Server befindet:
127.0.0.1 - Wenn sich der BindPlane-Agent auf einem anderen Server befindet: Geben Sie die IP-Adresse ein (z. B.
192.168.1.100).
- Wenn sich der BindPlane-Agent auf demselben Server befindet:
Speichern Sie die Konfigurationsdatei:
Drücke
Ctrl+O, dannEnterund dannCtrl+X.Syntax der rsyslog-Konfiguration prüfen:
sudo rsyslogd -N1Starten Sie den rsyslog-Dienst neu:
sudo systemctl restart rsyslogPrüfen Sie, ob rsyslog ausgeführt wird:
sudo systemctl status rsyslogPrüfen Sie die rsyslog-Logs auf Fehler:
sudo tail -f /var/log/messages
rsyslog unter Windows konfigurieren
Laden Sie rsyslog für Windows von der rsyslog-Website herunter und installieren Sie es.
Öffnen Sie die rsyslog-Konfigurationsdatei:
notepad "C:\Program Files\rsyslog\rsyslog.conf"Fügen Sie die folgende Konfiguration hinzu:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopErsetzen Sie
BINDPLANE_AGENT_IPdurch die IP-Adresse des Bindplane-Agent-Hosts.Speichern Sie die Konfigurationsdatei.
Starten Sie den rsyslog-Dienst neu:
net stop rsyslog net start rsyslog
CA Directory-Logging aktivieren
Prüfen Sie, ob die erforderlichen Logtypen in CA Directory aktiviert sind:
Bearbeiten Sie die DSA-Konfigurationsdatei:
- Linux:
/opt/CA/Directory/dxserver/config/servers/democorp.dxc - Windows:
C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
- Linux:
Prüfen Sie die folgenden Logging-Einstellungen oder fügen Sie sie hinzu:
set alarm-log = true; set warn-log = true; set trace-log = true; set query-log = true; set connection-log = true; set update-log = true;Speichern Sie die Konfigurationsdatei.
Starten Sie den CA Directory-DSA neu:
Linux:
dxserver stop democorp dxserver start democorpWindows:
net stop "CA Directory DSA - democorp" net start "CA Directory DSA - democorp"
Logweiterleitung überprüfen
Generieren Sie Testaktivitäten in CA Directory, indem Sie LDAP-Abfragen oder Authentifizierungsversuche durchführen.
Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Logs empfangen werden:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Melden Sie sich in der Google SecOps-Konsole an und prüfen Sie, ob CA Directory-Logs in der Loganzeige angezeigt werden.
Weitere Informationen zum CA Directory-Logging finden Sie in der Broadcom CA Directory-Dokumentation.
Ausführliche Beispiele für die rsyslog-Konfiguration finden Sie im Broadcom-Knowledge Base-Artikel zur zentralen Protokollierung.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name | additional.fields | Zusammengeführt als Labels mit den Schlüsseln „ephemeral_id“, „irm_region“, „irm_environment“, „irm_site“ bzw. „os_name“ |
| host.architecture | hardware.cpu_platform | Wert direkt kopiert |
| logstash.process.host | intermediary.hostname | Wert direkt kopiert |
| logstash.collect.timestamp | metadata.collected_timestamp | Als Zeitstempel mit Datumsfilter geparst |
| msg | metadata.description | Wert direkt kopiert |
| metadata.event_type | Auf „STATUS_UPDATE“ festlegen | |
| agent.type, agent.version | observer.application | Verkettet als „%{agent.type} %{agent.version}“, wenn beide nicht leer sind, andernfalls „%{agent.type}“ |
| agent.type, agent.id | observer.asset_id | Verkettet als „%{agent.type}: %{agent.id}“ |
| agent.hostname | observer.hostname | Wert direkt kopiert |
| host.id | principal.asset.asset_id | Verkettet als „CA_LDAP:%{host.id}“ |
| Hardware | principal.asset.hardware | Aus Hardwareobjekt zusammengeführt |
| host.hostname | principal.hostname | Wert direkt kopiert |
| host.ip | principal.ip | Zusammengeführt aus dem Array „host.ip“ |
| host.mac | principal.mac | Zusammengeführt aus dem Host-MAC-Array |
| host.os.family | principal.platform | Auf „LINUX“ festlegen, wenn „(rhel|redhat)“ übereinstimmt |
| host.os.kernel | principal.platform_patch_level | Wert direkt kopiert |
| host.os.version | principal.platform_version | Wert direkt kopiert |
| log.file.path | principal.process.file.full_path | Wert direkt kopiert |
| syslog_severity | security_result.severity | Wird auf „INFORMATIONAL“ gesetzt, wenn „(?i)(DEFAULT|DEBUG|INFO|NOTICE)“ zutrifft, auf „ERROR“, wenn „(?i)ERROR“ zutrifft, auf „MEDIUM“, wenn „(?i)WARNING“ zutrifft, und auf „HIGH“, wenn „(?i)(CRITICAL|ALERT|EMERGENCY)“ zutrifft. |
| syslog_severity | security_result.severity_details | Wert direkt kopiert |
| metadata.product_name | Auf „CA_LDAP“ festgelegt | |
| metadata.vendor_name | Auf „CA_LDAP“ festgelegt |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten