CipherTrust Manager のログを収集する

このドキュメントでは、Bindplane エージェントを使用して CipherTrust Manager ログを Google Security Operations に取り込む方法について説明します。

始める前に

次の前提条件を満たしていることを確認してください。

• Google SecOps インスタンス
• Windows Server 2016 以降、または systemd を使用する Linux ホスト
• Bindplane エージェントと CipherTrust Manager 間のネットワーク接続
• プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
• CipherTrust Manager ウェブ コンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [収集エージェント] に移動します。
3. Ingestion Authentication File をダウンロードします。

4. Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [プロファイル] に移動します。

3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

2. 次のコマンドを実行します。

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. インストールが完了するまで待ちます。

4. 次のコマンドを実行して、インストールの内容を確認します。

   sc query observiq-otel-collector
   

   サービスは RUNNING と表示されます。

Linux のインストール

1. root 権限または sudo 権限でターミナルを開きます。

2. 次のコマンドを実行します。

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. インストールが完了するまで待ちます。

4. 次のコマンドを実行して、インストールの内容を確認します。

   sudo systemctl status observiq-otel-collector
   

   サービスが [active (running)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

• Linux:

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows:

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

構成ファイルを編集します。

• config.yaml の内容全体を次の構成に置き換えます。

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/ciphertrust_manager:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<customer_id>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: CIPHERTRUST_MANAGER
          raw_log_field: body
  
  service:
      pipelines:
          logs/ciphertrust_manager_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/ciphertrust_manager
  

構成パラメータ

各プレースホルダを次のように置き換えます。

• レシーバーの構成:

  • listen_address: リッスンする IP アドレスとポート:
    • すべてのインターフェースでリッスンする 0.0.0.0（推奨）
    • ポート 514 は標準の syslog ポートです（Linux で root が必要。root 以外の場合は 1514 を使用）

• エクスポータの構成:

  • creds_file_path: 取り込み認証ファイルのフルパス:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: Google SecOps コンソールからコピーしたお客様 ID
  • endpoint: リージョナル エンドポイント URL:
    • 米国: malachiteingestion-pa.googleapis.com
    • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
    • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
    • 完全なリストについては、リージョン エンドポイントをご覧ください。

構成ファイルを保存する

• 編集後、ファイルを保存します。
  • Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
  • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

• Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

  sudo systemctl restart observiq-otel-collector
  

  1. サービスが実行されていることを確認します。

     sudo systemctl status observiq-otel-collector
     

  2. ログでエラーを確認します。

     sudo journalctl -u observiq-otel-collector -f
     

• Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

  • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • サービス コンソール:

    1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
    2. observIQ OpenTelemetry Collector を見つけます。
    3. 右クリックして [再起動] を選択します。

    4. サービスが実行されていることを確認します。

       sc query observiq-otel-collector
       

    5. ログでエラーを確認します。

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

CipherTrust Manager の syslog を構成する

1. CipherTrust Manager ウェブ コンソールにログインします。
2. [Admin Settings] > [Notifications] > [Syslog] に移動します。
3. [新しい Syslog サーバー] をクリックします。
4. 次の構成の詳細を入力します。
   • ホスト: Bindplane エージェントの IP アドレスを入力します。
   • ポート: Bindplane エージェントのポート番号（デフォルトは 514）を入力します。
   • ログ形式: [RFC 5424] を選択します。
   • トランスポート: [UDP] を選択します。
5. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
message	about	マッピング: CEF → about
deviceNtDomain	about.administrative_domain	名前変更/マッピング済み
deviceExternalId	about.asset.asset_id	直接マッピングされます。
device_product	about.asset.asset_id	直接マッピングされます。
device_vendor	about.asset.asset_id	直接マッピングされます。
fileHash	about.file.full_path	直接マッピングされます。
filePath	about.file.full_path	名前変更/マッピング済み
_hash	about.file.sha256	名前変更/マッピング済み
fileHash	about.file.sha256	名前変更/マッピング済み
fsize	about.file.size	名前変更/マッピング済み
dvchost	about.hostname	名前変更/マッピング済み
ips	about.ip	統合済み
message	about.ip	マッピング: CEF → ips
dvc_mac	about.mac	マッピング: slot → mac_address
dvcmac	about.mac	統合済み
mac_address	about.mac	統合済み
message	about.mac	マッピング: CEF → mac_address、CEF → dvcmac
deviceTranslatedAddress	about.nat_ip	統合済み
message	about.nat_ip	マッピング: CEF → deviceTranslatedAddress
Emne	about.process.command_line	直接マッピングされます。
Path	about.process.command_line	直接マッピングされます。
Subject	about.process.command_line	直接マッピングされます。
deviceProcessName	about.process.command_line	名前変更/マッピング済み
dvcpid	about.process.pid	名前変更/マッピング済み
message	about.resource.attribute.permissions	マッピング: CEF → permissions
permissions	about.resource.attribute.permissions	統合済み
Internal_label	additional.fields	統合済み
additional_alias_alias_field	additional.fields	統合済み
additional_alias_index_field	additional.fields	統合済み
additional_alias_type_field	additional.fields	統合済み
additional_cfp1	additional.fields	統合済み
additional_cfp2	additional.fields	統合済み
additional_cfp3	additional.fields	統合済み
additional_cfp4	additional.fields	統合済み
additional_cn1	additional.fields	統合済み
additional_cn2	additional.fields	統合済み
additional_cn3	additional.fields	統合済み
additional_cs1	additional.fields	統合済み
additional_cs2	additional.fields	統合済み
additional_cs3	additional.fields	統合済み
additional_cs4	additional.fields	統合済み
additional_cs5	additional.fields	統合済み
additional_cs6	additional.fields	統合済み
additional_cs7	additional.fields	統合済み
additional_devicePayloadId	additional.fields	統合済み
additional_eventId	additional.fields	統合済み
additional_flexString1	additional.fields	統合済み
additional_fname	additional.fields	統合済み
algorithm_label	additional.fields	統合済み
app_connector_type_label	additional.fields	統合済み
assignSelfAsOwner_label	additional.fields	統合済み
auth_domain_label	additional.fields	統合済み
client_name_label	additional.fields	統合済み
client_type_label	additional.fields	統合済み
codeDesc_label	additional.fields	統合済み
code_label	additional.fields	統合済み
createdAt_label	additional.fields	統合済み
cs2	additional.fields	マッピング: arc_test → additional_cs2
cs5_label	additional.fields	統合済み
customAttributes_label	additional.fields	統合済み
deatils_domain_id_label	additional.fields	統合済み
details_user_metadata_current_domain_id_label	additional.fields	統合済み
details_user_metadata_current_persistedData_label	additional.fields	統合済み
details_user_metadata_current_persistedData_paging_label	additional.fields	統合済み
domain_id_label	additional.fields	統合済み
domain_label	additional.fields	統合済み
emptyMaterial_label	additional.fields	統合済み
feature_label	additional.fields	統合済み
format_label	additional.fields	統合済み
generateKeyId_label	additional.fields	統合済み
idType_label	additional.fields	統合済み
id_label	additional.fields	統合済み
identifier_label	additional.fields	統合済み
interfaceName_label	additional.fields	統合済み
interfaceType_label	additional.fields	統合済み
label_label	additional.fields	統合済み
message	additional.fields	マッピングされた値（合計 71 個、例: CEF → additional_eventId、CEF → `additional_devicePayloa...
messageFormat_label	additional.fields	統合済み
meta_label	additional.fields	統合済み
objectType_label	additional.fields	統合済み
ownerId_label	additional.fields	統合済み
padded_label	additional.fields	統合済み
permissions_label	additional.fields	統合済み
record_type_id_label	additional.fields	統合済み
refresh_token_counts_label	additional.fields	統合済み
refresh_token_counts_no_label	additional.fields	統合済み
refresh_token_counts_total_label	additional.fields	統合済み
refresh_token_id_label	additional.fields	統合済み
renew_refresh_token_label	additional.fields	統合済み
requestId_label	additional.fields	統合済み
requestIdentifierType_label	additional.fields	統合済み
requestIdentifier_label	additional.fields	統合済み
scope_label	additional.fields	統合済み
service_label	additional.fields	統合済み
switch_domain_id_label	additional.fields	統合済み
undeletable_label	additional.fields	統合済み
unexportable_label	additional.fields	統合済み
version_label	additional.fields	統合済み
xts_label	additional.fields	統合済み
zone_id_label	additional.fields	統合済み
details_grant_type	extensions.auth.auth_details	直接マッピングされます。
logon_type_temp	extensions.auth.mechanism	統合済み
message	extensions.auth.mechanism	マッピング: CEF → logon_type_temp、Get User → logon_type_temp
message	intermediary	マッピング: CEF → intermediary
proxy_ip	intermediary.ip	統合済み
msg	metadata.description	名前変更/マッピング済み
Generated	metadata.event_timestamp	yyyy-MM-ddTHH:mm:ss として解析済み
Received	metadata.event_timestamp	yyyy-MM-ddTHH:mm:ss として解析済み
event_time	metadata.event_timestamp	ISO8601 として解析済み
rt	metadata.event_timestamp	yyyy-MM-ddTHH:mm:ssZ として解析済み
syslog_timestamp	metadata.event_timestamp	MMM dd HH:mm:ss として解析済み
syslog_timestamp_with_year	metadata.event_timestamp	MMM dd HH:mm:ss yyyy として解析済み
cef_message	metadata.event_type	マッピング: (Use Key/Update Key/Export Key) → USER_RESOURCE_UPDATE_CONTENT
event_name	metadata.event_type	マッピング: "LogSpyware","LogPredictiveMachineLearning" → SCAN_UNCATEGORIZED
has_principal	metadata.event_type	マッピング: true → NETWORK_CONNECTION
has_user	metadata.event_type	マッピング: true → USER_UNCATEGORIZED
message	metadata.event_type	マッピングされた値（合計 12 個、例: CEF → PROCESS_UNCATEGORIZED、CEF → SCAN_UNCATEGORIZED など）
device_event_class_id	metadata.product_event_type	直接マッピングされます。
event_name	metadata.product_event_type	直接マッピングされます。
externalId	metadata.product_log_id	直接マッピングされます。
id	metadata.product_log_id	直接マッピングされます。
uid	metadata.product_log_id	直接マッピングされます。
device_product	metadata.product_name	直接マッピングされます。
product	metadata.product_name	直接マッピングされます。
product_name	metadata.product_name	直接マッピングされます。
device_version	metadata.product_version	直接マッピングされます。
device_vendor	metadata.vendor_name	名前変更/マッピング済み
app_protocol_output	network.application_protocol	直接マッピングされます。
deviceDirection	network.direction	マッピング: 0 → INBOUND、1 → OUTBOUND
message	network.direction	マッピング: CEF → INBOUND、CEF → OUTBOUND
requestMethod	network.http.method	名前変更/マッピング済み
requestClientApplication	network.http.user_agent	名前変更/マッピング済み
ip_protocol_out	network.ip_protocol	直接マッピングされます。
in	network.received_bytes	名前変更/マッピング済み
out	network.sent_bytes	名前変更/マッピング済み
sntdom	principal.administrative_domain	名前変更/マッピング済み
sourceServiceName	principal.application	名前変更/マッピング済み
syslog_host	principal.asset.hostname	直接マッピングされます。
details_user_metadata_current_domain_name	principal.domain.name	直接マッピングされます。
Group_name	principal.group.group_display_name	直接マッピングされます。
Gruppenavn	principal.group.group_display_name	直接マッピングされます。
Device_name	principal.hostname	直接マッピングされます。
Enhetsnavn	principal.hostname	直接マッピングされます。
shost	principal.hostname	名前変更/マッピング済み
syslog_host	principal.hostname	直接マッピングされます。
client_ip	principal.ip	統合済み
message	principal.ip	マッピング: CEF → principal_ip、CEF → shost、CEF → client_ip、`(SSL Handshake failed...
principal_ip	principal.ip	統合済み
shost	principal.ip	統合済み
mac	principal.mac	統合済み
message	principal.mac	マッピング: CEF → mac
message	principal.nat_ip	マッピング: CEF → sourceTranslatedAddress
sourceTranslatedAddress	principal.nat_ip	統合済み
sourceTranslatedPort	principal.nat_port	名前変更/マッピング済み
spt	principal.port	名前変更/マッピング済み
sproc	principal.process.command_line	名前変更/マッピング済み
spid	principal.process.pid	名前変更/マッピング済み
acc_label	principal.resource.attribute.labels	統合済み
acct_label	principal.resource.attribute.labels	統合済み
iss_label	principal.resource.attribute.labels	統合済み
jti_label	principal.resource.attribute.labels	統合済み
message	principal.resource.attribute.labels	マッピングされた値（合計 5 個、例: CEF → acct_label、CEF → acc_label、CEF → iss_label）
sub_label	principal.resource.attribute.labels	統合済み
message	principal.user.attribute.roles	マッピング: CEF → principal_role
principal_role	principal.user.attribute.roles	統合済み
details_username	principal.user.user_display_name	直接マッピングされます。
suser	principal.user.user_display_name	直接マッピングされます。
username	principal.user.user_display_name	直接マッピングされます。
details_user_id	principal.user.userid	直接マッピングされます。
details_userid	principal.user.userid	直接マッピングされます。
suid	principal.user.userid	名前変更/マッピング済み
user_id	principal.user.userid	直接マッピングされます。
username	principal.user.userid	直接マッピングされます。
_security_result	security_result	統合済み
message	security_result	マッピング: CEF → security_result
_action	security_result.action	統合済み
act	security_result.action	マッピング: accept → _action、deny → _action
message	security_result.action	マッピング: CEF → _action
Action_Taken	security_result.action_details	直接マッピングされます。
act	security_result.action_details	直接マッピングされます。
details_errorMessage	security_result.action_details	直接マッピングされます。
cat	security_result.category_details	統合済み
message	security_result.category_details	マッピング: CEF → cat
Scan_Type	security_result.description	直接マッピングされます。
Type	security_result.description	直接マッピングされます。
message	security_result.description	直接マッピングされます。
msg_data_2	security_result.description	直接マッピングされます。
infection_channel_label	security_result.detection_fields	統合済み
message	security_result.detection_fields	マッピングされた値（合計 7 個、例: CEF → operation_label、CEF → operasjon_label、CEF → `...
operasjon_label	security_result.detection_fields	統合済み
operation_label	security_result.detection_fields	統合済み
permission_label	security_result.detection_fields	統合済み
spyware_Grayware_Type_label	security_result.detection_fields	統合済み
threat_probability_label	security_result.detection_fields	統合済み
tillatelse_label	security_result.detection_fields	統合済み
mwProfile	security_result.rule_name	直接マッピングされます。
message	security_result.severity	マッピング: CEF → LOW、CEF → MEDIUM、CEF → HIGH、CEF → CRITICAL
severity	security_result.severity	マッピング: "0", "1", "2", "3", "LOW" → LOW、`"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"...
Result	security_result.summary	直接マッピングされます。
appcategory	security_result.summary	直接マッピングされます。
reason	security_result.summary	名前変更/マッピング済み
success	security_result.summary	直接マッピングされます。
Spyware	security_result.threat_name	直接マッピングされます。
Unknown_Threat	security_result.threat_name	直接マッピングされます。
Virus_Malware_Name	security_result.threat_name	直接マッピングされます。
oldFilePath	src.file.full_path	名前変更/マッピング済み
oldFileSize	src.file.size	名前変更/マッピング済み
client_ip	src.ip	統合済み
message	src.ip	マッピング: CEF → client_ip
message	src.resource.attribute.permissions	マッピング: CEF → old_permissions
old_permissions	src.resource.attribute.permissions	統合済み
cust_client_id	src.user.product_object_id	直接マッピングされます。
details_client_id	src.user.product_object_id	直接マッピングされます。
dntdom	target.administrative_domain	名前変更/マッピング済み
destinationServiceName	target.application	名前変更/マッピング済み
service	target.application	直接マッピングされます。
service_name	target.application	直接マッピングされます。
application	target.domain.name	直接マッピングされます。
details.size	target.file.size	名前変更/マッピング済み
details.host	target.hostname	直接マッピングされます。
target_hostname	target.hostname	直接マッピングされます。
temp_dhost	target.hostname	直接マッピングされます。
IPv6_Address	target.ip	統合済み
dst_ip	target.ip	統合済み
ipv6	target.ip	マッピング: - → IPv6_Address
message	target.ip	マッピング: CEF → dst_ip、CEF → IPv6_Address
mac_address	target.mac	統合済み
message	target.mac	マッピング: CEF → mac_address
destination_translated_address	target.nat_ip	統合済み
message	target.nat_ip	マッピング: CEF → destination_translated_address
destinationTranslatedPort	target.nat_port	名前変更/マッピング済み
details.port	target.port	名前変更/マッピング済み
dpt	target.port	名前変更/マッピング済み
dproc	target.process.command_line	名前変更/マッピング済み
File_name	target.process.file.full_path	直接マッピングされます。
Infected_Resource	target.process.file.full_path	直接マッピングされます。
Object	target.process.file.full_path	直接マッピングされます。
Objekt	target.process.file.full_path	直接マッピングされます。
dpid	target.process.pid	名前変更/マッピング済み
account_label	target.resource.attribute.labels	統合済み
connection_label	target.resource.attribute.labels	統合済み
message	target.resource.attribute.labels	マッピングされた値（合計 6 個、例: CEF → resource_Type_label、CEF → name_label、CEF → `u...
name_label	target.resource.attribute.labels	統合済み
resource_Type_label	target.resource.attribute.labels	統合済み
uri_label	target.resource.attribute.labels	統合済み
usageMask_label	target.resource.attribute.labels	統合済み
source	target.resource.name	直接マッピングされます。
request	target.url	直接マッピングされます。
message	target.user.attribute.roles	マッピング: CEF → target_role
target_role	target.user.attribute.roles	統合済み
CustomerName	target.user.user_display_name	直接マッピングされます。
temp_duser	target.user.user_display_name	直接マッピングされます。
Bruker	target.user.userid	直接マッピングされます。
User_value	target.user.userid	直接マッピングされます。
temp_duid	target.user.userid	直接マッピングされます。
なし	metadata.event_type	定数: GENERIC_EVENT
なし	network.direction	定数: INBOUND
なし	network.ip_protocol	定数: UDP
なし	security_result.severity	定数: LOW

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。