Mengumpulkan log Cybereason EDR
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Cybereason EDR ke Google Security Operations menggunakan agen Bindplane.
Cybereason EDR (Endpoint Detection and Response) adalah platform keamanan siber yang mendeteksi dan merespons ancaman tingkat lanjut di seluruh endpoint. Solusi ini mengidentifikasi Malops (Operasi Berbahaya) — rantai serangan yang saling terkait yang mengikat aktivitas mencurigakan menjadi narasi serangan yang lengkap — dan memberikan visibilitas kepada analis keamanan terkait progres ancaman, mesin yang terpengaruh, pengguna yang akunnya disusupi, dan koneksi jaringan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan Cybereason Detection Server
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses ke konsol pengelolaan Cybereason dengan peran Admin Sistem
- Platform Cybereason versi 20.1 atau yang lebih baru
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorStatus layanan harus RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorStatus layanan harus aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cybereason: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBEREASON_EDR raw_log_field: body service: pipelines: logs/cybereason_to_chronicle: receivers: - tcplog exporters: - chronicle/cybereasonGanti placeholder berikut:
Konfigurasi penerima:
listen_address: Alamat IP dan port yang akan diproses:0.0.0.0:514untuk memproses semua antarmuka di port 514 (memerlukan akses root di Linux)0.0.0.0:1514untuk memproses port yang tidak memiliki hak istimewa (direkomendasikan untuk non-root Linux)
Opsi jenis penerima:
tcploguntuk syslog TCP (diperlukan untuk penerusan syslog Cybereason)
Konfigurasi pengekspor:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan Google SecOps:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID pelanggan Google SecOpsendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog Cybereason EDR
Cybereason mengirimkan peristiwa MalOp dan Audit Pengguna dalam CEF (Common Event Format) melalui syslog. Konfigurasi penerusan syslog memerlukan permintaan ke Dukungan Teknis Cybereason.
Meminta penerusan syslog dari Dukungan Teknis Cybereason
- Login ke konsol pengelolaan Cybereason.
- Hubungi Dukungan Teknis Cybereason melalui portal dukungan Cybereason.
- Kirim permintaan konfigurasi penerusan syslog dengan informasi berikut:
- Alamat IP server Syslog: Alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port server Syslog: Port yang cocok dengan agen Bindplane
listen_address(misalnya,514). - Protocol: TCP (TCP syslog yang tidak dienkripsi).
- Jenis log: Minta penerusan jenis log berikut:
- Syslog MalOp: Peristiwa Operasi Berbahaya dan peringatan keamanan
- syslog Audit Pengguna: Aktivitas pengguna dan tindakan administratif
- Alamat IP server Syslog: Alamat IP host agen Bindplane (misalnya,
Tunggu hingga Dukungan Teknis Cybereason mengonfirmasi konfigurasi penerusan syslog.
Mengonfigurasi aturan firewall
Pastikan aturan firewall berikut diterapkan:
Arah Protokol Port Sumber Tujuan Keluar TCP 514 Server Deteksi Cybereason Host agen Bindplane
Alternatif: Cybereason CEF Forwarder
Jika Dukungan Teknis Cybereason tidak dapat mengonfigurasi penerusan syslog langsung, Anda dapat menggunakan alat CEF Forwarder Cybereason:
- Download image Docker Cybereason CEF Forwarder dari Dukungan Teknis Cybereason.
- Buat atau edit file konfigurasi di
cybereason-forwarders/config/config.json. Konfigurasi setelan berikut:
{ "host": "<BINDPLANE_AGENT_IP>", "port": 514 }Ganti
<BINDPLANE_AGENT_IP>dengan alamat IP host agen Bindplane.Buat dan jalankan container Docker:
docker build -t cybereason-cef-forwarder . docker run -d --name cybereason-forwarder cybereason-cef-forwarder
Jenis peristiwa Syslog
Cybereason membuat pesan syslog CEF untuk kategori peristiwa berikut:
| Kategori Peristiwa | Deskripsi |
|---|---|
| MalOp dibuat | Operasi Berbahaya Baru Terdeteksi |
| MalOp diperbarui | Status atau detail MalOp yang ada telah berubah |
| MalOp ditutup | MalOp diselesaikan atau ditutup oleh analis |
| Malware terdeteksi | Malware teridentifikasi di endpoint |
| Proses mencurigakan | Aktivitas proses yang mencurigakan terdeteksi |
| Koneksi jaringan | Koneksi jaringan yang mencurigakan teridentifikasi |
| Login pengguna | Peristiwa autentikasi pengguna |
| Isolasi mesin | Endpoint diisolasi dari atau dihubungkan kembali ke jaringan |
| Perubahan kebijakan | Modifikasi kebijakan keamanan |
Memverifikasi penerusan syslog
- Setelah Dukungan Teknis Cybereason mengonfirmasi konfigurasi syslog, lakukan tindakan pengujian di konsol Cybereason (misalnya, lihat MalOp atau isolasi mesin pengujian).
- Periksa log agen Bindplane untuk pesan syslog masuk:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
Pastikan pesan berformat CEF muncul di log, misalnya:
CEF:0|Cybereason|Cybereason|2.0|MalOp|MalOp Created|8|cs1=MALOP_ID_HERE dvchost=server01.company.com suser=admin@company.com
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| detectionName_label | additional.fields | Dipetakan sebagai pasangan nilai kunci |
| sensorId_label | additional.fields | Dipetakan sebagai pasangan nilai kunci |
| status | metadata.description | Jika nilai tidak kosong |
| log_description | metadata.description | Penggantian jika status kosong |
| (format CEF) | metadata.event_type | Disetel ke GENERIC_EVENT untuk log CEF |
| event_type | metadata.event_type | Ditetapkan ke PROCESS_OPEN jika nilainya "PROCESS_OPEN", NETWORK_CONNECTION jika nilainya "NETWORK_CONNECTION", SCAN_HOST jika nilainya "MALWARE" |
| has_principal, has_target | metadata.event_type | Disetel ke SCAN_FILE jika has_principal dan has_target bernilai benar (true) |
| has_principal | metadata.event_type | Ditetapkan ke STATUS_UPDATE jika hanya has_principal yang benar |
| has_user | metadata.event_type | Ditetapkan ke USER_UNCATEGORIZED jika has_user bernilai benar dalam konteks Malop |
| (default) | metadata.event_type | Tetapkan ke GENERIC_EVENT jika tidak |
| LogType | metadata.product_event_type | Jika nilai tidak kosong |
| malop_data.simpleValues.elementDisplayName.values.0 | metadata.product_event_type | Penggantian jika LogType kosong |
| jenis | metadata.product_event_type | Pengganti |
| prod_event, prod_event2 | metadata.product_event_type | Digabungkan sebagai prod_event - prod_event2 |
| malop_process.guidString | metadata.product_log_id | Untuk jenis peristiwa PROCESS_OPEN |
| malop_connection.guidString | metadata.product_log_id | Untuk jenis peristiwa NETWORK_CONNECTION |
| guid | metadata.product_log_id | Untuk jenis peristiwa MALWARE atau Malop |
| (statis) | metadata.product_version | Awalnya ditetapkan ke "2.0" |
| Sensor.version | metadata.product_version | Menimpa "2.0" jika ada |
| malop_url | metadata.url_back_to_product | Dipetakan secara langsung |
| (statis) | metadata.vendor_name | Tetapkan ke "Cybereason" |
| direction | network.direction | Dipetakan secara langsung |
| malop_connection.simpleValues.transportProtocol.values.0 | network.ip_protocol | Dipetakan secara langsung |
| malop_connection.simpleValues.receivedBytesCount.values.0 | network.received_bytes | Dikonversi menjadi bilangan bulat tidak bertanda |
| malop_connection.simpleValues.transmittedBytesCount.values.0 | network.sent_bytes | Dikonversi menjadi bilangan bulat tidak bertanda |
| Sensor.fqdn | principal.administrative_domain | Dipetakan secara langsung |
| malop_process.elementValues.ownerMachine.elementValues.0.guid | principal.asset.asset_id | Diawali dengan "Cybereason:" |
| malop_data.elementValues.affectedMachines.elementValues.0.guid | principal.asset.asset_id | Diawali dengan "Cybereason:", penggantian |
| malop_process.elementValues.ownerMachine.elementValues.0.name | principal.asset.hostname | Dipetakan secara langsung |
| malop_data.elementValues.affectedMachines.elementValues.0.name | principal.asset.hostname | Pengganti |
| machineName | principal.asset.hostname | Pengganti |
| host | principal.asset.hostname | Pengganti |
| dvchost | principal.asset.hostname | Pengganti |
| Sensor.fqdn | principal.asset.hostname | Pengganti |
| client.ip | principal.asset.ip | Dipetakan secara langsung |
| Sensor.externalIpAddress | principal.asset.ip | Pengganti |
| malop_process.elementValues.ownerMachine.elementValues.0.name | principal.hostname | Dipetakan secara langsung |
| malop_data.elementValues.affectedMachines.elementValues.0.name | principal.hostname | Pengganti |
| machineName | principal.hostname | Pengganti |
| host | principal.hostname | Pengganti |
| dvchost | principal.hostname | Pengganti |
| Sensor.fqdn | principal.hostname | Pengganti |
| client.ip | principal.ip | Dipetakan secara langsung |
| Sensor.externalIpAddress | principal.ip | Pengganti |
| Sensor.internalIpAddress | principal.nat_ip | Dipetakan secara langsung |
| Sensor.privateServerIp | principal.nat_ip | Pengganti |
| Sensor.osType | principal.platform | Ditetapkan ke WINDOWS jika nilainya "WINDOWS", LINUX jika "LINUX", MAC jika "MAC" |
| Sensor.osVersionType | principal.platform_version | Dipetakan secara langsung |
| malop_connection.simpleValues.localPort.values.0 | principal.port | Dikonversi ke bilangan bulat |
| malop_process.simpleValues.commandLine.values.0 | principal.process.command_line | Dipetakan secara langsung |
| malwareDataModel.filePath | principal.process.command_line | Pengganti |
| malop_process.simpleValues.calculatedName.values.0 | principal.process.file.full_path | Dipetakan secara langsung |
| nama | principal.process.file.full_path | Pengganti |
| malop_process.elementValues.parentProcess.elementValues.0.guid | principal.process.parent_process.product_specific_process_id | Diawali dengan "Cybereason:" |
| malop_process.elementValues.self.elementValues.0.guid | principal.process.pid | Dipetakan secara langsung |
| malop_process.elementValues.self.elementValues.0.guid | principal.process.product_specific_process_id | Diawali dengan "Cybereason:" |
| malop_connection.elementValues.ownerProcess.elementValues.0.guid | principal.process.product_specific_process_id | Diawali dengan "Cybereason:", penggantian |
| companyName | principal.user.company_name | Dipetakan secara langsung |
| malop_process.elementValues.calculatedUser.elementValues.0.name | principal.user.user_display_name | Dipetakan secara langsung |
| malop_data.elementValues.affectedUsers.elementValues.0.name | principal.user.user_display_name | Pengganti |
| malop_connection.elementValues.ownerProcess.user.elementValues.0.name | principal.user.user_display_name | Pengganti |
| malop_process.elementValues.calculatedUser.elementValues.0.guid | principal.user.userid | Dipetakan secara langsung |
| malop_data.elementValues.affectedUsers.elementValues.0.guid | principal.user.userid | Pengganti |
| malop_connection.elementValues.ownerProcess.user.elementValues.0.guid | principal.user.userid | Pengganti |
| security_result_action | security_result.action | Setel ke ALLOW, BLOCK, atau QUARANTINE berdasarkan status |
| is_alert | security_result.alert_state | Tetapkan ke ALERTING jika nilainya adalah True |
| sr_category | security_result.category | Tetapkan ke SOFTWARE_MALICIOUS atau NETWORK_MALICIOUS |
| query_details | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| affected_machine_count | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| link_to_malop | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| context_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| old_state_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| new_state_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| investigation_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| event_id_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| malop_activity_type_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| malop_suspect_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| malop_key_suspicion_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| device_custom_date_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| device_custom_date2_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| device_custom_date3_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| guid_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| displayName_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| pylumId_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| connected_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| isolated_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| osType_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| admin_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| domainUser_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| localSystem_label | security_result.detection_fields | Dipetakan sebagai pasangan nilai kunci |
| deskripsi | security_result.description | Digabungkan dengan decision_feature, malop_status, privileges, passwordAgeDays, elementType, status, score, detectionValue, detectionValueType, detectionEngine |
| decision_feature | security_result.description | Digabungkan ke dalam deskripsi |
| malop_status | security_result.description | Digabungkan ke dalam deskripsi |
| hak istimewa | security_result.description | Digabungkan ke dalam deskripsi |
| passwordAgeDays | security_result.description | Digabungkan ke dalam deskripsi |
| elementType | security_result.description | Digabungkan ke dalam deskripsi |
| status | security_result.description | Digabungkan ke dalam deskripsi |
| skor | security_result.description | Digabungkan ke dalam deskripsi |
| detectionValue | security_result.description | Digabungkan ke dalam deskripsi |
| detectionValueType | security_result.description | Digabungkan ke dalam deskripsi |
| detectionEngine | security_result.description | Digabungkan ke dalam deskripsi |
| malop_data.malopPriority | security_result.priority | Dipetakan secara langsung |
| malop_severity | security_result.severity | Dipetakan secara langsung |
| security_severity | security_result.severity | Tetapkan ke KRITIS jika nilai > 8, TINGGI jika > 6, SEDANG jika > 4, RENDAH jika > 1 |
| tingkat keseriusan, | security_result.severity | Disetel ke INFORMATIONAL jika "Info", ERROR jika "Error" atau "High", MEDIUM jika "Warning" atau "Medium", CRITICAL jika "Critical", LOW jika "Low", UNKNOWN jika tidak ada |
| deskripsi | security_result.summary | Dipetakan secara langsung |
| jenis | security_result.summary | Pengganti |
| malopId | security_result.threat_id | Dipetakan secara langsung |
| malop_data.simpleValues.detectionType.values.0 | security_result.threat_name | Dipetakan secara langsung |
| virusName | security_result.threat_name | Pengganti |
| status | security_result.threat_status | Ditetapkan ke ACTIVE jika nilainya adalah "Active", jika tidak, FALSE_POSITIVE |
| malop_url | security_result.url_back_to_product | Dipetakan secara langsung |
| machineName | target.asset.hostname | Dipetakan secara langsung |
| affectedMachine | target.asset.hostname | Pengganti |
| dvchost | target.asset.hostname | Pengganti |
| Sensor.serverName | target.asset.hostname | Pengganti |
| server.ip | target.asset.ip | Dipetakan secara langsung |
| Sensor.serverIp | target.asset.ip | Pengganti |
| malop_process.simpleValues.calculatedName.values.0 | target.file.full_path | Dipetakan secara langsung |
| malop_connection.elementValues.ownerProcess.elementValues.0.name | target.file.full_path | Pengganti |
| nama | target.file.full_path | Pengganti |
| malwareDataModel_filePath | target.file.full_path | Pengganti |
| malop_process.simpleValues.imageFile.md5String.values.0 | target.file.md5 | Dipetakan secara langsung |
| nama | target.file.names | Dipetakan secara langsung |
| machineName | target.hostname | Dipetakan secara langsung |
| affectedMachine | target.hostname | Pengganti |
| dvchost | target.hostname | Pengganti |
| Sensor.serverName | target.hostname | Pengganti |
| server.ip | target.ip | Dipetakan secara langsung |
| Sensor.serverIp | target.ip | Pengganti |
| malop_connection.simpleValues.remoteAddressCountryName.values.0 | target.location.country_or_region | Dipetakan secara langsung |
| Sensor.privateServerIp | target.nat_ip | Dipetakan secara langsung |
| malop_connection.simpleValues.remotePort.values.0 | target.port | Dikonversi ke bilangan bulat |
| malop_process.simpleValues.calculatedName.values.0 | target.process.file.full_path | Dipetakan secara langsung |
| malop_process.elementValues.self.elementValues.0.guid | target.process.pid | Dipetakan secara langsung |
| malop_url | target.url | Dipetakan secara langsung |
| (statis) | metadata.product_name | Tetapkan ke "Cybereason" |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.