Microsoft Defender for IoT(CyberX)のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Microsoft Defender for IoT(CyberX)ログを Google Security Operations に取り込む方法について説明します。
Microsoft Defender for IoT(旧 CyberX)は、エージェントレスの IoT/OT セキュリティ プラットフォームです。産業用制御システム(ICS)とオペレーション テクノロジー(OT)環境のアセット検出、脆弱性管理、継続的な脅威モニタリングを提供します。運用プロセスに影響を与えることなく、IoT/OT ネットワーク全体で異常な動作と既知の脅威を検出します。パーサーは、CyberX syslog と Key-Value 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Microsoft Defender for IoT センサー コンソールへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CYBERX' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: UDP Syslog にはudplog、TCP Syslog にはtcplogを使用します。0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は0.0.0.0)514: リッスンするポート番号(標準の syslog ポート)
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Chronicle に表示されるログタイプ(CYBERX)
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Microsoft Defender for IoT(CyberX)で Syslog 転送を構成する
- Microsoft Defender for IoT センサー コンソール(以前の CyberX)にログインします。
- [System Settings] > [Forwarding] に移動します。
- [追加](または [+])をクリックして、新しい転送ルールを作成します。
- 次の構成の詳細を指定します。
- ルール名: わかりやすい名前を入力します(例:
Google-SecOps-Bindplane)。 - 重大度: [すべて] を選択します(または、特定の重大度レベル([軽微]、[重大]、[重大])を選択します)。
- プロトコル: [すべて] を選択します(または、モニタリングする特定のプロトコルを選択します)。
- エンジン: [すべて] を選択します(または、特定の検出エンジンを選択します)。
- アクション: [Syslog を送信] を選択します。
- ルール名: わかりやすい名前を入力します(例:
- [Syslog Server] 構成で、次の操作を行います。
- ホスト: Bindplane エージェント ホストの IP アドレスを入力します。
- ポート: 「
514」と入力します。 - Protocol: [UDP] を選択します。
- 形式: [CEF](Common Event Format)を選択します。
- タイムゾーン: [UTC] を選択します(推奨)。
- [保存] をクリックします。
- ルールを [アクティブ] に切り替えて、転送ルールを有効にします。
- Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| アクセス マスク | security_result.detection_fields.value | パースされた access_request_kvdata の access_mask の値 |
| アカウントのドメイン | principal.administrative_domain | パースされた principal_kvdata の principal_domain の値 |
| アカウントのドメイン | target.administrative_domain | パースされた target_kvdata の target_domain の値 |
| Account Name | principal.user.userid | パースされた principal_kvdata の principal_account_name の値 |
| Account Name | target.user.userid | パースされた target_kvdata の target_account_name の値 |
| アクション | security_result.action_details | アクションの価値 |
| アクション | security_result.action | 派生。アクションが「accept」、「passthrough」、「pass」、「permit」、「detected」、「close」の場合、「ALLOW」にマッピングします。アクションが「deny」、「dropped」、「blocked」の場合、「BLOCK」にマッピングします。アクションが「timeout」の場合は「FAIL」にマッピングします。それ以外の場合は、「UNKNOWN_ACTION」にマッピングします。 |
| アルゴリズム名 | security_result.detection_fields.value | パースされた cryptographic_kvdata の algorithm_name の値 |
| アプリ | target.application | app_protocol_output が空の場合のサービスの値 |
| appcat | security_result.detection_fields.value | appcat の値 |
| アプリケーション名 | principal.application | application_name の値 |
| 認証パッケージ | security_result.about.resource.name | authentication_package の値 |
| Azure Defender for IoT アラート | security_result.detection_fields.value | azure_defender_for_iot_alert の値 |
| channel | security_result.detection_fields.value | チャネルの値 |
| クライアント アドレス | principal.ip、principal.asset.ip | source_ip の値 |
| クライアント ポート | principal.port | source_port の値 |
| craction | security_result.detection_fields.value | craction の値 |
| 認証情報マネージャーの認証情報がバックアップされました | security_result.description | 説明の値 |
| 認証情報マネージャーの認証情報が読み取られました。 | security_result.description | 説明の値 |
| crscore | security_result.severity_details | crscore の値 |
| crlevel | security_result.severity、security_result.severity_details | crlevel の値。crlevel が「HIGH」、「MEDIUM」、「LOW」、「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。 |
| 暗号オペレーション | metadata.description | product_desc の値 |
| CyberX プラットフォーム名 | security_result.detection_fields.value | cyberx_platform_name の値 |
| 説明 | security_result.description | Message が空の場合の説明の値 |
| 目的地 | target.ip、target.asset.ip、target.hostname | 宛先が IP アドレスの場合は、target.ip と target.asset.ip にマッピングします。それ以外の場合は、target.hostname にマッピングします。 |
| 宛先アドレス | target.ip、target.asset.ip | パースされた network_information の destination_ip の値 |
| 移行先の DRA | target.resource.name | destination_dra の値 |
| 宛先 IP | target.ip、target.asset.ip | destination_ip の値 |
| 宛先ポート | target.port | パースされた network_information の destination_port の値 |
| devid | principal.resource.product_object_id | devid の値 |
| devname | principal.resource.name | devname の値 |
| 方向 | network.direction | Direction が「incoming」、「inbound」、「response」の場合は、「INBOUND」にマッピングします。Direction が「outgoing」、「outbound」、「request」の場合は、「OUTBOUND」にマッピングします。 |
| dstip | target.ip、target.asset.ip | destination_ip が空の場合の dstip の値 |
| dstcountry | target.location.country_or_region | dstcountry の値 |
| dstintf | security_result.detection_fields.value | dstintf の値 |
| dstintfrole | security_result.detection_fields.value | dstintfrole の値 |
| dstosname | target.platform | dstosname の値が「WINDOWS」、「LINUX」、「MAC」の場合。 |
| dstport | target.port | destination_port が空の場合の dstport の値 |
| dstswversion | target.platform_version | dstswversion の値 |
| duration | network.session_duration.seconds | 期間の値 |
| event_id | security_result.rule_name | ルール名「EventID: %{event_id}」の作成に使用されます。 |
| event_in_sequence | security_result.detection_fields.value | event_in_sequence の値 |
| フィルタ実行時 ID | security_result.detection_fields.value | パースされた filter_information の filter_run_time_id の値 |
| グループ メンバー | security_result.detection_fields.value | event_id が 4627 ではない場合の group_membership の値 |
| グループ メンバー | target.user.group_identifiers | event_id が 4627 の場合、パースされた group_membership の値 |
| handle_id | security_result.detection_fields.value | 解析された object_kvdata の handle_id の値 |
| ハンドル ID | security_result.detection_fields.value | 解析された object_kvdata の handle_id の値 |
| impersonation_level | security_result.detection_fields.value | パースされた logon_information_kvdata の impersonation_level の値 |
| 鍵長 | security_result.detection_fields.value | パースされた auth_kvdata の key_length の値 |
| キー名 | security_result.detection_fields.value | パースされた cryptographic_kvdata の key_name の値 |
| 鍵のタイプ | security_result.detection_fields.value | パースされた cryptographic_kvdata の key_type の値 |
| キーワード | security_result.detection_fields.value | キーワードの値 |
| レイヤ名 | security_result.detection_fields.value | パースされた filter_information の layer_name の値 |
| レイヤのランタイム ID | security_result.detection_fields.value | パースされた filter_information の layer_run_time_id の値 |
| logid | metadata.product_log_id | logid の値 |
| ログオン GUID: | principal.resource.product_object_id | logon_guid の値 |
| ログオン ID | security_result.detection_fields.value | logon_id の値 |
| logon_type | event.idm.read_only_udm.extensions.auth.mechanism | 派生。logon_type が「3」の場合は「NETWORK」にマッピングします。4 の場合は「BATCH」にマッピングします。5 の場合は「SERVICE」にマッピングします。8 の場合は「NETWORK_CLEAR_TEXT」にマッピングします。9 の場合は「NEW_CREDENTIALS」にマッピングします。10 の場合は「REMOTE_INTERACTIVE」にマッピングします。11 の場合は「CACHED_INTERACTIVE」にマッピングします。それ以外の場合で、空でない場合は、「MECHANISM_OTHER」にマッピングします。 |
| ログオン アカウント | security_result.detection_fields.value | Grok パースの logon_id の値 |
| ログオン プロセス | security_result.detection_fields.value | パースされた auth_kvdata の logon_process の値 |
| 必須ラベル | security_result.detection_fields.value | mandatory_label の値 |
| mastersrcmac | principal.mac | mastersrcmac の値 |
| メッセージ | security_result.description | メッセージの価値 |
| new_process_id | target.process.pid | パースされた process_kvdata の new_process_id の値 |
| new_process_name | target.process.file.full_path | 解析された process_kvdata の new_process_name の値 |
| オブジェクト名 | security_result.detection_fields.value | 解析された object_kvdata の object_name の値 |
| オブジェクト サーバー | security_result.detection_fields.value | 解析された object_kvdata の object_server の値 |
| オブジェクトタイプ | security_result.detection_fields.value | パースされた object_kvdata の object_type の値 |
| osname | principal.platform | osname の値(「WINDOWS」、「LINUX」、「MAC」の場合)。 |
| Package Name(NTLM のみ) | security_result.detection_fields.value | 解析された auth_kvdata の package_name の値 |
| policyid | security_result.rule_id | policyid の値 |
| policyname | security_result.rule_name | policyname の値 |
| policytype | security_result.rule_type | policytype の値 |
| プロセス ID | principal.process.pid | process_id の値 |
| プロセス名 | principal.process.file.full_path | 解析された process_kvdata の creator_process_name の値 |
| profile_changed | security_result.detection_fields.value | profile_changed の値 |
| Profile Changed(プロファイルが変更されました) | security_result.detection_fields.value | grok パースの profile_changed の値 |
| proto | network.ip_protocol | proto が「17」の場合は「UDP」にマッピングします。「6」またはサブタイプが「wad」の場合は、「TCP」にマッピングします。「41」の場合は「IP6IN4」にマッピングします。service が「PING」または proto が「1」または service に「ICMP」が含まれている場合は、「ICMP」にマッピングします。 |
| プロトコル | network.application_protocol | Protocol から派生した app_protocol_output の値 |
| プロバイダ名 | security_result.detection_fields.value | 解析された provider_kvdata または cryptographic_kvdata の provider_name の値 |
| rcvdbyte | network.received_bytes | rcvdbyte の値 |
| rcvdpkt | security_result.detection_fields.value | rcvdpkt の値 |
| restricted_admin_mode | security_result.detection_fields.value | パースされた logon_information_kvdata の restricted_admin_mode の値 |
| 戻りコード | security_result.detection_fields.value | 解析された cryptographic_kvdata の return_code の値 |
| レスポンス | security_result.detection_fields.value | 回答の値 |
| rule_id | security_result.rule_id | rule_id の値 |
| セキュリティ ID | principal.user.windows_sid | パースされた principal_kvdata の principal_security_id の値 |
| セキュリティ ID | target.user.windows_sid | パースされた target_kvdata の target_security_id の値 |
| sentbyte | network.sent_bytes | sentbyte の値 |
| sentpkt | security_result.detection_fields.value | sentpkt の値 |
| サービス | network.application_protocol または target.application | サービスから派生した app_protocol_output の値。app_protocol_output が空の場合、target.application にマッピングします。 |
| サービス ID | security_result.detection_fields.value | パースされた service_kvdata の service_id の値 |
| サービス名 | security_result.detection_fields.value | パースされた service_kvdata の service_name の値 |
| sessionid | network.session_id | sessionid の値 |
| 重大度 | security_result.severity、security_result.severity_details | Severity が「ERROR」または「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。「INFO」の場合は「INFORMATIONAL」にマッピングします。「MINOR」の場合は「LOW」にマッピングします。「WARNING」の場合は「MEDIUM」にマッピングします。「MAJOR」の場合は「HIGH」にマッピングします。また、生の値も severity_details にマッピングします。 |
| 重要度 | security_result.severity、security_result.severity_details | 重大度が「1」、「2」、「3」の場合は、「LOW」にマッピングします。「4」、「5」、「6」の場合は「MEDIUM」にマッピングします。「7」、「8」、「9」の場合は「HIGH」にマッピングします。また、生の値も severity_details にマッピングします。 |
| 共有名 | security_result.detection_fields.value | パースされた share_information_kvdata の share_name の値 |
| 共有パス | security_result.detection_fields.value | パースされた share_information_kvdata の share_path の値 |
| ソース | principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname | 送信元が IP アドレスの場合は、principal.ip と principal.asset.ip にマッピングします。それ以外の場合は、principal.hostname と principal.asset.hostname にマッピングします。 |
| ソース アドレス | principal.ip、principal.asset.ip | パースされた network_information の source_ip の値 |
| ソース DRA | principal.resource.name | source_dra の値 |
| 送信元 IP | principal.ip | source_ip の値 |
| ソース ネットワーク アドレス | principal.ip、principal.asset.ip | source_ip の値 |
| 送信元ポート | principal.port | パースされた network_information の source_port の値 |
| ソース ワークステーション | workstation_name | source_workstation_name の値 |
| srcip | source_ip | source_ip が空の場合の srcip の値 |
| srccountry | principal.location.country_or_region | srccountry の値 |
| srcmac | principal.mac | srcmac の値 |
| srcname | principal.hostname、principal.asset.hostname | srcname の値 |
| srcport | source_port | source_port が空の場合の srcport の値 |
| srcswversion | principal.platform_version | srcswversion の値 |
| ステータス コード | network.http.response_code | status_code の値 |
| トークン昇格タイプ | security_result.detection_fields.value | token_elevation_type の値 |
| transited_services | security_result.detection_fields.value | パースされた auth_kvdata の transited_services の値 |
| transip | principal.nat_ip | transip の値 |
| transport | principal.nat_port | 輸送の価値 |
| type | metadata.product_event_type | サブタイプとともに使用して metadata.product_event_type を作成します |
| タイプ | security_result.detection_fields.value | Value of Type |
| UUID | metadata.product_log_id | UUID の値 |
| vd | principal.administrative_domain | vd の値 |
| virtual_account | security_result.detection_fields.value | パースされた logon_information_kvdata の virtual_account の値 |
| ワークステーション名 | principal.hostname、principal.asset.hostname | 他のプリンシパル識別子がない場合の workstation_name の値 |
| metadata.event_type | metadata.event_type | 派生。principal_present と target_present の両方が true の場合は、「NETWORK_CONNECTION」にマッピングします。user_present が true の場合は、「USER_RESOURCE_ACCESS」にマッピングします。principal_present が true の場合は、「STATUS_UPDATE」にマッピングします。それ以外の場合は、「GENERIC_EVENT」にマッピングします。 |
| metadata.log_type | metadata.log_type | 「CYBERX」にハードコードされています |
| metadata.product_name | metadata.product_name | 「CYBERX」にハードコードされています |
| metadata.vendor_name | metadata.vendor_name | 「CYBERX」にハードコードされています |
| metadata.event_timestamp | metadata.event_timestamp | 最上位のタイムスタンプ フィールドからコピーされるか、eventtime フィールドまたは日付と時刻のフィールドから取得されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。