Microsoft Defender for IoT (CyberX) 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Microsoft Defender for IoT (CyberX) 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Microsoft Defender for IoT (이전 명칭: CyberX)는 산업 제어 시스템 (ICS) 및 운영 기술 (OT) 환경에 대한 자산 검색, 취약점 관리, 지속적인 위협 모니터링을 제공하는 에이전트 없는 IoT/OT 보안 플랫폼입니다. 운영 프로세스에 영향을 주지 않고 IoT/OT 네트워크 전반에서 비정상적인 동작과 알려진 위협을 탐지합니다. 파서는 CyberX syslog 및 키-값 형식 로그에서 필드를 추출합니다. grok 또는 kv를 사용하여 로그 메시지를 파싱한 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑합니다. 또한 이벤트 소스 및 유형의 기본 메타데이터 값을 설정합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
  • Microsoft Defender for IoT 센서 콘솔에 대한 액세스 권한

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 설치가 완료될 때까지 기다립니다.

  4. 다음을 실행하여 설치를 확인합니다.

    sc query observiq-otel-collector

서비스가 실행 중으로 표시되어야 합니다.

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 설치가 완료될 때까지 기다립니다.

  4. 다음을 실행하여 설치를 확인합니다.

    sudo systemctl status observiq-otel-collector

서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

  • config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CYBERX'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

구성 매개변수

  • 다음 자리표시자를 바꿉니다.

    • 수신기 구성:

      • udplog: UDP syslog의 경우 udplog, TCP syslog의 경우 tcplog 사용
      • 0.0.0.0: 리슨할 IP 주소 (모든 인터페이스에서 리슨하려면 0.0.0.0)
      • 514: 리슨할 포트 번호 (표준 syslog 포트)

    • 내보내기 도구 구성:

      • creds_file_path: 수집 인증 파일의 전체 경로입니다.
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: 고객 ID 가져오기 섹션의 고객 ID
      • endpoint: 리전 엔드포인트 URL:
        • 미국: malachiteingestion-pa.googleapis.com
        • 유럽: europe-malachiteingestion-pa.googleapis.com
        • 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 전체 목록은 리전 엔드포인트를 참고하세요.
      • log_type: Chronicle에 표시되는 로그 유형 (CYBERX)

구성 파일 저장

  • 수정 후 파일을 저장합니다.
    • Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
    • Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart observiq-otel-collector

    1. 서비스가 실행 중인지 확인합니다.

        sudo systemctl status observiq-otel-collector

    2. 로그에서 오류를 확인합니다.

        sudo journalctl -u observiq-otel-collector -f

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.

    • 명령 프롬프트 또는 PowerShell(관리자 권한)

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 서비스 콘솔:

      1. Win+R를 누르고 services.msc를 입력한 다음 Enter 키를 누릅니다.
      2. observIQ OpenTelemetry Collector를 찾습니다.

      3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.

      4. 서비스가 실행 중인지 확인합니다.

        sc query observiq-otel-collector

      5. 로그에서 오류를 확인합니다.

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Microsoft Defender for IoT (CyberX)에서 Syslog 전달 구성

  1. Microsoft Defender for IoT 센서 콘솔 (이전 명칭: CyberX)에 로그인합니다.
  2. 시스템 설정 > 전달로 이동합니다.
  3. 추가 (또는 +)를 클릭하여 새 전달 규칙을 만듭니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 규칙 이름: 설명이 포함된 이름을 입력합니다 (예: Google-SecOps-Bindplane).
    • 심각도: 모두를 선택하거나 특정 심각도 수준 (경미, 심각, 매우 심각)을 선택합니다.
    • 프로토콜: 모두를 선택하거나 모니터링할 특정 프로토콜을 선택합니다.
    • 엔진: 모두를 선택하거나 특정 감지 엔진을 선택합니다.
    • 작업: Syslog 보내기를 선택합니다.
  5. 시스템로그 서버 구성에서 다음을 수행합니다.
    • 호스트: Bindplane 에이전트 호스트의 IP 주소를 입력합니다.
    • 포트: 514를 입력합니다.
    • 프로토콜: UDP를 선택합니다.
    • 형식: CEF (Common Event Format)를 선택합니다.
    • 시간대: UTC를 선택합니다 (권장).
  6. 저장을 클릭합니다.
  7. 규칙을 활성으로 전환하여 전달 규칙을 사용 설정합니다.
  8. Bindplane 에이전트 로그를 확인하여 syslog 메시지가 전송되고 있는지 확인합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
액세스 마스크 security_result.detection_fields.value 파싱된 access_request_kvdata의 access_mask 값
계정 도메인 principal.administrative_domain 파싱된 principal_kvdata의 principal_domain 값
계정 도메인 target.administrative_domain 파싱된 target_kvdata의 target_domain 값
계정 이름 principal.user.userid 파싱된 principal_kvdata의 principal_account_name 값
계정 이름 target.user.userid 파싱된 target_kvdata의 target_account_name 값
action security_result.action_details 작업 값
action security_result.action 파생됨 작업이 'accept', 'passthrough', 'pass', 'permit', 'detected' 또는 'close'인 경우 'ALLOW'에 매핑합니다. 작업이 'deny', 'dropped' 또는 'blocked'인 경우 'BLOCK'에 매핑합니다. 작업이 'timeout'인 경우 'FAIL'에 매핑합니다. 그렇지 않으면 'UNKNOWN_ACTION'으로 매핑합니다.
알고리즘 이름 security_result.detection_fields.value 파싱된 cryptographic_kvdata의 algorithm_name 값
target.application app_protocol_output이 비어 있는 경우 서비스 값
appcat security_result.detection_fields.value appcat 값
애플리케이션 이름 principal.application application_name 값
인증 패키지 security_result.about.resource.name authentication_package 값
Azure Defender for IoT 알림 security_result.detection_fields.value azure_defender_for_iot_alert 값
채널 security_result.detection_fields.value 채널의 가치
클라이언트 주소 principal.ip, principal.asset.ip source_ip 값
클라이언트 포트 principal.port source_port 값
craction security_result.detection_fields.value craction 값
인증 관리자 사용자 인증 정보가 백업됨 security_result.description 설명 값
인증 관리자 사용자 인증 정보가 읽혔습니다. security_result.description 설명 값
crscore security_result.severity_details crscore 값
crlevel security_result.severity, security_result.severity_details crlevel 값입니다. crlevel이 'HIGH', 'MEDIUM', 'LOW' 또는 'CRITICAL'인 경우 해당 UDM 심각도에 매핑합니다.
암호화 작업 metadata.description product_desc 값
CyberX 플랫폼 이름 security_result.detection_fields.value cyberx_platform_name 값
설명 security_result.description 메시지가 비어 있는 경우 설명 값
대상 target.ip, target.asset.ip 또는 target.hostname Destination이 IP 주소인 경우 target.ip 및 target.asset.ip에 매핑합니다. 그렇지 않으면 target.hostname에 매핑합니다.
도착 페이지 주소 target.ip, target.asset.ip 파싱된 network_information의 destination_ip 값
대상 DRA target.resource.name destination_dra 값
대상 IP target.ip, target.asset.ip destination_ip 값
대상 포트 target.port 파싱된 network_information의 destination_port 값
devid principal.resource.product_object_id devid 값
devname principal.resource.name devname 값
방향 network.direction Direction이 'incoming', 'inbound' 또는 'response'인 경우 'INBOUND'로 매핑합니다. Direction이 'outgoing', 'outbound' 또는 'request'인 경우 'OUTBOUND'에 매핑합니다.
dstip target.ip, target.asset.ip destination_ip가 비어 있는 경우 dstip 값
dstcountry target.location.country_or_region dstcountry 값
dstintf security_result.detection_fields.value dstintf 값
dstintfrole security_result.detection_fields.value dstintfrole 값
dstosname target.platform dstosname 값이 'WINDOWS', 'LINUX' 또는 'MAC'인 경우의 값입니다.
dstport target.port destination_port가 비어 있는 경우 dstport 값
dstswversion target.platform_version dstswversion 값
기간 network.session_duration.seconds 기간 값
event_id security_result.rule_name 규칙 이름을 'EventID: %{event_id}'로 구성하는 데 사용됩니다.
event_in_sequence security_result.detection_fields.value event_in_sequence 값
필터 런타임 ID security_result.detection_fields.value 파싱된 filter_information의 filter_run_time_id 값
그룹 회원 security_result.detection_fields.value event_id가 4627이 아닌 경우 group_membership 값
그룹 회원 target.user.group_identifiers event_id가 4627인 경우 파싱된 group_membership의 값
handle_id security_result.detection_fields.value 파싱된 object_kvdata의 handle_id 값
핸들 ID security_result.detection_fields.value 파싱된 object_kvdata의 handle_id 값
impersonation_level security_result.detection_fields.value 파싱된 logon_information_kvdata의 impersonation_level 값
키 길이 security_result.detection_fields.value 파싱된 auth_kvdata의 key_length 값
키 이름 security_result.detection_fields.value 파싱된 cryptographic_kvdata의 key_name 값
키 유형 security_result.detection_fields.value 파싱된 cryptographic_kvdata의 key_type 값
keywords security_result.detection_fields.value 키워드 값
레이어 이름 security_result.detection_fields.value 파싱된 filter_information의 layer_name 값
레이어 런타임 ID security_result.detection_fields.value 파싱된 filter_information의 layer_run_time_id 값
logid metadata.product_log_id logid 값
로그온 GUID principal.resource.product_object_id logon_guid 값
로그온 ID security_result.detection_fields.value logon_id 값
logon_type event.idm.read_only_udm.extensions.auth.mechanism 파생됨 logon_type이 '3'인 경우 'NETWORK'에 매핑합니다. '4'인 경우 'BATCH'에 매핑합니다. '5'인 경우 'SERVICE'에 매핑합니다. '8'인 경우 'NETWORK_CLEAR_TEXT'에 매핑합니다. '9'인 경우 'NEW_CREDENTIALS'에 매핑합니다. '10'인 경우 'REMOTE_INTERACTIVE'에 매핑합니다. '11'인 경우 'CACHED_INTERACTIVE'에 매핑합니다. 비어 있지 않으면 'MECHANISM_OTHER'로 매핑합니다.
로그온 계정 security_result.detection_fields.value grok 파싱의 logon_id 값
로그온 프로세스 security_result.detection_fields.value 파싱된 auth_kvdata의 logon_process 값
필수 라벨 security_result.detection_fields.value mandatory_label 값
mastersrcmac principal.mac mastersrcmac 값
메시지 security_result.description 메시지 값
new_process_id target.process.pid 파싱된 process_kvdata의 new_process_id 값
new_process_name target.process.file.full_path 파싱된 process_kvdata의 new_process_name 값
객체 이름 security_result.detection_fields.value 파싱된 object_kvdata의 object_name 값
객체 서버 security_result.detection_fields.value 파싱된 object_kvdata의 object_server 값
객체 유형 security_result.detection_fields.value 파싱된 object_kvdata의 object_type 값
osname principal.platform osname 값이 'WINDOWS', 'LINUX' 또는 'MAC'인 경우의 값입니다.
패키지 이름 (NTLM만 해당) security_result.detection_fields.value 파싱된 auth_kvdata의 package_name 값
policyid security_result.rule_id policyid 값
policyname security_result.rule_name policyname 값
policytype security_result.rule_type policytype 값
프로세스 ID principal.process.pid process_id 값
프로세스 이름 principal.process.file.full_path 파싱된 process_kvdata의 creator_process_name 값
profile_changed security_result.detection_fields.value profile_changed 값
프로필 변경됨 security_result.detection_fields.value 그록 파싱에서 변경된 프로필 값
proto network.ip_protocol 프로토콜이 '17'인 경우 'UDP'에 매핑합니다. '6'이거나 하위 유형이 'wad'인 경우 'TCP'에 매핑합니다. '41'인 경우 'IP6IN4'에 매핑합니다. 서비스가 'PING'이거나 proto가 '1'이거나 서비스에 'ICMP'가 포함된 경우 'ICMP'에 매핑합니다.
프로토콜 network.application_protocol 프로토콜에서 파생된 app_protocol_output 값
제공업체 이름 security_result.detection_fields.value 파싱된 provider_kvdata 또는 cryptographic_kvdata의 provider_name 값
rcvdbyte network.received_bytes rcvdbyte 값
rcvdpkt security_result.detection_fields.value rcvdpkt 값
restricted_admin_mode security_result.detection_fields.value 파싱된 logon_information_kvdata의 restricted_admin_mode 값
반환 코드 security_result.detection_fields.value 파싱된 cryptographic_kvdata의 return_code 값
응답 security_result.detection_fields.value 응답 값
rule_id security_result.rule_id rule_id 값
보안 ID principal.user.windows_sid 파싱된 principal_kvdata의 principal_security_id 값
보안 ID target.user.windows_sid 파싱된 target_kvdata의 target_security_id 값
sentbyte network.sent_bytes sentbyte 값
sentpkt security_result.detection_fields.value sentpkt 값
서비스 network.application_protocol 또는 target.application 서비스에서 파생된 app_protocol_output 값입니다. app_protocol_output이 비어 있으면 target.application에 매핑합니다.
서비스 ID security_result.detection_fields.value 파싱된 service_kvdata의 service_id 값
서비스 이름 security_result.detection_fields.value 파싱된 service_kvdata의 service_name 값
sessionid network.session_id sessionid 값
심각도 security_result.severity, security_result.severity_details 심각도가 'ERROR' 또는 'CRITICAL'인 경우 해당 UDM 심각도에 매핑합니다. 'INFO'인 경우 'INFORMATIONAL'에 매핑합니다. 'MINOR'인 경우 'LOW'에 매핑합니다. 'WARNING'인 경우 'MEDIUM'에 매핑합니다. 'MAJOR'인 경우 'HIGH'에 매핑합니다. 원시 값을 severity_details에도 매핑합니다.
줄이는 것을 security_result.severity, security_result.severity_details 심각도가 '1', '2' 또는 '3'이면 'LOW'로 매핑합니다. '4', '5' 또는 '6'인 경우 'MEDIUM'에 매핑합니다. '7', '8', '9'인 경우 'HIGH'에 매핑합니다. 원시 값을 severity_details에도 매핑합니다.
공유 이름 security_result.detection_fields.value 파싱된 share_information_kvdata의 share_name 값
경로 공유 security_result.detection_fields.value 파싱된 share_information_kvdata의 share_path 값
소스 principal.ip, principal.asset.ip 또는 principal.hostname, principal.asset.hostname 소스가 IP 주소인 경우 principal.ip 및 principal.asset.ip에 매핑합니다. 그렇지 않으면 principal.hostname 및 principal.asset.hostname에 매핑합니다.
소스 주소 principal.ip, principal.asset.ip 파싱된 network_information의 source_ip 값
소스 DRA principal.resource.name source_dra 값
소스 IP principal.ip source_ip 값
소스 네트워크 주소 principal.ip, principal.asset.ip source_ip 값
소스 포트 principal.port 파싱된 network_information의 source_port 값
소스 워크스테이션 workstation_name source_workstation_name 값
srcip source_ip source_ip가 비어 있는 경우 srcip 값
srccountry principal.location.country_or_region srccountry 값
srcmac principal.mac srcmac 값
srcname principal.hostname, principal.asset.hostname srcname 값
srcport source_port source_port가 비어 있는 경우 srcport 값
srcswversion principal.platform_version srcswversion 값
상태 코드 network.http.response_code status_code 값
토큰 상승 유형 security_result.detection_fields.value token_elevation_type 값
transited_services security_result.detection_fields.value 파싱된 auth_kvdata의 transited_services 값
transip principal.nat_ip transip 값
전송 principal.nat_port 운송 가치
유형 metadata.product_event_type 하위 유형과 함께 사용하여 metadata.product_event_type을 만듭니다.
유형 security_result.detection_fields.value 유형 값
UUID metadata.product_log_id UUID 값
vd principal.administrative_domain vd 값
virtual_account security_result.detection_fields.value 파싱된 logon_information_kvdata의 virtual_account 값
워크스테이션 이름 principal.hostname, principal.asset.hostname 다른 주 구성원 식별자가 없는 경우 workstation_name 값
metadata.event_type metadata.event_type 파생됨 principal_present와 target_present가 모두 true이면 'NETWORK_CONNECTION'에 매핑합니다. user_present가 true이면 'USER_RESOURCE_ACCESS'에 매핑합니다. principal_present가 true인 경우 'STATUS_UPDATE'에 매핑됩니다. 그렇지 않으면 'GENERIC_EVENT'로 매핑합니다.
metadata.log_type metadata.log_type 'CYBERX'로 하드코딩됨
metadata.product_name metadata.product_name 'CYBERX'로 하드코딩됨
metadata.vendor_name metadata.vendor_name 'CYBERX'로 하드코딩됨
metadata.event_timestamp metadata.event_timestamp 최상위 타임스탬프 필드에서 복사되거나 eventtime 또는 날짜 및 시간 필드에서 파생됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.