Cynet 360 AutoXDR のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Cynet 360 AutoXDR ログを Google Security Operations に取り込む方法について説明します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
- Cynet 360 AutoXDR 管理コンソールへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM Settings] > [Collection Agents] に移動します。
- Ingestion Authentication File をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者として コマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/opt/observiq-otel-collector/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CYNET_360_AUTOXDR' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<CUSTOMER_ID>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonは、ステップ 1 で認証ファイルを保存したファイルパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop observiq-otel-collector && net start observiq-otel-collector
Cynet 360 AutoXDR で Syslog 転送を構成する
- Cynet 360 AutoXDR 管理コンソール にログインします。
- [Settings] [>] [Configuration] [>] [SIEM Settings] に移動します。
- 次の構成情報を提供してください。
- Transmission method: [UDP] を選択します。
- IP address: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します(デフォルトは 514 )。
- [追加] をクリックします。
- [Settings] [>] [Advanced] に移動します。
- [Send Audit Records to SIEM] チェックボックスをオンにします。
- 構成を保存します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
Uniqueness_label |
additional.fields |
統合済み |
clientId_label |
additional.fields |
統合済み |
confVer_label |
additional.fields |
統合済み |
epsVer_label |
additional.fields |
統合済み |
etwAlertId_label |
additional.fields |
統合済み |
externalId_label |
additional.fields |
統合済み |
fname_label |
additional.fields |
統合済み |
gpParams_label |
additional.fields |
統合済み |
gpSign_label |
additional.fields |
統合済み |
gpprUser_label |
additional.fields |
統合済み |
gpssdeep_label |
additional.fields |
統合済み |
hostLS_label |
additional.fields |
統合済み |
pParams_label |
additional.fields |
統合済み |
pSign_label |
additional.fields |
統合済み |
pct_label |
additional.fields |
統合済み |
pssdeep_label |
additional.fields |
統合済み |
scanGroupId_label |
additional.fields |
統合済み |
sev_label |
additional.fields |
統合済み |
sign_label |
additional.fields |
統合済み |
Action |
extensions.auth.type |
マッピング: 111 → AUTHTYPE_UNSPECIFIED |
Info |
metadata.description |
直接マッピングされます。 |
dtUtc |
metadata.event_timestamp |
MMM dd yyyy HH:mm:ss.SSS として解析 |
rt |
metadata.event_timestamp |
MMM dd yyyy HH:mm:ss として解析 |
rtUtc |
metadata.event_timestamp |
MMM dd yyyy HH:mm:ss.SSS として解析 |
Action |
metadata.event_type |
マッピング: 111 → USER_LOGIN |
has_principal |
metadata.event_type |
マッピング: true → FILE_UNCATEGORIZED、true → STATUS_UPDATE |
has_user |
metadata.event_type |
マッピング: true → USER_UNCATEGORIZED |
DbId |
metadata.product_log_id |
直接マッピングされます。 |
pprUser |
principal.administrative_domain |
直接マッピングされます。 |
HostName |
principal.asset.hostname |
直接マッピングされます。 |
dhost |
principal.asset.hostname |
直接マッピングされます。 |
RequesterIp |
principal.asset.ip |
統合済み |
StringIP |
principal.asset.ip |
統合済み |
src |
principal.asset.ip |
統合済み |
pFileHash |
principal.file.sha256 |
直接マッピングされます。 |
HostName |
principal.hostname |
直接マッピングされます。 |
dhost |
principal.hostname |
直接マッピングされます。 |
RequesterIp |
principal.ip |
統合済み |
StringIP |
principal.ip |
統合済み |
src |
principal.ip |
統合済み |
osVer |
principal.platform_version |
直接マッピングされます。 |
ppParams |
principal.process.file.full_path |
直接マッピングされます。 |
gpFileHash |
principal.process.parent_process.file.sha256 |
直接マッピングされます。 |
prUser |
principal.user.userid |
直接マッピングされます。 |
sec_result |
security_result |
統合済み |
sev |
security_result.severity |
マッピング: Medium → MEDIUM、Low → LOW、High → HIGH、Critical → CRITICAL |
domain |
target.administrative_domain |
直接マッピングされます。 |
dst |
target.asset.ip |
統合済み |
Path |
target.file.full_path |
直接マッピングされます。 |
filePath |
target.file.full_path |
直接マッピングされます。 |
fileHash |
target.file.sha256 |
直接マッピングされます。 |
scanGroupName |
target.group.group_display_name |
直接マッピングされます。 |
dst |
target.ip |
統合済み |
UserName |
target.user.userid |
直接マッピングされます。 |
duser |
target.user.userid |
直接マッピングされます。 |
user |
target.user.userid |
直接マッピングされます。 |
| なし | extensions.auth.type |
定数: AUTHTYPE_UNSPECIFIED |
| なし | metadata.event_type |
定数: USER_LOGIN |
| なし | metadata.product_name |
定数: Cynet 360 AutoXDR |
| なし | metadata.vendor_name |
定数: Cynet 360 AutoXDR |
| なし | security_result.severity |
定数: MEDIUM |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。