Mengumpulkan log Darktrace
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Darktrace ke Google Security Operations menggunakan agen Bindplane.
Darktrace adalah platform keamanan siber yang didukung AI yang mendeteksi ancaman dan anomali secara real time. Parser menangani log Darktrace berformat CEF dan JSON, mengekstrak kolom, dan memetakannya ke Model Data Terpadu (UDM).
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan perangkat Darktrace
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke UI web Darktrace
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:10282" exporters: chronicle/darktrace: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: DARKTRACE raw_log_field: body service: pipelines: logs/darktrace_to_chronicle: receivers: - tcplog exporters: - chronicle/darktrace
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
listen_address: Alamat IP dan port yang akan diproses:0.0.0.0untuk mendengarkan di semua antarmuka (direkomendasikan)- Port
10282adalah port syslog CEF Darktrace default (sesuaikan sesuai kebutuhan)
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID Pelanggan yang disalin dari konsol Google SecOpsendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi syslog di Darktrace
- Login ke UI web Darktrace.
- Buka Admin > Konfigurasi Sistem.
- Klik Verifikasi Setelan Pemberitahuan.
- Berikan detail konfigurasi berikut:
- CEF Syslog Alerts: Pilih True.
- Server Syslog CEF: Masukkan alamat IP Bindplane.
- CEF Syslog Server Port: Masukkan nomor port Bindplane (misalnya,
10282). - CEF Syslog TCP Alert: Pilih True.
- Klik Simpan.
Log sampel Darktrace yang didukung
SYSLOG + KV (CEF)
{ "acknowledged": false, "commentCount": 0, "pbid": 900000001, "time": 1604055367000, "creationTime": 1604055367000, "model": { "name": "Compromise::Agent Beacon to New Endpoint", "uuid": "dfd6f10b-b91c-4244-9fd5-7c35caf21b33", "description": "A device is initiating multiple connections to a new external endpoint...", "priority": 2, "category": "Informational", "mitre": { "tactics": [ "command-and-control" ], "techniques": [ "T1071.001" ] } }, "triggeredComponents": [ { "time": 1677679818000, "ip": " ", "port": 443, "metric": { "name": "externalconnections" }, "triggeredFilters": [ { "filterType": "Connection hostname", "trigger": { "value": "beacon.external.io" } } ] } ], "score": 0.85, "device": { "did": 90001, "macaddress": " ", "ip": " ", "hostname": "user-laptop-1" } }SYSLOG + JSON
{ "dpi_engine": "dt-sensor-101", "proto": "tcp", "source_ip": " ", "source_port": 51000, "dest_ip": " ", "dest_port": 389, "src": " ", "dst": " ", "details": "AP request: srealm is [TESTDOMAIN.LOCAL], service is [LDAP/DC99.testdomain.local/testdomain.local], ST cipher is [aes256-cts-hmac-sha1-96]", "epochdate": 1690471502.2252, "@host": "log-collector-host", "uid": "ABCDEFGHIJ1234567890", "note": "KERBEROS::App", "@type": "notice" }
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| darktraceUrl | security_result.url_back_to_product | Nilai diambil dari kolom darktraceUrl. |
| darktrace_host | observer.hostname | Nilai diambil dari kolom darktrace_host jika bukan alamat IP. |
| darktrace_ip | observer.ip | Nilai diambil dari kolom darktrace_ip. |
| darktrace_user | observer.user.userid | Nilai diambil dari kolom darktrace_user. |
| deskripsi | security_result.summary, metadata.description | Nilai diambil dari kolom description. |
| device.customFields.DT-AUTO.macaddress | principal.mac | Nilai diambil dari kolom device.customFields.DT-AUTO.macaddress. |
| device.did | principal.asset.asset_id | Nilai diambil dari kolom device.did, dikonversi menjadi string, dan diberi awalan Device ID:. |
| device.firstSeen | principal.asset.first_seen_time | Nilai diambil dari kolom device.firstSeen, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik. |
| device.hostname | principal.hostname, principal.asset.hostname | Nilai diambil dari kolom device.hostname. |
| device.ip | principal.ip, principal.asset.ip | Nilai diambil dari kolom device.ip jika cocok dengan format alamat IP. |
| device.ips.0.subnet | additional.fields.subnet | Nilai diambil dari kolom device.ips.0.subnet dan diberi awalan subnet. |
| device.ips.ip | principal.ip, principal.asset.ip | Nilai diambil dari kolom device.ips.ip untuk setiap alamat IP dalam daftar. |
| device.lastSeen | principal.asset.last_discover_time | Nilai diambil dari kolom device.lastSeen, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik. |
| device.macaddress | principal.mac | Nilai diambil dari kolom device.macaddress. |
| device.objecttype | principal.asset.type | Jika nilainya adalah device, kolom UDM akan ditetapkan ke WORKSTATION. |
| device.sid | principal.resource.attribute.labels.sid | Nilai diambil dari kolom device.sid dan dikonversi menjadi string. |
| device.typelabel | principal.resource.attribute.labels.typelabel | Nilai diambil dari kolom device.typelabel. |
| device.typename | principal.resource.attribute.labels.typename | Nilai diambil dari kolom device.typename. |
| dst | target.ip, target.asset.ip | Nilai diambil dari kolom dst. |
| dpt | target.port | Nilai diambil dari kolom dpt dan dikonversi menjadi bilangan bulat. |
| dvc | principal.ip, principal.asset.ip | Jika nilai dvc adalah alamat IP, nilai tersebut akan ditambahkan ke kolom UDM. |
| dvchost | principal.hostname, principal.asset.hostname | Nilai diambil dari kolom dvchost. |
| endpoint | target.url | Nilai diambil dari kolom endpoint. |
| event_time | metadata.event_timestamp | Nilai diambil dari kolom event_time dan diuraikan sebagai stempel waktu ISO8601. |
| externalId | metadata.product_log_id | Nilai diambil dari kolom externalId. |
| incidentEventUrl | principal.url | Nilai diambil dari kolom incidentEventUrl. |
| ip | principal.ip, principal.asset.ip | Nilai diambil dari kolom ip jika cocok dengan format alamat IP. |
| issue_msg | security_result.summary | Nilai diambil dari kolom issue_msg. |
| pesan | security_result.description | Nilai diambil dari kolom message. |
| metode | network.http.method | Nilai diambil dari kolom method. |
| model.description | metadata.description | Nilai diambil dari kolom model.description. |
| model.name | metadata.product_event_type | Nilai diambil dari kolom model.name. |
| model.now.category | security_result.severity | Jika nilainya adalah critical, kolom UDM akan ditetapkan ke CRITICAL. Jika nilainya adalah Informational, kolom UDM akan ditetapkan ke INFORMATIONAL. Jika nilainya adalah Suspicious, kolom UDM akan disetel ke HIGH dan kategorinya akan disetel ke NETWORK_SUSPICIOUS. |
| model.now.description | metadata.description | Nilai diambil dari kolom model.now.description. |
| model.now.message | security_result.description | Nilai diambil dari kolom model.now.message. |
| model.now.name | metadata.product_event_type | Nilai diambil dari kolom model.now.name. |
| model.now.pid | principal.process.pid | Nilai diambil dari kolom model.now.pid dan dikonversi menjadi string. |
| model.now.uuid | principal.user.userid | Nilai diambil dari kolom model.now.uuid dan jenis peristiwa ditetapkan ke USER_UNCATEGORIZED. |
| model.pid | principal.process.pid | Nilai diambil dari kolom model.pid dan dikonversi menjadi string. |
| model.then.description | principal.resource.attribute.labels.Model Then Description | Nilai diambil dari kolom model.then.description. |
| model.then.name | principal.resource.attribute.labels.Model Then Name | Nilai diambil dari kolom model.then.name. |
| model.then.pid | principal.resource.attribute.labels.Model Kemudian Pid | Nilai diambil dari kolom model.then.pid dan dikonversi menjadi string. |
| model.then.uuid | principal.resource.attribute.labels.Model Kemudian UUID | Nilai diambil dari kolom model.then.uuid. |
| model.uuid | principal.user.userid | Nilai diambil dari kolom model.uuid dan jenis peristiwa ditetapkan ke USER_UNCATEGORIZED. |
| relatedBreaches.0.modelName | security_result.description | Nilai diambil dari kolom relatedBreaches.0.modelName. |
| skor | security_result.priority, security_result.priority_details | Jika nilainya antara 0,8 dan 1, prioritas ditetapkan ke HIGH_PRIORITY. Jika nilainya antara 0,5 dan 0,79, prioritas ditetapkan ke MEDIUM_PRIORITY. Jika nilainya antara 0 dan 0,49, prioritas ditetapkan ke LOW_PRIORITY. Detail prioritas ditetapkan ke Score :, diikuti dengan nilai score yang dikonversi menjadi string. |
| tingkat keseriusan, | security_result.severity | Jika nilainya adalah 2, kolom UDM akan disetel ke MEDIUM. Jika nilainya lebih besar dari 2, kolom UDM akan ditetapkan ke HIGH. |
| shost | principal.hostname, principal.asset.hostname | Nilai diambil dari kolom shost. |
| smac | principal.mac | Nilai diambil dari kolom smac. |
| src | principal.ip, principal.asset.ip | Nilai diambil dari kolom src. |
| status | network.http.response_code | Nilai diambil dari kolom status dan dikonversi menjadi string. |
| ringkasan | metadata.description | Nilai diambil dari kolom summary. |
| waktu | Nilai diambil dari kolom time, dikonversi menjadi string, dan diuraikan sebagai stempel waktu UNIX dalam milidetik. |
|
| timestamp | Nilai diambil dari kolom timestamp dan diuraikan sebagai stempel waktu ISO8601 atau stempel waktu UNIX dalam milidetik. |
|
| title | security_result.summary | Nilai diambil dari kolom title. |
| triggeredComponents.ip | intermediary.ip | Nilai diambil dari kolom triggeredComponents.ip jika cocok dengan format alamat IP. |
| triggeredComponents.port | intermediary.port | Nilai diambil dari kolom triggeredComponents.port dan dikonversi menjadi bilangan bulat. |
| nama pengguna | principal.user.userid | Nilai diambil dari kolom username. |
| metadata.vendor_name | Tetapkan ke DARKTRACE. |
|
| metadata.product_name | Tetapkan ke DCIP. |
|
| metadata.log_type | Tetapkan ke DARKTRACE. |
|
| network.ip_protocol | Disetel ke TCP jika issue_msg tidak berisi UDP. Jika tidak, ditetapkan ke UDP. |
|
| security_result.action | Disetel ke BLOCK jika status adalah 401, jika tidak, disetel ke ALLOW. |
|
| security_result.severity | Tetapkan ke INFORMATIONAL. |
|
| network.application_protocol | Disetel ke HTTP jika method tidak kosong. |
|
| metadata.event_type | Disetel ke NETWORK_HTTP jika method tidak kosong. Disetel ke USER_LOGIN jika description berisi logged into \\\\S+ over ssh. Disetel ke NETWORK_CONNECTION jika target_ip tidak kosong. Jika tidak, setel ke STATUS_UPDATE. |
|
| extensions.auth.type | Disetel ke MACHINE jika description berisi logged into \\\\S+ over ssh. |
|
| security_result.category | Disetel ke DATA_EXFILTRATION jika issue_msg berisi Exfiltration. Disetel ke NETWORK_MALICIOUS jika issue_msg berisi Compromise. Jika tidak, setel ke NETWORK_SUSPICIOUS. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.