Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Delinea Distributed Engine のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Delinea Distributed Engine ログを Google Security Operations に取り込む方法について説明します。

Delinea Distributed Engine は、Delinea クラウドプラットフォームとオンプレミスリソース間の安全な接続を提供します。エンジンは、検出、同期、運用イベントの syslog メッセージを CEF 形式で生成します。パーサーはフィールドを抽出し、統合データモデル（UDM）にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと Delinea Distributed Engine 間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
Delinea ポータルウェブ UI への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [active (running)] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    tcplog:
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/delinea_distributed_engine:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: DELINEA_DISTRIBUTED_ENGINE
        raw_log_field: body

service:
    pipelines:
        logs/delinea_distributed_engine_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/delinea_distributed_engine

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - ポート 5145 は構成済みの syslog ポートです（必要に応じて調整してください）。
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Delinea syslog を構成する

Delinea ポータルのウェブ UI にログインします。
[Admin] > [Application] に移動します。
[編集] ボタンをクリックします。
[Syslog/CEF ログ出力の有効化] チェックボックスをオンにします。[Syslog] セクションが表示されます。
Bindplane エージェントの IP アドレスを入力します。
Bindplane エージェントのポート番号を入力します。
[プロトコル] メニューをクリックして、[TCP] を選択します。
必要に応じて、[Time Zone list to UTC Time] または [Server Time] をクリックして選択します。
[サイト] メニューをクリックして、Syslog/CEF が実行される関連するサイトを選択します。
（省略可）監査とイベントサブスクリプションを Windows イベントログに書き込むには、[Write Syslogs As Windows Events] を選択します。
[保存] をクリックします。

分散エンジンのログレベルを構成する

Delinea ポータルのウェブ UI にログインします。
[管理] > [分散エンジン] に移動します。
関連するエンジンの上にあるその他アイコンをクリックし、[設定を表示] を選択します。
[ログレベル] メニューで [情報] を選択します。
[OK] をクリックします。

サポートされている Delinea Distributed Engine のサンプルログ

SYSLOG（Delinea 独自の形式）

2024-09-26 21:14:27,369 [CID:] [C:] [TID:PriorityScheduler Elastic Thread @ Normal] INFO Thycotic.DE.Feature.SS.LocalAccountDiscovery.Areas.Discovery.LocalAccountConsumer - server-dummy-01: Send Local Account Results Count: 0 - (null)

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`ACTION`	`security_result.action`	`ACTION_CODE` が「1」の場合は、「ALLOW」に設定します。それ以外の場合、`ACTION_CODE` が空でない場合は「BLOCK」に設定します。それ以外の場合は、パーサーの早い段階で「UNKNOWN_ACTION」にデフォルト設定されます。
`ACTION_CODE`	`security_result.action`	`security_result.action` を決定するロジックで使用されます。
`APP_NAME`	`network.http.user_agent`	直接マッピングされます。
`BYTES_RECVD`	`network.received_bytes`	直接マッピングされ、符号なし整数に変換されます。
`BYTES_SENT`	`network.sent_bytes`	直接マッピングされ、符号なし整数に変換されます。
`CLOUDGENIX_HOST`	`principal.hostname`	`NAME` フィールドが空の場合、直接マッピングされます。`NAME` が存在する場合、中間ホスト名として使用されます。
`CODE`	`metadata.product_event_type`	`FACILITY` と連結して `metadata.product_event_type` を形成します。また、`metadata.event_type` の決定にも使用されます（例: `CODE` に「DOWN」が含まれている場合、`metadata.event_type` は「STATUS_SHUTDOWN」に設定されます）。
`DESTINATION_ZONE_NAME`	`about.labels`	キー「DESTINATION_ZONE_NAME」のラベルとして直接マッピングされます。
`DEVICE_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`DST_INTERFACE`	`target.hostname`	直接マッピングされます。
`DST_IP`	`target.ip`	直接マッピングされます。
`DST_PORT`	`target.port`	直接マッピングされ、整数に変換されます。
`ELEMENT_ID`	`about.labels`	キー「ELEMENT_ID」のラベルとして直接マッピングされます。
`EVENT_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`FACILITY`	`metadata.product_event_type`	`CODE` と連結して `metadata.product_event_type` を形成します。
`FLOW_EVENT`	`security_result.summary`	`security_result.summary` 文字列の一部として使用されます。
`IDENTIFIER`	`about.labels`	キー「IDENTIFIER」のラベルとして直接マッピングされます。
`ION_HOST`	`principal.hostname`	`CLOUDGENIX_HOST` フィールドと `NAME` フィールドが空の場合、直接マッピングされます。
`MSG`	`metadata.description`	直接マッピングされます。また、正規表現マッチングを使用して `metadata.event_type` を特定し、`target.ip` を抽出するためにも使用されます。
`NAME`	`principal.hostname`	直接マッピングされます。このタグが存在する場合、`CLOUDGENIX_HOST` は `intermediary.hostname` になります。
`PROCESS_NAME`	`principal.process.file.full_path`	直接マッピングされます。
`PROTOCOL_NAME`	`network.ip_protocol`	直接マッピングされ、大文字に変換されます。
`REMOTE_HOSTNAME`	`target.hostname`	直接マッピングされます。
`REMOTE_IP`	`target.ip`	直接マッピングされます。
`RULE_NAME`	`security_result.rule_name`	直接マッピングされます。
`SEVERITY`	`security_result.severity`、`security_result.severity_details`	`security_result.severity_details` にマッピングされます。また、`security_result.severity` の決定にも使用されます（たとえば、`SEVERITY` が「minor」の場合、`security_result.severity` は「LOW」に設定されます）。
`SOURCE_ZONE_NAME`	`about.labels`	キー「SOURCE_ZONE_NAME」のラベルとして直接マッピングされます。
`SRC_INTERFACE`	`principal.hostname`	直接マッピングされます。
`SRC_IP`	`principal.ip`	直接マッピングされます。
`SRC_PORT`	`principal.port`	直接マッピングされ、整数に変換されます。
`VPN_LINK_ID`	`target.resource.id`	直接マッピングされます。
（パーサーロジック）	`is_alert`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`is_significant`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`metadata.event_type`	`CODE`、`MSG`、`src_ip`、`dest_ip` の値に基づく一連の条件文によって決定されます。デフォルトは「GENERIC_EVENT」です。
（パーサーロジック）	`metadata.log_type`	「CLOUDGENIX_SDWAN」に設定されます。
（パーサーロジック）	`metadata.product_event_type`	デフォルトは `CODE` と `FACILITY` の連結です。フローログの場合は「cgxFlowLogV1」に設定します。
（パーサーロジック）	`metadata.product_name`	「CloudGenix SD-WAN」に設定します。
（パーサーロジック）	`metadata.vendor_name`	「Palo Alto Networks」に設定します。
（パーサーロジック）	`principal.process.pid`	フローログの場合、未加工ログの `pid` の値に設定します。
（パーサーロジック）	`security_result.action`	デフォルトは「UNKNOWN_ACTION」です。
（パーサーロジック）	`security_result.severity`	デフォルトは「UNKNOWN_SEVERITY」です。`SEVERITY` の値に基づいて設定します。フローログの場合は「INFORMATIONAL」に設定します。
（パーサーロジック）	`security_result.summary`	syslog メッセージについては `CODE` の値に基づいて設定されます。フローログの `FLOW_EVENT`、`SRC_IP`、`DST_IP` を含む説明文字列に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。