Elastic Packet Beats-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Elastic Packet Beats-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser initialisiert zuerst Standardwerte für verschiedene Felder in Elastic Packet Beats-Logs. Anschließend werden Daten aus den Log-Nachrichten extrahiert. Dazu wird eine Kombination aus grok-Mustern und json-Filtern verwendet. Es werden Datentypkonvertierungen durchgeführt und die extrahierten Felder werden den entsprechenden Feldern im Unified Data Model (UDM) zugeordnet. Die Zuordnung erfolgt auf Grundlage des Event-Dataset-Typs (z. B. „flow“, „dns“, „http“, „tls“, „dhcpv4“).

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz.
• Ein Windows 2016- oder höher- oder Linux-Host mit systemd.
• Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Bindplane-Agent-Anforderungen geöffnet sind.
• Privilegierter Zugriff auf die Elastic Packet Beats-Verwaltungskonsole oder -Appliance.
• Logstash ist installiert und konfiguriert.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
   • Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Konfigurationsdatei aufrufen:

   • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'ELASTIC_PACKETBEATS'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
   • Ersetzen Sie YOUR_CUSTOMER_ID durch die tatsächliche Kunden-ID.
   • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

  sudo systemctl restart observiq-otel-collector
  

• Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

  net stop observiq-otel-collector && net start observiq-otel-collector
  

Syslog-Weiterleitung in Elastic Packet Beats konfigurieren

Da Packetbeat keine direkte Syslog-Ausgabe unterstützt, müssen Sie Logstash als Vermittler verwenden.

Packetbeat so konfigurieren, dass Logs an Logstash gesendet werden

1. Melden Sie sich in der Elastic Packet Beats Management Console an.
2. Rufen Sie die Einstellungen> Log Forwarding auf.
3. Klicken Sie auf die Schaltfläche + Hinzufügen oder Aktivieren.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Logstash Output.
   • Host: Geben Sie die IP-Adresse des Logstash-Servers ein.
   • Port: Geben Sie den Logstash-Beats-Eingabeport ein (normalerweise 5044).
   • Protokoll: Wählen Sie Beats-Protokoll aus.
   • Format: Wählen Sie JSON aus.
   • Zeitzone: Wählen Sie die UTC-Zeitzone aus, um eine universelle Konsistenz zwischen den Systemen zu gewährleisten.
   • Rufen Sie den Bereich Ereignisse auf und wählen Sie die relevanten Protokolltypen oder Alle aus.

5. Speichern Sie die Konfiguration.

   Alternative: packetbeat.yml direkt bearbeiten:

   # /etc/packetbeat/packetbeat.yml
   packetbeat.protocols:
     - type: dns
       ports: [53]
     - type: http
       ports: [80, 8080, 8000, 5000, 8002]
       send_headers: true
       send_all_headers: true
     - type: tls
       ports: [443, 993, 995, 5223, 8443, 8883, 9243]
     - type: dhcpv4
       ports: [67, 68]
   
   # Enable processors for additional fields
   processors:
     - add_network_direction:
         source: private
         destination: private
         internal_networks:
           - private
     - community_id:
   
   # Send to Logstash using beats protocol
   output.logstash:
     hosts: ["LOGSTASH_IP:5044"]
   

   Ersetzen Sie LOGSTASH_IP durch die IP-Adresse Ihres Logstash-Servers.

Logstash für die Weiterleitung an BindPlane über Syslog konfigurieren

1. Erstellen Sie eine Logstash-Pipeline-Konfigurationsdatei:

   sudo nano /etc/logstash/conf.d/packetbeat-to-bindplane.conf
   

2. Fügen Sie die folgende Konfiguration hinzu:

   # Receive from Packetbeat
   input {
     beats {
       port => 5044
     }
   }
   
   # Optional: Add filters for data enrichment
   filter {
     # Preserve original message structure
     mutate {
       copy => { "@metadata" => "[@metadata_backup]" }
     }
   }
   
   # Send to BindPlane via syslog
   output {
     syslog {
       host => "BINDPLANE_IP"
       port => 514
       protocol => "udp"
       rfc => "rfc5424"
       facility => "local0"
       severity => "informational"
       sourcehost => "%{[agent][hostname]}"
       appname => "packetbeat"
       procid => "%{[agent][id]}"
       msgid => "ELASTIC_PACKETBEATS"
       structured_data => "packetbeat@32473"
       message => "%{message}"
     }
   }
   

   Ersetzen Sie BINDPLANE_IP durch die IP-Adresse Ihres BindPlane-Agents.

• Starten Sie Logstash neu, um die Konfiguration anzuwenden:

  sudo systemctl restart logstash
  

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten