Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log DLP di Endpoint Protector

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log DLP di Netwrix Endpoint Protector in Google Security Operations utilizzando l'agente Bindplane.

Netwrix Endpoint Protector è una soluzione di prevenzione della perdita di dati (DLP) che genera messaggi syslog per il controllo dei dispositivi, la protezione basata sui contenuti e gli eventi di trasferimento di file. Il parser estrae i campi utilizzando i pattern grok e li mappa al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Endpoint Protector
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi a Netwrix Endpoint Protector

Recuperare il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione di importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota: questo file JSON contiene le credenziali per autenticare l'agente Bindplane in Google SecOps.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/endpoint_protector_dlp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ENDPOINT_PROTECTOR_DLP
        raw_log_field: body

service:
    pipelines:
        logs/endpoint_protector_dlp_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/endpoint_protector_dlp

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: indirizzo IP e porta su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede la root su Linux; utilizza 1514 per non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione di importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL dell'endpoint a livello di regione:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, consulta Endpoint a livello di regione

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per verificare la presenza di errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare syslog in Netwrix Endpoint Protector

Accedi all'interfaccia utente web Endpoint Protector.
Vai a Appliance > Integrazione SIEM.
Fai clic su Aggiungi nuovo.
Fornisci i seguenti dettagli di configurazione:
- Stato SIEM: attiva/disattiva l'opzione per abilitare il server SIEM.
- Disattiva logging: attiva/disattiva l'opzione per abilitare il logging.
- Nome server: inserisci un nome server univoco e significativo.
- Descrizione server: aggiungi una descrizione per questa integrazione.
- IP server o DNS: inserisci l'indirizzo IP dell'agente Bindplane.
- Protocollo server: seleziona UDP.
- Porta server: inserisci il numero di porta dell'agente Bindplane (ad esempio, 514 per UDP).
- Escludi intestazioni: attiva/disattiva l'opzione per abilitare le intestazioni dei log.
- Tipi di log: seleziona i log disponibili da inviare al SIEM.
Fai clic su Salva.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
`Client Computer`	`principal.asset.asset_id`	Il valore di `Client Computer` viene assegnato a `principal.asset.asset_id` dopo aver aggiunto il prefisso "Client Computer: ".
`Client User`	`principal.user.userid`	Il valore di `Client User` viene assegnato a `principal.user.userid`.
`Content Policy`	`security_result.rule_name`	Il valore di `Content Policy` viene assegnato a `security_result.rule_name`.
`Content Policy Type`	`security_result.rule_id`	Il valore di `Content Policy Type` viene assegnato a `security_result.rule_id`.
`Destination`	`metadata.ingestion_labels.value`	Il valore di `Destination` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Destination".
`Destination Type`	`metadata.ingestion_labels.value`	Il valore di `Destination Type` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Destination Type".
`Device PID`	`metadata.ingestion_labels.value`	Il valore di `Device PID` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Device PID".
`Device Serial`	`metadata.ingestion_labels.value`	Il valore di `Device Serial` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Device Serial". Questa operazione viene eseguita solo se `Device Serial` non è vuoto.
`Device VID`	`metadata.ingestion_labels.value`	Il valore di `Device VID` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Device VID".
`File Name`	`target.file.full_path`	Il valore di `File Name` viene assegnato a `target.file.full_path`.
`File Size`	`target.file.size`	Il valore di `File Size` viene assegnato a `target.file.size` e convertito in un numero intero senza segno.
`IP Address`	`principal.ip`	Il valore di `IP Address` viene assegnato a `principal.ip`.
`Item Details`	`metadata.ingestion_labels.value`	Il valore di `Item Details` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Item Details".
`Log ID`	`metadata.product_log_id`	Il valore di `Log ID` viene assegnato a `metadata.product_log_id`.
`MAC Address`	`principal.mac`	Il valore di `MAC Address` viene assegnato a `principal.mac` dopo aver sostituito tutti i trattini con i due punti.
`Matched Item`	`metadata.ingestion_labels.value`	Il valore di `Matched Item` viene assegnato al campo `value` di un oggetto `ingestion_labels` in cui `key` è "Matched Item".
`Message`	`security_result.summary`	Il valore di `Message` viene assegnato a `security_result.summary`.
`OS`	`principal.platform`	Il valore di `OS` viene utilizzato per determinare il valore di `principal.platform`. Se `OS` contiene "Windows", `principal.platform` è impostato su "WINDOWS". Se `OS` contiene "Mac", `principal.platform` è impostato su "MAC". Se `OS` contiene "Lin", `principal.platform` è impostato su "LINUX".
`Serial Number`	`principal.asset.hardware.serial_number`	Il valore di `Serial Number` viene assegnato a `principal.asset.hardware.serial_number`. Estratto dal campo del messaggio utilizzando grok e assegnato a `intermediary.hostname`. Estratto dal campo del messaggio utilizzando grok e assegnato a `metadata.description`. Il timestamp del messaggio syslog viene analizzato e assegnato a `metadata.event_timestamp`. Il valore "SCAN_UNCATEGORIZED" viene assegnato a `metadata.event_type`. Il valore "ENDPOINT_PROTECTOR_DLP" viene assegnato a `metadata.log_type`. Il valore "ENDPOINT_PROTECTOR_DLP" viene assegnato a `metadata.product_name`. Il valore "ENDPOINT_PROTECTOR_DLP" viene assegnato a `metadata.vendor_name`. Estratto dal campo del messaggio utilizzando grok e assegnato a `principal.hostname`. Estratto dal campo del messaggio utilizzando grok e assegnato a `principal.ip`. Il timestamp del messaggio syslog viene analizzato e assegnato al campo `timestamp` di primo livello.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.