收集 Ergon Informatik Airlock IAM 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Ergon Informatik Airlock IAM 記錄檔擷取至 Google Security Operations。

Airlock IAM 是一項身分與存取權管理解決方案，提供驗證、授權和使用者自助服務功能。針對 Loginapp、Adminapp、交易核准、服務容器和 API 政策服務模組的驗證事件、使用者軌跡活動、稽核記錄和管理動作，產生結構化 JSON 記錄。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Airlock IAM 伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Airlock IAM 執行個體的管理員存取權
透過 SSH 或控制台存取 Airlock IAM 伺服器，編輯設定檔

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
服務狀態應為「RUNNING」。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令來驗證安裝：
```
sudo systemctl status observiq-otel-collector
```
服務狀態應為「active (running)」。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/airlock_iam:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            source: airlock_iam

service:
    pipelines:
        logs/airlock_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam

替換下列預留位置：
- 接收器設定：
  - listen_address：設為 0.0.0.0:514，即可在通訊埠 51 上監聽所有介面。如要以非根身分執行的 Linux 系統，請使用通訊埠 1514 以上版本。
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：將上一個步驟中的 Google SecOps 客戶 ID 替換為此處的值
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - ingestion_labels：用於分類記錄的選用標籤 (視需要修改)

Windows 設定範例

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/airlock_iam:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            source: airlock_iam

service:
    pipelines:
        logs/airlock_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam

儲存設定檔

編輯完成後，請儲存檔案：

Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列步驟：
1. 執行下列指令：
```
sudo systemctl restart observiq-otel-collector
```
2. 確認服務正在執行：
```
sudo systemctl status observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
sudo journalctl -u observiq-otel-collector -f
```
如要在 Windows 中重新啟動 Bindplane 代理程式，請按照下列步驟操作：
1. 您可以選擇下列其中一個選項：
  - 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 服務控制台：
    1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。
    3. 按一下滑鼠右鍵，然後選取「重新啟動」。
2. 確認服務正在執行：
```
sc query observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 Airlock IAM 系統記錄檔轉送

使用 SSH 或控制台存取權連線至 Airlock IAM 伺服器。
前往執行個體目錄：
```
cd /opt/airlock/iam/instances/<instance_name>/
```
注意： 請將 <instance_name> 替換為實際的 Airlock IAM 執行個體名稱 (例如 default)。
編輯所有模組的 Log4j 設定檔：
```
nano log4j/all-modules.xml
```

在 <Appenders> 區段中新增 Syslog appender 設定：

<Syslog name="SYSLOG" 
        facility="LOCAL1" 
        host="BINDPLANE_AGENT_IP" 
        port="514" 
        protocol="UDP" 
        format="RFC5424" 
        includeMDC="true" 
        mdcId="mdc" 
        newLine="true">
    <ExceptionPattern>%ex{full}</ExceptionPattern>
    <ThresholdFilter level="INFO"/>
</Syslog>

設定 Syslog 附加程式參數：
- host：將 BINDPLANE_AGENT_IP 替換為 Bindplane 代理程式主機的 IP 位址 (例如 192.168.1.100)
- port：設為 514 (如果 Bindplane 代理程式設定為非專屬通訊埠，則設為 1514)
- 通訊協定：設為 UDP (如果您在 Bindplane 中設定 tcplog 接收器，則設為 TCP)
- 格式：設為 RFC5424，表示結構化系統記錄格式
- 設施：設為 LOCAL1 (或視需要設為其他設施代碼：LOCAL0 至 LOCAL7)
- ThresholdFilter 層級：設為 INFO 可傳送 INFO 以上嚴重程度的記錄，設為 DEBUG 則可傳送所有記錄

在 <Root> 記錄器部分中新增附加程式參照：

<Loggers>
  <Root level="${sys:iam.log.level}">
    <AppenderRef ref="SYSLOG"/>
  </Root>
</Loggers>

完整設定範例如下：

<?xml version="1.0" encoding="UTF-8"?>
<Configuration name="Custom Log4j 2 Configuration for All IAM Modules">
  <Appenders>
    <Syslog name="SYSLOG" 
            facility="LOCAL1" 
            host="192.168.1.100" 
            port="514" 
            protocol="UDP" 
            format="RFC5424" 
            includeMDC="true" 
            mdcId="mdc" 
            newLine="true">
      <ExceptionPattern>%ex{full}</ExceptionPattern>
      <ThresholdFilter level="INFO"/>
    </Syslog>
  </Appenders>
  <Loggers>
    <Root level="${sys:iam.log.level}">
      <AppenderRef ref="SYSLOG"/>
    </Root>
  </Loggers>
</Configuration>

儲存設定檔：

依序按下 Ctrl+O、Enter 和 Ctrl+X 鍵
根據預設，系統每 60 秒會監控一次 Log4j 設定變更。新的系統記錄轉送功能會自動啟用，不需重新啟動。
確認記錄是否傳送至 Bindplane 代理程式：
```
sudo journalctl -u observiq-otel-collector -f
```
注意： 您應該會看到系統接收記錄項目，並將其轉送至 Google SecOps。
確認記錄是否已傳送至 Google SecOps：
1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM」>「Search」。
3. 執行搜尋查詢：
```
metadata.log_type = "ERGON_INFORMATIK_AIRLOCK_IAM"
```
4. 確認搜尋結果中顯示 Airlock IAM 記錄。

額外設定選項

設定 TCP 系統記錄檔，而非 UDP

如要改用 TCP 傳輸而非 UDP：

在 Bindplane 代理程式 config.yaml 檔案中，將接收器變更為 tcplog：
```
receivers:
  tcplog:
    listen_address: "0.0.0.0:514"
```

在 Airlock IAM log4j/all-modules.xml 檔案中，將通訊協定變更為 TCP：

<Syslog name="SYSLOG" 
        facility="LOCAL1" 
        host="192.168.1.100" 
        port="514" 
        protocol="TCP" 
        format="RFC5424" 
        includeMDC="true" 
        mdcId="mdc" 
        newLine="true">
  <ExceptionPattern>%ex{full}</ExceptionPattern>
  <ThresholdFilter level="INFO"/>
</Syslog>

重新啟動 Bindplane 代理程式，以套用接收器變更。

設定不同的記錄層級

如要只傳送嚴重程度為「警告」以上的記錄，請按照下列步驟操作：
```
<ThresholdFilter level="WARN"/>
```
如要傳送所有記錄 (包括 DEBUG)：
```
<ThresholdFilter level="DEBUG"/>
```

可用的記錄層級 (由低到高)：

TRACE
DEBUG
INFO
WARN
ERROR
FATAL

設定多個 Airlock IAM 執行個體

如果有多個 Airlock IAM 執行個體傳送至相同的 Bindplane 代理程式，請使用擷取標籤加以區分：

exporters:
    chronicle/airlock_iam_prod:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            instance: prod-iam-01

    chronicle/airlock_iam_dev:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: development
            instance: dev-iam-01

service:
    pipelines:
        logs/airlock_prod:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam_prod

        logs/airlock_dev:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam_dev

疑難排解

Google SecOps 未顯示記錄

確認 Bindplane 代理程式是否收到記錄：

sudo journalctl -u observiq-otel-collector -f

檢查 Airlock IAM 與 Bindplane 代理程式之間的網路連線：
```
telnet BINDPLANE_AGENT_IP 514
```

確認 Log4j 設定有效：

cat /opt/airlock/iam/instances/<instance_name>/log4j/all-modules.xml

檢查 Airlock IAM 記錄是否有錯誤：

tail -f /opt/airlock/iam/instances/<instance_name>/logs/loginapp.log

Bindplane 代理程式錯誤

檢查 Bindplane 代理程式記錄是否有錯誤：

sudo journalctl -u observiq-otel-collector -n 100

確認 config.yaml 語法正確無誤。YAML 對縮排很敏感。
確認擷取驗證檔案路徑正確無誤，且檔案確實存在。

測試與 Google SecOps 端點的網路連線：

curl -v https://malachiteingestion-pa.googleapis.com

防火牆設定

請確認已設定下列防火牆規則：

傳送至 Bindplane 代理程式：

通訊協定：UDP (如果使用 tcplog，則為 TCP)
通訊埠：514 (或您設定的通訊埠)
來源：Airlock IAM 伺服器 IP 位址

從 Bindplane 代理程式傳送：

通訊協定：HTTPS (TCP 443)
目的地：Google SecOps 區域端點
用途：將記錄傳送至 Google SecOps

UDM 對應表

記錄欄位	UDM 對應	邏輯
expire_time	additional.fields	如果不是空白，則會合併為含有「expire_time」鍵的標籤
行動裝置	additional.fields	如果標籤不為空白，則會與索引鍵「mobile」合併
sn	additional.fields	如果不是空白，則會合併為鍵為「sn」的標籤
CONFIG_CONTEXT	additional.fields	如果不是空白，則會合併為含有「CONFIG_CONTEXT」鍵的標籤
部門	additional.fields	如果不是空白，則會合併為含有「department」鍵的標籤
ctxData	additional.fields	如果不是空白，則會合併為索引鍵為「ctxData」的標籤
displayLanguage	additional.fields	如果不是空白，則會合併為索引鍵為「displayLanguage」的標籤
nrPwdTrialsForUserDeletion	additional.fields	如果不是空白，則會合併為鍵為「nrPwdTrialsForUserDeletion」的標籤
authInstant	additional.fields	如果不是空白，則會合併為索引鍵為「authInstant」的標籤
auditToken	additional.fields	如果不是空白，則會合併為含有「auditToken」鍵的標籤
authPlugin	additional.fields	如果不是空白，則會合併為具有「authPlugin」鍵的標籤
latestIdPropagation	additional.fields	如果不是空白，則合併為標籤，並使用「latestIdPropagation」鍵
服務	additional.fields	如果不是空白，則會合併為具有「service」鍵的標籤
ldap_type	additional.fields	如果不是空白，則合併為具有「ldap_type」鍵的標籤
report_message	additional.fields	如果不是空白，則會合併為索引鍵為「report_message」的標籤
authenteeProvidedId	additional.fields	如果不是空白，則會合併為含有「authenteeProvidedId」鍵的標籤
representerId	additional.fields	如果不是空白，則會合併為索引鍵為「representerId」的標籤
引擎	additional.fields	如果不是空白，則會合併為含有「engine」鍵的標籤
頻道	additional.fields	如果不是空白，則會合併為索引鍵為「channel」的標籤
authnFactor	additional.fields	如果不是空白，則合併為鍵為「authnFactor」的標籤
authnFactorDetail	additional.fields	如果不是空白，則合併為具有「authnFactorDetail」鍵的標籤
required_roles	additional.fields	如果不是空白，則會合併為索引鍵為「required_roles」的標籤
target_pattern	additional.fields	如果不是空白，則會合併為標籤，並以「target_pattern」做為鍵
nameid	additional.fields	如果不是空白，則會合併為含有「nameid」鍵的標籤
plugin_name	additional.fields	如果標籤不為空白，則會與鍵「plugin_name」合併
機制	additional.fields	如果不是空白，則會合併為含有「mechanism」鍵的標籤
new_session_id	additional.fields	如果不是空白，則會合併為鍵為「new_session_id」的標籤
former_session_id	additional.fields	如果不是空白，則會合併為索引鍵為「former_session_id」的標籤
req_id	additional.fields	如果不是空白，則會合併為含有「req_id」鍵的標籤
auth_method	additional.fields	如果不是空白，則合併為含有「auth_method」鍵的標籤
otp	additional.fields	如果不是空白，則會合併為索引鍵為「otp」的標籤
mob_num	additional.fields	如果不是空白，則會合併為含有「mob_num」鍵的標籤
jsessionid	additional.fields	如果不是空白，則會合併為索引鍵為「jsessionid」的標籤
建立日期	additional.fields	如果不是空白，則會合併為鍵為「creationDate」的標籤
lastLogin	additional.fields	如果不是空白，則合併為索引鍵為「lastLogin」的標籤
accountStatus	additional.fields	如果不是空白，則會合併為索引鍵為「accountStatus」的標籤
companyAdministrator	additional.fields	如果不是空白，則會合併為含有「companyAdministrator」鍵的標籤
companyCustomer	additional.fields	如果不是空白，則會合併為索引鍵為「companyCustomer」的標籤
privateCustomer	additional.fields	如果不是空白，則會合併為含有「privateCustomer」鍵的標籤
otpNotifyChannel	additional.fields	如果不是空白，則會合併為鍵為「otpNotifyChannel」的標籤
nas_identifier	additional.fields	如果不是空白，則會合併為含有「nas_identifier」鍵的標籤
session_id	additional.fields	如果不是空白，則會合併為含有「session_id」鍵的標籤
authPluginClassName	extensions.auth.auth_details	如果存在，則直接複製值
authenticator_type	extensions.auth.auth_details	如果存在且 authPluginClassName 為空白，則直接複製值
logon_type	extensions.auth.mechanism	直接複製值
不適用	中介	從中介物件合併
FORWARD_LOCATION	intermediary.url	直接複製值
metadata_description	metadata.description	直接複製值
不適用	metadata.event_type	根據事件環境設定；由剖析器邏輯決定
REQUEST_ID	metadata.product_log_id	直接複製值
airlock_version	metadata.product_version	直接複製值
方法	network.http.method	直接複製值
user_agent	network.http.user_agent	直接複製值
packet_size	network.received_packets	轉換為整數的值
GSID	network.session_id	直接複製值
主機	principal.hostname	直接複製值
CLIENT_IP	principal.ip	直接複製值
UID	principal.user.userid	直接複製值
role_name	role.name	直接複製值
authenteeType	role.type	直接複製值
不適用	security_result	從 security_result 物件合併
動作	security_result.action_details	如果存在，則直接複製值
authMethodShortDesc	security_result.action_details	如果存在，則合併值
action_detail	security_result.action_details	如果存在，則合併值
category_value	security_result.category	直接複製值
actionGroup	security_result.category_details	直接複製值
result_description	security_result.description	直接複製值
例外狀況	security_result.summary	如果存在，則直接複製值
STATLOG	security_result.summary	如果存在且例外狀況為空白，則直接複製值
mob_num	src.asset.type	直接複製值
郵件	src.email	如果存在，則直接複製值
電子郵件	src.email	如果存在且郵件為空白，則直接複製值
src_ip	src.ip	直接複製值
src_port	src.port	轉換為整數的值
角色	src.user.attribute.roles	直接複製值
公司	src.user.company_name	直接複製值
firstName	src.user.first_name	直接複製值
lastName	src.user.last_name	直接複製值
狀態	src.user.user_authentication_status	直接複製值
displayName	src.user.user_display_name	如果存在，則直接複製值
使用者名稱	src.user.user_display_name	如果存在且 displayName 為空，則直接複製值
src_user	src.user.user_display_name	如果存在且 displayName/username 為空，則直接複製值
authenteeId	src.user.userid	如果存在，則直接複製值
src_userid	src.user.userid	如果存在且 authenteeId 為空，則直接複製值
UID	src.user.userid	如果存在且 authenteeId/src_userid 為空，則直接複製值
file_path	target.file.full_path	直接複製值
target_hostname	target.hostname	直接複製值
target_port	target.port	轉換為整數的值
task_name	target.resource.name	直接複製值
target_url	target.url	直接複製值
不適用	metadata.product_name	設為「Ergon Informatik Airlock IAM」
不適用	metadata.vendor_name	設為「Ergon Informatik」

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。