Coletar registros do Microsoft Exchange

Este documento explica como ingerir registros do Microsoft Exchange no Google Security Operations usando o Bindplane. Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão EXCHANGE_MAIL.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Um Windows Server 2016 ou mais recente com o Microsoft Exchange Server instalado
• Acesso administrativo ao Exchange Server
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.
2. Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configure o agente do Bindplane para coletar logs de eventos do Windows e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório `C:\Program Files\observIQ OpenTelemetry Collector` no Windows.
   • Abra o arquivo usando um editor de texto, como o Bloco de Notas ou o Notepad++.

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Substitua <PLACEHOLDER_CUSTOMER_ID> pelo ID de cliente real obtido anteriormente.
   • Substitua <YOUR_REGIONAL_ENDPOINT> pelo endpoint regional adequado na documentação de endpoints regionais.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Observações sobre a configuração

• Canal do aplicativo: coleta eventos no nível do aplicativo do Exchange Server, incluindo inicialização do serviço, erros e avisos.
• Canal do sistema: coleta eventos no nível do sistema que podem afetar a operação do Exchange Server.
• Canal de gerenciamento do MSExchange: coleta eventos de gerenciamento específicos do Exchange, incluindo execuções de cmdlets do PowerShell e ações administrativas.
• raw: true: envia entradas completas do log de eventos do Windows no formato original para uma análise abrangente.
• start_at: end: começa a coletar novos eventos a partir do ponto atual (não ingere registros históricos).

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando como administrador:

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.