Recopila registros de Microsoft Exchange

En este documento, se explica cómo transferir registros de Microsoft Exchange a Google Security Operations con Bindplane. Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia EXCHANGE_MAIL.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows Server 2016 o una versión posterior con Microsoft Exchange Server instalado
• Acceso administrativo al servidor de Exchange
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.
2. Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Recursos adicionales de instalación

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para recopilar registros de eventos de Windows y enviarlos a Google SecOps

1. Accede al archivo de configuración:

   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio `C:\Program Files\observIQ OpenTelemetry Collector` en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, Bloc de notas o Notepad++).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Reemplaza <PLACEHOLDER_CUSTOMER_ID> por el ID de cliente real que obtuviste antes.
   • Reemplaza <YOUR_REGIONAL_ENDPOINT> por el extremo regional adecuado de la documentación de extremos regionales.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Notas de configuración

• Canal de aplicación: Recopila eventos a nivel de la aplicación desde Exchange Server, incluidos el inicio del servicio, los errores y las advertencias.
• Canal del sistema: Recopila eventos a nivel del sistema que pueden afectar el funcionamiento de Exchange Server.
• Canal de administración de MSExchange: Recopila eventos de administración específicos de Exchange, incluidas las ejecuciones de cmdlets de PowerShell y las acciones administrativas.
• raw: true: Envía entradas completas del registro de eventos de Windows en su formato original para un análisis integral.
• start_at: end: Comienza a recopilar eventos nuevos a partir del punto actual (no ingiere registros históricos).

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando como administrador:

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.