Collecter les journaux Microsoft Exchange

Ce document explique comment ingérer des journaux Microsoft Exchange dans Google Security Operations à l'aide de Bindplane. Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion EXCHANGE_MAIL.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Windows Server 2016 ou version ultérieure avec Microsoft Exchange Server installé
• Accès administrateur au serveur Exchange
• Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.
3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows en suivant les instructions ci-dessous.

Installation de Windows

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
2. Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Ressources d'installation supplémentaires

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour collecter les journaux d'événements Windows et les envoyer à Google SecOps

1. Accédez au fichier de configuration :

   • Trouvez le fichier config.yaml. Sur Windows, il se trouve généralement dans le répertoire `C:\Program Files\observIQ OpenTelemetry Collector`.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (Bloc-notes ou Notepad++, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Remplacez <PLACEHOLDER_CUSTOMER_ID> par le numéro client réel obtenu précédemment.
   • Remplacez <YOUR_REGIONAL_ENDPOINT> par le point de terminaison régional approprié de la documentation sur les points de terminaison régionaux.
   • Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Remarques concernant la configuration

• Canal d'application : collecte les événements au niveau de l'application à partir d'Exchange Server, y compris le démarrage du service, les erreurs et les avertissements.
• Canal système : collecte les événements au niveau du système qui peuvent affecter le fonctionnement d'Exchange Server.
• Canal de gestion MSExchange : collecte les événements de gestion spécifiques à Exchange, y compris les exécutions d'applets de commande PowerShell et les actions administratives.
• raw: true : envoie les entrées complètes du journal des événements Windows dans leur format d'origine pour une analyse complète.
• start_at: end : commence à collecter de nouveaux événements à partir du point actuel (n'ingère pas les journaux historiques).

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante en tant qu'administrateur :

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.