Raccogliere i log di Microsoft Exchange

Questo documento spiega come importare i log di Microsoft Exchange in Google Security Operations utilizzando Bindplane. Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione EXCHANGE_MAIL.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Windows Server 2016 o versioni successive con Microsoft Exchange Server installato
• Accesso amministrativo a Exchange Server
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows seguendo queste istruzioni.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.
2. Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per raccogliere i log eventi di Windows e inviarli a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere si trova nella directory `C:\Programmi\observIQ OpenTelemetry Collector` su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio, Blocco note o Notepad++).

2. Modifica il file config.yaml come segue:

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Sostituisci <PLACEHOLDER_CUSTOMER_ID> con l'ID cliente effettivo ottenuto in precedenza.
   • Sostituisci <YOUR_REGIONAL_ENDPOINT> con l'endpoint regionale appropriato della documentazione sugli endpoint regionali.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Note sulla configurazione

• Canale applicazione: raccoglie gli eventi a livello di applicazione da Exchange Server, inclusi avvio del servizio, errori e avvisi.
• Canale di sistema: raccoglie gli eventi a livello di sistema che potrebbero influire sul funzionamento di Exchange Server.
• Canale di gestione MSExchange: raccoglie eventi di gestione specifici di Exchange, tra cui esecuzioni di cmdlet PowerShell e azioni amministrative.
• raw: true: invia voci complete del log eventi di Windows nel formato originale per un'analisi completa.
• start_at: end: inizia a raccogliere nuovi eventi dal punto attuale in avanti (non acquisisce i log storici).

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando come amministratore:

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.