Recolha registos do Microsoft Exchange

Este documento explica como carregar registos do Microsoft Exchange para o Google Security Operations através do Bindplane. Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento EXCHANGE_MAIL.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Um Windows Server 2016 ou posterior com o Microsoft Exchange Server instalado
• Acesso administrativo ao Exchange Server
• Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows de acordo com as seguintes instruções.

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.
2. Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente do Bindplane para recolher registos de eventos do Windows e enviá-los para o Google SecOps

1. Aceda ao ficheiro de configuração:

   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório `C:\Program Files\observIQ OpenTelemetry Collector` no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, o Bloco de notas ou o Notepad++).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Substitua <PLACEHOLDER_CUSTOMER_ID> pelo ID de cliente real obtido anteriormente.
   • Substitua <YOUR_REGIONAL_ENDPOINT> pelo ponto final regional adequado da documentação de pontos finais regionais.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Notas de configuração

• Canal de aplicação: recolhe eventos ao nível da aplicação do Exchange Server, incluindo o início do serviço, erros e avisos.
• Canal do sistema: recolhe eventos ao nível do sistema que podem afetar o funcionamento do Exchange Server.
• Canal de gestão do MSExchange: recolhe eventos de gestão específicos do Exchange, incluindo execuções de cmdlet do PowerShell e ações administrativas.
• raw: true: envia entradas completas do registo de eventos do Windows no formato original para uma análise abrangente.
• start_at: end: começa a recolher novos eventos a partir do ponto atual (não carrega registos do histórico).

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando como administrador:

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.