Recoger registros de Microsoft Exchange

En este documento se explica cómo ingerir registros de Microsoft Exchange en Google Security Operations mediante Bindplane. Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión EXCHANGE_MAIL.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows Server 2016 o una versión posterior con Microsoft Exchange Server instalado
• Acceso de administrador a Exchange Server
• Si se ejecuta a través de un proxy, asegúrese de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows siguiendo las instrucciones que se indican a continuación.

Instalación de Windows

1. Abre la petición de comando o PowerShell como administrador.
2. Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Recursos de instalación adicionales

• Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de Bindplane para recoger registros de eventos de Windows y enviarlos a Google SecOps

1. Accede al archivo de configuración:

   • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio `C:\Archivos de programa\observIQ OpenTelemetry Collector` en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, Bloc de notas o Notepad++).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     windowseventlog/exchange_application:
       channel: Application
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_system:
       channel: System
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
     windowseventlog/exchange_management:
       channel: MSExchange Management
       raw: true
       max_reads: 100
       poll_interval: 5s
       start_at: end
   
   processors:
     batch:
   
   exporters:
     chronicle/exchange:
       compression: gzip
       # Adjust the path to the credentials file you downloaded earlier
       creds_file_path: 'C:\path\to\ingestion-authentication-file.json'
       # Replace with your actual customer ID
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: <YOUR_REGIONAL_ENDPOINT>
       # Add ingestion labels for Exchange logs
       log_type: 'EXCHANGE_MAIL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/exchange:
         receivers:
           - windowseventlog/exchange_application
           - windowseventlog/exchange_system
           - windowseventlog/exchange_management
         processors:
           - batch
         exporters:
           - chronicle/exchange
   

   • Sustituye <PLACEHOLDER_CUSTOMER_ID> por el ID de cliente que has obtenido anteriormente.
   • Sustituye <YOUR_REGIONAL_ENDPOINT> por el endpoint regional adecuado de la documentación de endpoints regionales.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Notas de configuración

• Canal de aplicación: recoge eventos a nivel de aplicación de Exchange Server, como el inicio del servicio, errores y advertencias.
• Canal del sistema: recoge eventos a nivel del sistema que pueden afectar al funcionamiento de Exchange Server.
• Canal de gestión de MSExchange: recoge eventos de gestión específicos de Exchange, como ejecuciones de cmdlets de PowerShell y acciones administrativas.
• raw: true: envía entradas completas del registro de eventos de Windows en su formato original para que se analicen de forma exhaustiva.
• start_at: end: empieza a recoger eventos nuevos a partir del momento actual (no ingiere registros históricos).

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando como administrador:

  net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
  

Asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.