Mengumpulkan log Forescout eyeSight
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Forescout eyeSight (sebelumnya CounterACT) ke Google Security Operations menggunakan agen Bindplane.
Forescout eyeSight adalah platform kontrol akses jaringan (NAC) yang menyediakan visibilitas perangkat tanpa agen, klasifikasi, dan penilaian kepatuhan di seluruh perangkat IT, IoT, OT, dan IoMT. Fitur ini menemukan dan membuat profil setiap perangkat yang terhubung secara real time, sehingga organisasi dapat menerapkan kebijakan akses dan mengurangi permukaan serangan tanpa memerlukan agen endpoint.
Untuk mengetahui informasi selengkapnya, lihat dokumentasi Forescout NAC.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Host Windows 2016 atau yang lebih baru atau Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke Konsol Forescout (akun administrator)
- Konektivitas jaringan antara perangkat Forescout dan host agen Bindplane
Mendapatkan File Autentikasi Penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/forescout_nac: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORESCOUT_NAC raw_log_field: body ingestion_labels: env: production service: pipelines: logs/forescout_to_chronicle: receivers: - udplog exporters: - chronicle/forescout_nac
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
listen_address: Alamat IP dan port yang akan diproses. Gunakan0.0.0.0untuk memproses semua antarmuka. Port514adalah standar untuk syslog (memerlukan hak istimewa root di Linux; gunakan1514untuk non-root).
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan Google SecOps.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID pelanggan Google SecOps.endpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
- Amerika Serikat:
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog Forescout eyeSight
- Login ke Konsol Forescout dengan akun administrator.
- Buka Alat > Opsi.
- Di pohon Opsi, perluas Modules > Syslog (atau Syslog Plugin, bergantung pada versi).
- Klik Tambahkan untuk membuat target syslog baru.
- Berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya,
SecOps-Bindplane). - Alamat Server: Masukkan alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan
514(atau port yang dikonfigurasi di agen Bindplane). - Protocol: Pilih UDP.
- Format: Pilih CEF (Common Event Format) atau Syslog (RFC 3164), bergantung pada persyaratan parsing Anda.
- Fasilitas: Pilih LOCAL0 (atau fasilitas yang cocok dengan kebijakan syslog organisasi Anda).
- Tingkat keparahan: Pilih Informasi atau tingkat keparahan minimum yang diinginkan.
- Name: Masukkan nama deskriptif (misalnya,
- Di bagian Jenis Peristiwa, pilih kategori log yang akan diteruskan:
- Perubahan Properti Host: Pembaruan klasifikasi dan properti perangkat.
- Pelanggaran Kebijakan: Pelanggaran kebijakan kepatuhan dan tindakan penegakan NAC.
- Peristiwa Akses Jaringan: Peristiwa koneksi dan pemutusan koneksi endpoint.
- Peristiwa Autentikasi: Peristiwa autentikasi pengguna dan 802.1X.
- Hasil Tindakan: Hasil tindakan perbaikan dan respons.
- Klik OK untuk menyimpan konfigurasi target syslog.
- Klik Terapkan untuk mengaktifkan perubahan.
Verifikasi bahwa pesan syslog diterima dengan memeriksa log agen Bindplane.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
about |
about |
Digabung |
deviceNtDomain |
about.administrative_domain |
Diganti nama/dipetakan |
deviceExternalId |
about.asset.asset_id |
Dipetakan secara langsung |
device_product |
about.asset.asset_id |
Dipetakan secara langsung |
device_vendor |
about.asset.asset_id |
Dipetakan secara langsung |
fileHash |
about.file.full_path |
Dipetakan secara langsung |
filePath |
about.file.full_path |
Diganti nama/dipetakan |
_hash |
about.file.sha256 |
Diganti nama/dipetakan |
fileHash |
about.file.sha256 |
Diganti nama/dipetakan |
fsize |
about.file.size |
Diganti nama/dipetakan |
dvchost |
about.hostname |
Diganti nama/dipetakan |
ips |
about.ip |
Digabung |
dvcmac |
about.mac |
Digabung |
mac_address |
about.mac |
Digabung |
deviceTranslatedAddress |
about.nat_ip |
Digabung |
Emne |
about.process.command_line |
Dipetakan secara langsung |
Path |
about.process.command_line |
Dipetakan secara langsung |
Subject |
about.process.command_line |
Dipetakan secara langsung |
deviceProcessName |
about.process.command_line |
Diganti nama/dipetakan |
dvcpid |
about.process.pid |
Diganti nama/dipetakan |
permissions |
about.resource.attribute.permissions |
Digabung |
Assigned_hosts_label |
additional.fields |
Digabung |
Available_memory_label |
additional.fields |
Digabung |
Available_swap_label |
additional.fields |
Digabung |
Connected_clients_label |
additional.fields |
Digabung |
EM_connection_status_label |
additional.fields |
Digabung |
Engine_status_label |
additional.fields |
Digabung |
Installed_Plugins_label |
additional.fields |
Digabung |
Used_memory_label |
additional.fields |
Digabung |
Used_swap_label |
additional.fields |
Digabung |
additional_cfp1 |
additional.fields |
Digabung |
additional_cfp2 |
additional.fields |
Digabung |
additional_cfp3 |
additional.fields |
Digabung |
additional_cfp4 |
additional.fields |
Digabung |
additional_cn1 |
additional.fields |
Digabung |
additional_cn2 |
additional.fields |
Digabung |
additional_cn3 |
additional.fields |
Digabung |
additional_cs1 |
additional.fields |
Digabung |
additional_cs2 |
additional.fields |
Digabung |
additional_cs3 |
additional.fields |
Digabung |
additional_cs4 |
additional.fields |
Digabung |
additional_cs5 |
additional.fields |
Digabung |
additional_cs6 |
additional.fields |
Digabung |
additional_cs7 |
additional.fields |
Digabung |
additional_devicePayloadId |
additional.fields |
Digabung |
additional_eventId |
additional.fields |
Digabung |
additional_flexString1 |
additional.fields |
Digabung |
additional_fname |
additional.fields |
Digabung |
application_status_label |
additional.fields |
Digabung |
cpu_usage_label |
additional.fields |
Digabung |
cs5_label |
additional.fields |
Digabung |
type_label |
additional.fields |
Digabung |
intermediary |
intermediary |
Digabung |
iporhost |
intermediary.asset.hostname |
Dipetakan secara langsung |
middle_ip |
intermediary.asset.ip |
Digabung |
iporhost |
intermediary.hostname |
Dipetakan secara langsung |
middle_ip |
intermediary.ip |
Digabung |
pid |
intermediary.process.pid |
Dipetakan secara langsung |
desc |
metadata.description |
Dipetakan secara langsung |
event_type |
metadata.description |
Dipetakan secara langsung |
msg |
metadata.description |
Diganti nama/dipetakan |
device_event_class_id |
metadata.product_event_type |
Dipetakan secara langsung |
engineName |
metadata.product_event_type |
Dipetakan secara langsung |
event_name |
metadata.product_event_type |
Dipetakan secara langsung |
eventtype |
metadata.product_event_type |
Dipetakan secara langsung |
externalId |
metadata.product_log_id |
Dipetakan secara langsung |
device_product |
metadata.product_name |
Dipetakan secara langsung |
product |
metadata.product_name |
Dipetakan secara langsung |
device_version |
metadata.product_version |
Dipetakan secara langsung |
device_vendor |
metadata.vendor_name |
Diganti nama/dipetakan |
vendor_name |
metadata.vendor_name |
Dipetakan secara langsung |
app_protocol_output |
network.application_protocol |
Dipetakan secara langsung |
mail_from |
network.email.from |
Dipetakan secara langsung |
mail_subject |
network.email.subject |
Digabung |
mail_to |
network.email.to |
Digabung |
requestMethod |
network.http.method |
Diganti nama/dipetakan |
requestClientApplication |
network.http.user_agent |
Diganti nama/dipetakan |
ip_protocol_out |
network.ip_protocol |
Dipetakan secara langsung |
protocol |
network.ip_protocol |
Dipetakan secara langsung |
protocol1 |
network.ip_protocol |
Dipetakan secara langsung |
in |
network.received_bytes |
Diganti nama/dipetakan |
out |
network.sent_bytes |
Diganti nama/dipetakan |
session_id |
network.session_id |
Dipetakan secara langsung |
sntdom |
principal.administrative_domain |
Diganti nama/dipetakan |
sourceServiceName |
principal.application |
Diganti nama/dipetakan |
Host |
principal.asset.hostname |
Dipetakan secara langsung |
Hostname |
principal.asset.hostname |
Dipetakan secara langsung |
Source |
principal.asset.hostname |
Dipetakan secara langsung |
Source_1 |
principal.asset.hostname |
Dipetakan secara langsung |
host_ip |
principal.asset.ip |
Digabung |
source_ip |
principal.asset.ip |
Digabung |
src_ip |
principal.asset.ip |
Digabung |
Group_name |
principal.group.group_display_name |
Dipetakan secara langsung |
Gruppenavn |
principal.group.group_display_name |
Dipetakan secara langsung |
Device_name |
principal.hostname |
Dipetakan secara langsung |
Enhetsnavn |
principal.hostname |
Dipetakan secara langsung |
Host |
principal.hostname |
Dipetakan secara langsung |
Hostname |
principal.hostname |
Dipetakan secara langsung |
Source |
principal.hostname |
Dipetakan secara langsung |
Source_1 |
principal.hostname |
Dipetakan secara langsung |
shost |
principal.hostname |
Diganti nama/dipetakan |
host_ip |
principal.ip |
Digabung |
principal_ip |
principal.ip |
Digabung |
shost |
principal.ip |
Digabung |
source_ip |
principal.ip |
Digabung |
src_ip |
principal.ip |
Digabung |
MAC |
principal.mac |
Digabung |
mac |
principal.mac |
Digabung |
mac_addr |
principal.mac |
Digabung |
src_mac |
principal.mac |
Digabung |
sourceTranslatedAddress |
principal.nat_ip |
Digabung |
sourceTranslatedPort |
principal.nat_port |
Diganti nama/dipetakan |
source_port |
principal.port |
Diganti nama/dipetakan |
spt |
principal.port |
Diganti nama/dipetakan |
src_port |
principal.port |
Dipetakan secara langsung |
command |
principal.process.command_line |
Dipetakan secara langsung |
sproc |
principal.process.command_line |
Diganti nama/dipetakan |
spid |
principal.process.pid |
Diganti nama/dipetakan |
resource |
principal.resource.name |
Dipetakan secara langsung |
principal_role |
principal.user.attribute.roles |
Digabung |
suser |
principal.user.user_display_name |
Dipetakan secara langsung |
User |
principal.user.userid |
Dipetakan secara langsung |
suid |
principal.user.userid |
Diganti nama/dipetakan |
user_id |
principal.user.userid |
Dipetakan secara langsung |
user_name |
principal.user.userid |
Dipetakan secara langsung |
username |
principal.user.userid |
Dipetakan secara langsung |
sec_result |
security_result |
Digabung |
security_result |
security_result |
Digabung |
res_label |
security_result.about.resource.attribute.labels |
Digabung |
_action |
security_result.action |
Digabung |
sec_action |
security_result.action |
Digabung |
security_result_action |
security_result.action |
Digabung |
Action_Taken |
security_result.action_details |
Dipetakan secara langsung |
act |
security_result.action_details |
Dipetakan secara langsung |
cat |
security_result.category_details |
Digabung |
Category |
security_result.description |
Dipetakan secara langsung |
Reason |
security_result.description |
Dipetakan secara langsung |
Scan_Type |
security_result.description |
Dipetakan secara langsung |
Type |
security_result.description |
Dipetakan secara langsung |
act |
security_result.description |
Dipetakan secara langsung |
description |
security_result.description |
Dipetakan secara langsung |
details |
security_result.description |
Dipetakan secara langsung |
et_lower |
security_result.description |
Dipetakan secara langsung |
event_type |
security_result.description |
Dipetakan secara langsung |
kv_data |
security_result.description |
Dipetakan secara langsung |
msg_data_2 |
security_result.description |
Dipetakan secara langsung |
policy_details |
security_result.description |
Dipetakan secara langsung |
rnmsg |
security_result.description |
Dipetakan secara langsung |
infection_channel_label |
security_result.detection_fields |
Digabung |
operasjon_label |
security_result.detection_fields |
Digabung |
operation_label |
security_result.detection_fields |
Digabung |
permission_label |
security_result.detection_fields |
Digabung |
protocol_label |
security_result.detection_fields |
Digabung |
spyware_Grayware_Type_label |
security_result.detection_fields |
Digabung |
threat_probability_label |
security_result.detection_fields |
Digabung |
tillatelse_label |
security_result.detection_fields |
Digabung |
Rule |
security_result.rule_id |
Dipetakan secara langsung |
alart_id |
security_result.rule_id |
Dipetakan secara langsung |
device_event_class_id |
security_result.rule_id |
Dipetakan secara langsung |
Match |
security_result.rule_name |
Dipetakan secara langsung |
mwProfile |
security_result.rule_name |
Dipetakan secara langsung |
severity |
security_result.severity_details |
Dipetakan secara langsung |
Result |
security_result.summary |
Dipetakan secara langsung |
appcategory |
security_result.summary |
Dipetakan secara langsung |
event_name |
security_result.summary |
Dipetakan secara langsung |
event_type |
security_result.summary |
Dipetakan secara langsung |
log_description |
security_result.summary |
Dipetakan secara langsung |
reason |
security_result.summary |
Diganti nama/dipetakan |
Spyware |
security_result.threat_name |
Dipetakan secara langsung |
Unknown_Threat |
security_result.threat_name |
Dipetakan secara langsung |
Virus_Malware_Name |
security_result.threat_name |
Dipetakan secara langsung |
threat |
security_result.threat_name |
Dipetakan secara langsung |
oldFilePath |
src.file.full_path |
Diganti nama/dipetakan |
oldFileSize |
src.file.size |
Diganti nama/dipetakan |
old_permissions |
src.resource.attribute.permissions |
Digabung |
dntdom |
target.administrative_domain |
Diganti nama/dipetakan |
destinationServiceName |
target.application |
Diganti nama/dipetakan |
Destination |
target.asset.hostname |
Dipetakan secara langsung |
Target |
target.asset.hostname |
Dipetakan secara langsung |
Target_1 |
target.asset.hostname |
Dipetakan secara langsung |
computer_name |
target.asset.hostname |
Dipetakan secara langsung |
Destination |
target.asset.ip |
Digabung |
dest_ip |
target.asset.ip |
Digabung |
destination_ip |
target.asset.ip |
Digabung |
target_ip |
target.asset.ip |
Digabung |
Destination |
target.hostname |
Dipetakan secara langsung |
Target |
target.hostname |
Dipetakan secara langsung |
Target_1 |
target.hostname |
Dipetakan secara langsung |
computer_name |
target.hostname |
Dipetakan secara langsung |
temp_dhost |
target.hostname |
Dipetakan secara langsung |
Destination |
target.ip |
Digabung |
IPv6_Address |
target.ip |
Digabung |
dest_ip |
target.ip |
Digabung |
destination_ip |
target.ip |
Digabung |
dst_ip |
target.ip |
Digabung |
target_ip |
target.ip |
Digabung |
dest_mac |
target.mac |
Digabung |
mac_address |
target.mac |
Digabung |
destination_translated_address |
target.nat_ip |
Digabung |
destinationTranslatedPort |
target.nat_port |
Diganti nama/dipetakan |
dest_port |
target.port |
Dipetakan secara langsung |
dpt |
target.port |
Diganti nama/dipetakan |
port |
target.port |
Diganti nama/dipetakan |
dproc |
target.process.command_line |
Diganti nama/dipetakan |
File_name |
target.process.file.full_path |
Dipetakan secara langsung |
Infected_Resource |
target.process.file.full_path |
Dipetakan secara langsung |
Object |
target.process.file.full_path |
Dipetakan secara langsung |
Objekt |
target.process.file.full_path |
Dipetakan secara langsung |
dpid |
target.process.pid |
Diganti nama/dipetakan |
resource_Type_label |
target.resource.attribute.labels |
Digabung |
request |
target.url |
Dipetakan secara langsung |
target_role |
target.user.attribute.roles |
Digabung |
CustomerName |
target.user.user_display_name |
Dipetakan secara langsung |
temp_duser |
target.user.user_display_name |
Dipetakan secara langsung |
Bruker |
target.user.userid |
Dipetakan secara langsung |
User_value |
target.user.userid |
Dipetakan secara langsung |
temp_duid |
target.user.userid |
Dipetakan secara langsung |
username |
target.user.userid |
Dipetakan secara langsung |
| T/A | about |
Konstanta: about |
| T/A | about.ip |
Konstanta: ips |
| T/A | about.mac |
Konstanta: mac_address |
| T/A | about.nat_ip |
Konstanta: deviceTranslatedAddress |
| T/A | about.resource.attribute.permissions |
Konstanta: permissions |
| T/A | additional.fields |
Konstanta: additional_eventId |
| T/A | extensions.auth.type |
Konstanta: MACHINE |
| T/A | intermediary |
Konstanta: intermediary |
| T/A | intermediary.asset.ip |
Konstanta: middle_ip |
| T/A | intermediary.ip |
Konstanta: middle_ip |
| T/A | metadata.event_type |
Konstanta: USER_LOGIN |
| T/A | metadata.product_name |
Konstanta: FORESCOUT NAC |
| T/A | metadata.vendor_name |
Konstanta: FORESCOUT |
| T/A | network.direction |
Konstanta: INBOUND |
| T/A | network.email.subject |
Konstanta: mail_subject |
| T/A | network.email.to |
Konstanta: mail_to |
| T/A | principal.asset.ip |
Konstanta: source_ip |
| T/A | principal.ip |
Konstanta: principal_ip |
| T/A | principal.mac |
Konstanta: mac |
| T/A | principal.nat_ip |
Konstanta: sourceTranslatedAddress |
| T/A | principal.user.attribute.roles |
Konstanta: principal_role |
| T/A | security_result |
Konstanta: security_result |
| T/A | security_result.about.resource.attribute.labels |
Konstanta: res_label |
| T/A | security_result.action |
Konstanta: _action |
| T/A | security_result.alert_state |
Konstanta: ALERTING |
| T/A | security_result.category_details |
Konstanta: cat |
| T/A | security_result.detection_fields |
Konstanta: operation_label |
| T/A | security_result.rule_name |
Konstanta: Virtual Firewall blocking |
| T/A | security_result.severity |
Konstanta: LOW |
| T/A | src.resource.attribute.permissions |
Konstanta: old_permissions |
| T/A | target.asset.ip |
Konstanta: target_ip |
| T/A | target.ip |
Konstanta: dst_ip |
| T/A | target.mac |
Konstanta: mac_address |
| T/A | target.nat_ip |
Konstanta: destination_translated_address |
| T/A | target.resource.attribute.labels |
Konstanta: resource_Type_label |
| T/A | target.user.attribute.roles |
Konstanta: target_role |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.