收集 Forescout eyeSight 日志

本文档介绍了如何使用 Bindplane 代理将 Forescout eyeSight（以前称为 CounterACT）日志注入到 Google Security Operations。

Forescout eyeSight 是一种网络访问权限控制 (NAC) 平台，可在 IT、IoT、OT 和 IoMT 设备中提供无代理的设备可见性、分类和合规性评估。它可实时发现并分析每个已连接的设备的配置文件，使组织能够强制执行访问权限政策并减少攻击面，而无需端点代理。

如需了解详情，请参阅 Forescout NAC 文档。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• 搭载 systemd 的 Windows 2016 或更高版本或 Linux 主机
• 如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
• 对 Forescout 控制台的特权访问权限（管理员账号）
• Forescout 设备与 Bindplane 代理主机之间的网络连接

获取 Google SecOps 注入身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。

3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 配置文件。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安装完成。

4. 运行以下命令，验证安装是否成功：

   sc query observiq-otel-collector
   

   该服务应显示为 RUNNING。

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安装完成。

4. 运行以下命令，验证安装是否成功：

   sudo systemctl status observiq-otel-collector
   

   该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

修改配置文件

• 将 config.yaml 的全部内容替换为以下配置：

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/forescout_nac:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<CUSTOMER_ID>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: FORESCOUT_NAC
          raw_log_field: body
          ingestion_labels:
              env: production
  
  service:
      pipelines:
          logs/forescout_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/forescout_nac
  

配置参数

替换以下占位符：

• 接收器配置：

  • listen_address：要监听的 IP 地址和端口。使用 0.0.0.0 可监听所有接口。端口 514 是 syslog 的标准端口（在 Linux 上需要 root 权限；对于非 root 用户，请使用 1514）。

• 导出器配置：

  • creds_file_path：Google SecOps 注入身份验证文件的完整路径。
    • Linux：/etc/bindplane-agent/ingestion-auth.json
    • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • <CUSTOMER_ID>：Google SecOps 客户 ID。
  • endpoint：区域端点网址：
    • 美国：malachiteingestion-pa.googleapis.com
    • 欧洲：europe-malachiteingestion-pa.googleapis.com
    • 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    • 如需查看完整列表，请参阅区域级端点。

保存配置文件

• 修改后，保存文件：
  • Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
  • Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart observiq-otel-collector
  

  1. 验证服务是否正在运行：

     sudo systemctl status observiq-otel-collector
     

  2. 检查日志是否存在错误：

     sudo journalctl -u observiq-otel-collector -f
     

• 如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：

  • 以管理员身份运行命令提示符或 PowerShell：

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 服务控制台：

  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。

  4. 验证服务是否正在运行：

     sc query observiq-otel-collector
     

  5. 检查日志是否存在错误：

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

配置 Forescout eyeSight syslog 转发

1. 使用管理员账号登录 Forescout 控制台。
2. 依次前往工具 > 选项。
3. 在“选项”树中，依次展开模块 > Syslog（或 Syslog 插件，具体取决于版本）。
4. 点击添加以创建新的 syslog 目标。
5. 提供以下配置详细信息：
   • 名称：输入一个描述性名称（例如 SecOps-Bindplane）。
   • 服务器地址：输入 Bindplane 代理主机（例如 192.168.1.100）的 IP 地址。
   • 端口：输入 514（或在 Bindplane 代理中配置的端口）。
   • 协议：选择 UDP。
   • 格式：根据您的解析要求，选择 CEF（通用事件格式）或 Syslog (RFC 3164)。
   • 设施：选择 LOCAL0（或与您组织的 syslog 政策匹配的设施）。
   • 严重程度：选择信息或所需的最低严重程度。
6. 在事件类型部分中，选择要转发的日志类别：
   • 主机属性更改：设备分类和属性更新。
   • 违反政策：违反合规政策和 NAC 强制执行操作。
   • 网络访问事件：端点连接和断开连接事件。
   • 身份验证事件：802.1X 和用户身份验证事件。
   • 行动结果：补救和响应行动的结果。
7. 点击确定以保存 syslog 目标配置。
8. 点击应用以激活更改。

9. 通过检查 Bindplane 代理日志，验证是否收到了 syslog 消息。

UDM 映射表

日志字段	UDM 映射	逻辑
about	about	已合并
deviceNtDomain	about.administrative_domain	已重命名/已映射
deviceExternalId	about.asset.asset_id	直接映射
device_product	about.asset.asset_id	直接映射
device_vendor	about.asset.asset_id	直接映射
fileHash	about.file.full_path	直接映射
filePath	about.file.full_path	已重命名/已映射
_hash	about.file.sha256	已重命名/已映射
fileHash	about.file.sha256	已重命名/已映射
fsize	about.file.size	已重命名/已映射
dvchost	about.hostname	已重命名/已映射
ips	about.ip	已合并
dvcmac	about.mac	已合并
mac_address	about.mac	已合并
deviceTranslatedAddress	about.nat_ip	已合并
Emne	about.process.command_line	直接映射
Path	about.process.command_line	直接映射
Subject	about.process.command_line	直接映射
deviceProcessName	about.process.command_line	已重命名/已映射
dvcpid	about.process.pid	已重命名/已映射
permissions	about.resource.attribute.permissions	已合并
Assigned_hosts_label	additional.fields	已合并
Available_memory_label	additional.fields	已合并
Available_swap_label	additional.fields	已合并
Connected_clients_label	additional.fields	已合并
EM_connection_status_label	additional.fields	已合并
Engine_status_label	additional.fields	已合并
Installed_Plugins_label	additional.fields	已合并
Used_memory_label	additional.fields	已合并
Used_swap_label	additional.fields	已合并
additional_cfp1	additional.fields	已合并
additional_cfp2	additional.fields	已合并
additional_cfp3	additional.fields	已合并
additional_cfp4	additional.fields	已合并
additional_cn1	additional.fields	已合并
additional_cn2	additional.fields	已合并
additional_cn3	additional.fields	已合并
additional_cs1	additional.fields	已合并
additional_cs2	additional.fields	已合并
additional_cs3	additional.fields	已合并
additional_cs4	additional.fields	已合并
additional_cs5	additional.fields	已合并
additional_cs6	additional.fields	已合并
additional_cs7	additional.fields	已合并
additional_devicePayloadId	additional.fields	已合并
additional_eventId	additional.fields	已合并
additional_flexString1	additional.fields	已合并
additional_fname	additional.fields	已合并
application_status_label	additional.fields	已合并
cpu_usage_label	additional.fields	已合并
cs5_label	additional.fields	已合并
type_label	additional.fields	已合并
intermediary	intermediary	已合并
iporhost	intermediary.asset.hostname	直接映射
middle_ip	intermediary.asset.ip	已合并
iporhost	intermediary.hostname	直接映射
middle_ip	intermediary.ip	已合并
pid	intermediary.process.pid	直接映射
desc	metadata.description	直接映射
event_type	metadata.description	直接映射
msg	metadata.description	已重命名/已映射
device_event_class_id	metadata.product_event_type	直接映射
engineName	metadata.product_event_type	直接映射
event_name	metadata.product_event_type	直接映射
eventtype	metadata.product_event_type	直接映射
externalId	metadata.product_log_id	直接映射
device_product	metadata.product_name	直接映射
product	metadata.product_name	直接映射
device_version	metadata.product_version	直接映射
device_vendor	metadata.vendor_name	已重命名/已映射
vendor_name	metadata.vendor_name	直接映射
app_protocol_output	network.application_protocol	直接映射
mail_from	network.email.from	直接映射
mail_subject	network.email.subject	已合并
mail_to	network.email.to	已合并
requestMethod	network.http.method	已重命名/已映射
requestClientApplication	network.http.user_agent	已重命名/已映射
ip_protocol_out	network.ip_protocol	直接映射
protocol	network.ip_protocol	直接映射
protocol1	network.ip_protocol	直接映射
in	network.received_bytes	已重命名/已映射
out	network.sent_bytes	已重命名/已映射
session_id	network.session_id	直接映射
sntdom	principal.administrative_domain	已重命名/已映射
sourceServiceName	principal.application	已重命名/已映射
Host	principal.asset.hostname	直接映射
Hostname	principal.asset.hostname	直接映射
Source	principal.asset.hostname	直接映射
Source_1	principal.asset.hostname	直接映射
host_ip	principal.asset.ip	已合并
source_ip	principal.asset.ip	已合并
src_ip	principal.asset.ip	已合并
Group_name	principal.group.group_display_name	直接映射
Gruppenavn	principal.group.group_display_name	直接映射
Device_name	principal.hostname	直接映射
Enhetsnavn	principal.hostname	直接映射
Host	principal.hostname	直接映射
Hostname	principal.hostname	直接映射
Source	principal.hostname	直接映射
Source_1	principal.hostname	直接映射
shost	principal.hostname	已重命名/已映射
host_ip	principal.ip	已合并
principal_ip	principal.ip	已合并
shost	principal.ip	已合并
source_ip	principal.ip	已合并
src_ip	principal.ip	已合并
MAC	principal.mac	已合并
mac	principal.mac	已合并
mac_addr	principal.mac	已合并
src_mac	principal.mac	已合并
sourceTranslatedAddress	principal.nat_ip	已合并
sourceTranslatedPort	principal.nat_port	已重命名/已映射
source_port	principal.port	已重命名/已映射
spt	principal.port	已重命名/已映射
src_port	principal.port	直接映射
command	principal.process.command_line	直接映射
sproc	principal.process.command_line	已重命名/已映射
spid	principal.process.pid	已重命名/已映射
resource	principal.resource.name	直接映射
principal_role	principal.user.attribute.roles	已合并
suser	principal.user.user_display_name	直接映射
User	principal.user.userid	直接映射
suid	principal.user.userid	已重命名/已映射
user_id	principal.user.userid	直接映射
user_name	principal.user.userid	直接映射
username	principal.user.userid	直接映射
sec_result	security_result	已合并
security_result	security_result	已合并
res_label	security_result.about.resource.attribute.labels	已合并
_action	security_result.action	已合并
sec_action	security_result.action	已合并
security_result_action	security_result.action	已合并
Action_Taken	security_result.action_details	直接映射
act	security_result.action_details	直接映射
cat	security_result.category_details	已合并
Category	security_result.description	直接映射
Reason	security_result.description	直接映射
Scan_Type	security_result.description	直接映射
Type	security_result.description	直接映射
act	security_result.description	直接映射
description	security_result.description	直接映射
details	security_result.description	直接映射
et_lower	security_result.description	直接映射
event_type	security_result.description	直接映射
kv_data	security_result.description	直接映射
msg_data_2	security_result.description	直接映射
policy_details	security_result.description	直接映射
rnmsg	security_result.description	直接映射
infection_channel_label	security_result.detection_fields	已合并
operasjon_label	security_result.detection_fields	已合并
operation_label	security_result.detection_fields	已合并
permission_label	security_result.detection_fields	已合并
protocol_label	security_result.detection_fields	已合并
spyware_Grayware_Type_label	security_result.detection_fields	已合并
threat_probability_label	security_result.detection_fields	已合并
tillatelse_label	security_result.detection_fields	已合并
Rule	security_result.rule_id	直接映射
alart_id	security_result.rule_id	直接映射
device_event_class_id	security_result.rule_id	直接映射
Match	security_result.rule_name	直接映射
mwProfile	security_result.rule_name	直接映射
severity	security_result.severity_details	直接映射
Result	security_result.summary	直接映射
appcategory	security_result.summary	直接映射
event_name	security_result.summary	直接映射
event_type	security_result.summary	直接映射
log_description	security_result.summary	直接映射
reason	security_result.summary	已重命名/已映射
Spyware	security_result.threat_name	直接映射
Unknown_Threat	security_result.threat_name	直接映射
Virus_Malware_Name	security_result.threat_name	直接映射
threat	security_result.threat_name	直接映射
oldFilePath	src.file.full_path	已重命名/已映射
oldFileSize	src.file.size	已重命名/已映射
old_permissions	src.resource.attribute.permissions	已合并
dntdom	target.administrative_domain	已重命名/已映射
destinationServiceName	target.application	已重命名/已映射
Destination	target.asset.hostname	直接映射
Target	target.asset.hostname	直接映射
Target_1	target.asset.hostname	直接映射
computer_name	target.asset.hostname	直接映射
Destination	target.asset.ip	已合并
dest_ip	target.asset.ip	已合并
destination_ip	target.asset.ip	已合并
target_ip	target.asset.ip	已合并
Destination	target.hostname	直接映射
Target	target.hostname	直接映射
Target_1	target.hostname	直接映射
computer_name	target.hostname	直接映射
temp_dhost	target.hostname	直接映射
Destination	target.ip	已合并
IPv6_Address	target.ip	已合并
dest_ip	target.ip	已合并
destination_ip	target.ip	已合并
dst_ip	target.ip	已合并
target_ip	target.ip	已合并
dest_mac	target.mac	已合并
mac_address	target.mac	已合并
destination_translated_address	target.nat_ip	已合并
destinationTranslatedPort	target.nat_port	已重命名/已映射
dest_port	target.port	直接映射
dpt	target.port	已重命名/已映射
port	target.port	已重命名/已映射
dproc	target.process.command_line	已重命名/已映射
File_name	target.process.file.full_path	直接映射
Infected_Resource	target.process.file.full_path	直接映射
Object	target.process.file.full_path	直接映射
Objekt	target.process.file.full_path	直接映射
dpid	target.process.pid	已重命名/已映射
resource_Type_label	target.resource.attribute.labels	已合并
request	target.url	直接映射
target_role	target.user.attribute.roles	已合并
CustomerName	target.user.user_display_name	直接映射
temp_duser	target.user.user_display_name	直接映射
Bruker	target.user.userid	直接映射
User_value	target.user.userid	直接映射
temp_duid	target.user.userid	直接映射
username	target.user.userid	直接映射
不适用	about	常量：about
不适用	about.ip	常量：ips
不适用	about.mac	常量：mac_address
不适用	about.nat_ip	常量：deviceTranslatedAddress
不适用	about.resource.attribute.permissions	常量：permissions
不适用	additional.fields	常量：additional_eventId
不适用	extensions.auth.type	常量：MACHINE
不适用	intermediary	常量：intermediary
不适用	intermediary.asset.ip	常量：middle_ip
不适用	intermediary.ip	常量：middle_ip
不适用	metadata.event_type	常量：USER_LOGIN
不适用	metadata.product_name	常量：FORESCOUT NAC
不适用	metadata.vendor_name	常量：FORESCOUT
不适用	network.direction	常量：INBOUND
不适用	network.email.subject	常量：mail_subject
不适用	network.email.to	常量：mail_to
不适用	principal.asset.ip	常量：source_ip
不适用	principal.ip	常量：principal_ip
不适用	principal.mac	常量：mac
不适用	principal.nat_ip	常量：sourceTranslatedAddress
不适用	principal.user.attribute.roles	常量：principal_role
不适用	security_result	常量：security_result
不适用	security_result.about.resource.attribute.labels	常量：res_label
不适用	security_result.action	常量：_action
不适用	security_result.alert_state	常量：ALERTING
不适用	security_result.category_details	常量：cat
不适用	security_result.detection_fields	常量：operation_label
不适用	security_result.rule_name	常量：Virtual Firewall blocking
不适用	security_result.severity	常量：LOW
不适用	src.resource.attribute.permissions	常量：old_permissions
不适用	target.asset.ip	常量：target_ip
不适用	target.ip	常量：dst_ip
不适用	target.mac	常量：mac_address
不适用	target.nat_ip	常量：destination_translated_address
不适用	target.resource.attribute.labels	常量：resource_Type_label
不适用	target.user.attribute.roles	常量：target_role

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。