收集 Forescout eyeSight 記錄

本文說明如何使用 Bindplane 代理程式，將 Forescout eyeSight (舊稱 CounterACT) 記錄檔擷取至 Google Security Operations。

Forescout eyeSight 是一種網路存取控管 (NAC) 平台，可提供無代理程式的裝置可視性、分類和合規性評估，適用於 IT、IoT、OT 和 IoMT 裝置。這項服務會即時探索及分析每個連結裝置，讓機構能夠強制執行存取政策，並減少攻擊面，不需要端點代理程式。

詳情請參閱 Forescout NAC 說明文件。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• 搭載 systemd 的 Windows 2016 以上版本或 Linux 主機
• 如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
• Forescout 控制台的特殊權限 (管理員帳戶)
• Forescout 設備與 Bindplane 代理程式主機之間的網路連線

取得 Google SecOps 擷取驗證檔案

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「收集代理程式」。

3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「設定檔」。
3. 複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

1. 以管理員身分開啟「命令提示字元」或「PowerShell」。

2. 執行下列指令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安裝完成。

4. 執行下列指令，確認安裝成功：

   sc query observiq-otel-collector
   

   服務應顯示為RUNNING。

Linux 安裝

1. 開啟具有根層級或 sudo 權限的終端機。

2. 執行下列指令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安裝完成。

4. 執行下列指令，確認安裝成功：

   sudo systemctl status observiq-otel-collector
   

   服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

編輯設定檔

• 將 config.yaml 的所有內容替換為下列設定：

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/forescout_nac:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<CUSTOMER_ID>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: FORESCOUT_NAC
          raw_log_field: body
          ingestion_labels:
              env: production
  
  service:
      pipelines:
          logs/forescout_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/forescout_nac
  

設定參數

替換下列預留位置：

• 接收器設定：

  • listen_address：要接聽的 IP 位址和通訊埠。使用 0.0.0.0 監聽所有介面。通訊埠 514 是 syslog 的標準通訊埠 (在 Linux 上需要根層級權限；非根層級則使用 1514)。

• 匯出工具設定：

  • creds_file_path：Google SecOps 擷取驗證檔案的完整路徑。
    • Linux：/etc/bindplane-agent/ingestion-auth.json
    • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • <CUSTOMER_ID>：Google SecOps 客戶 ID。
  • endpoint：區域端點網址：
    • 美國：malachiteingestion-pa.googleapis.com
    • 歐洲：europe-malachiteingestion-pa.googleapis.com
    • 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    • 如需完整清單，請參閱「區域端點」。

儲存設定檔

• 編輯完成後，請儲存檔案：
  • Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
  • Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

• 如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

  sudo systemctl restart observiq-otel-collector
  

  1. 確認服務正在執行：

     sudo systemctl status observiq-otel-collector
     

  2. 檢查記錄中是否有錯誤：

     sudo journalctl -u observiq-otel-collector -f
     

• 如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：

  • 以管理員身分開啟命令提示字元或 PowerShell：

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 服務控制台：

  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。

  4. 確認服務正在執行：

     sc query observiq-otel-collector
     

  5. 檢查記錄中是否有錯誤：

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

設定 Forescout eyeSight 系統記錄檔轉送功能

1. 使用管理員帳戶登入 Forescout 控制台。
2. 依序前往「工具」>「選項」。
3. 在「選項」樹狀結構中，依序展開「模組」>「Syslog」 (或「Syslog 外掛程式」，視版本而定)。
4. 按一下「新增」，建立新的系統記錄目標。
5. 請提供下列設定詳細資料：
   • 名稱：輸入描述性名稱 (例如 SecOps-Bindplane)。
   • 伺服器位址：輸入 Bindplane 代理程式主機的 IP 位址 (例如 192.168.1.100)。
   • 通訊埠：輸入 514 (或在 Bindplane 代理程式中設定的通訊埠)。
   • 「通訊協定」：選取「UDP」。
   • 格式：根據剖析需求選取 CEF (通用事件格式) 或 Syslog (RFC 3164)。
   • 設施：選取 LOCAL0 (或符合貴機構系統記錄政策的設施)。
   • 嚴重程度：選取「資訊」或所需的最低嚴重程度。
6. 在「事件類型」部分，選取要轉送的記錄類別：
   • 主機屬性變更：更新裝置分類和屬性。
   • 違反政策：違反法規遵循政策和 NAC 處置措施。
   • 網路存取事件：端點連線和中斷連線事件。
   • 驗證事件：802.1X 和使用者驗證事件。
   • 動作結果：修復和應變動作的結果。
7. 按一下「確定」，儲存系統記錄目標設定。
8. 按一下「套用」即可啟用變更。

9. 檢查 Bindplane 代理程式記錄，確認是否收到系統記錄訊息。

UDM 對應表

記錄欄位	UDM 對應	邏輯
about	about	已合併
deviceNtDomain	about.administrative_domain	已重新命名/對應
deviceExternalId	about.asset.asset_id	直接對應
device_product	about.asset.asset_id	直接對應
device_vendor	about.asset.asset_id	直接對應
fileHash	about.file.full_path	直接對應
filePath	about.file.full_path	已重新命名/對應
_hash	about.file.sha256	已重新命名/對應
fileHash	about.file.sha256	已重新命名/對應
fsize	about.file.size	已重新命名/對應
dvchost	about.hostname	已重新命名/對應
ips	about.ip	已合併
dvcmac	about.mac	已合併
mac_address	about.mac	已合併
deviceTranslatedAddress	about.nat_ip	已合併
Emne	about.process.command_line	直接對應
Path	about.process.command_line	直接對應
Subject	about.process.command_line	直接對應
deviceProcessName	about.process.command_line	已重新命名/對應
dvcpid	about.process.pid	已重新命名/對應
permissions	about.resource.attribute.permissions	已合併
Assigned_hosts_label	additional.fields	已合併
Available_memory_label	additional.fields	已合併
Available_swap_label	additional.fields	已合併
Connected_clients_label	additional.fields	已合併
EM_connection_status_label	additional.fields	已合併
Engine_status_label	additional.fields	已合併
Installed_Plugins_label	additional.fields	已合併
Used_memory_label	additional.fields	已合併
Used_swap_label	additional.fields	已合併
additional_cfp1	additional.fields	已合併
additional_cfp2	additional.fields	已合併
additional_cfp3	additional.fields	已合併
additional_cfp4	additional.fields	已合併
additional_cn1	additional.fields	已合併
additional_cn2	additional.fields	已合併
additional_cn3	additional.fields	已合併
additional_cs1	additional.fields	已合併
additional_cs2	additional.fields	已合併
additional_cs3	additional.fields	已合併
additional_cs4	additional.fields	已合併
additional_cs5	additional.fields	已合併
additional_cs6	additional.fields	已合併
additional_cs7	additional.fields	已合併
additional_devicePayloadId	additional.fields	已合併
additional_eventId	additional.fields	已合併
additional_flexString1	additional.fields	已合併
additional_fname	additional.fields	已合併
application_status_label	additional.fields	已合併
cpu_usage_label	additional.fields	已合併
cs5_label	additional.fields	已合併
type_label	additional.fields	已合併
intermediary	intermediary	已合併
iporhost	intermediary.asset.hostname	直接對應
middle_ip	intermediary.asset.ip	已合併
iporhost	intermediary.hostname	直接對應
middle_ip	intermediary.ip	已合併
pid	intermediary.process.pid	直接對應
desc	metadata.description	直接對應
event_type	metadata.description	直接對應
msg	metadata.description	已重新命名/對應
device_event_class_id	metadata.product_event_type	直接對應
engineName	metadata.product_event_type	直接對應
event_name	metadata.product_event_type	直接對應
eventtype	metadata.product_event_type	直接對應
externalId	metadata.product_log_id	直接對應
device_product	metadata.product_name	直接對應
product	metadata.product_name	直接對應
device_version	metadata.product_version	直接對應
device_vendor	metadata.vendor_name	已重新命名/對應
vendor_name	metadata.vendor_name	直接對應
app_protocol_output	network.application_protocol	直接對應
mail_from	network.email.from	直接對應
mail_subject	network.email.subject	已合併
mail_to	network.email.to	已合併
requestMethod	network.http.method	已重新命名/對應
requestClientApplication	network.http.user_agent	已重新命名/對應
ip_protocol_out	network.ip_protocol	直接對應
protocol	network.ip_protocol	直接對應
protocol1	network.ip_protocol	直接對應
in	network.received_bytes	已重新命名/對應
out	network.sent_bytes	已重新命名/對應
session_id	network.session_id	直接對應
sntdom	principal.administrative_domain	已重新命名/對應
sourceServiceName	principal.application	已重新命名/對應
Host	principal.asset.hostname	直接對應
Hostname	principal.asset.hostname	直接對應
Source	principal.asset.hostname	直接對應
Source_1	principal.asset.hostname	直接對應
host_ip	principal.asset.ip	已合併
source_ip	principal.asset.ip	已合併
src_ip	principal.asset.ip	已合併
Group_name	principal.group.group_display_name	直接對應
Gruppenavn	principal.group.group_display_name	直接對應
Device_name	principal.hostname	直接對應
Enhetsnavn	principal.hostname	直接對應
Host	principal.hostname	直接對應
Hostname	principal.hostname	直接對應
Source	principal.hostname	直接對應
Source_1	principal.hostname	直接對應
shost	principal.hostname	已重新命名/對應
host_ip	principal.ip	已合併
principal_ip	principal.ip	已合併
shost	principal.ip	已合併
source_ip	principal.ip	已合併
src_ip	principal.ip	已合併
MAC	principal.mac	已合併
mac	principal.mac	已合併
mac_addr	principal.mac	已合併
src_mac	principal.mac	已合併
sourceTranslatedAddress	principal.nat_ip	已合併
sourceTranslatedPort	principal.nat_port	已重新命名/對應
source_port	principal.port	已重新命名/對應
spt	principal.port	已重新命名/對應
src_port	principal.port	直接對應
command	principal.process.command_line	直接對應
sproc	principal.process.command_line	已重新命名/對應
spid	principal.process.pid	已重新命名/對應
resource	principal.resource.name	直接對應
principal_role	principal.user.attribute.roles	已合併
suser	principal.user.user_display_name	直接對應
User	principal.user.userid	直接對應
suid	principal.user.userid	已重新命名/對應
user_id	principal.user.userid	直接對應
user_name	principal.user.userid	直接對應
username	principal.user.userid	直接對應
sec_result	security_result	已合併
security_result	security_result	已合併
res_label	security_result.about.resource.attribute.labels	已合併
_action	security_result.action	已合併
sec_action	security_result.action	已合併
security_result_action	security_result.action	已合併
Action_Taken	security_result.action_details	直接對應
act	security_result.action_details	直接對應
cat	security_result.category_details	已合併
Category	security_result.description	直接對應
Reason	security_result.description	直接對應
Scan_Type	security_result.description	直接對應
Type	security_result.description	直接對應
act	security_result.description	直接對應
description	security_result.description	直接對應
details	security_result.description	直接對應
et_lower	security_result.description	直接對應
event_type	security_result.description	直接對應
kv_data	security_result.description	直接對應
msg_data_2	security_result.description	直接對應
policy_details	security_result.description	直接對應
rnmsg	security_result.description	直接對應
infection_channel_label	security_result.detection_fields	已合併
operasjon_label	security_result.detection_fields	已合併
operation_label	security_result.detection_fields	已合併
permission_label	security_result.detection_fields	已合併
protocol_label	security_result.detection_fields	已合併
spyware_Grayware_Type_label	security_result.detection_fields	已合併
threat_probability_label	security_result.detection_fields	已合併
tillatelse_label	security_result.detection_fields	已合併
Rule	security_result.rule_id	直接對應
alart_id	security_result.rule_id	直接對應
device_event_class_id	security_result.rule_id	直接對應
Match	security_result.rule_name	直接對應
mwProfile	security_result.rule_name	直接對應
severity	security_result.severity_details	直接對應
Result	security_result.summary	直接對應
appcategory	security_result.summary	直接對應
event_name	security_result.summary	直接對應
event_type	security_result.summary	直接對應
log_description	security_result.summary	直接對應
reason	security_result.summary	已重新命名/對應
Spyware	security_result.threat_name	直接對應
Unknown_Threat	security_result.threat_name	直接對應
Virus_Malware_Name	security_result.threat_name	直接對應
threat	security_result.threat_name	直接對應
oldFilePath	src.file.full_path	已重新命名/對應
oldFileSize	src.file.size	已重新命名/對應
old_permissions	src.resource.attribute.permissions	已合併
dntdom	target.administrative_domain	已重新命名/對應
destinationServiceName	target.application	已重新命名/對應
Destination	target.asset.hostname	直接對應
Target	target.asset.hostname	直接對應
Target_1	target.asset.hostname	直接對應
computer_name	target.asset.hostname	直接對應
Destination	target.asset.ip	已合併
dest_ip	target.asset.ip	已合併
destination_ip	target.asset.ip	已合併
target_ip	target.asset.ip	已合併
Destination	target.hostname	直接對應
Target	target.hostname	直接對應
Target_1	target.hostname	直接對應
computer_name	target.hostname	直接對應
temp_dhost	target.hostname	直接對應
Destination	target.ip	已合併
IPv6_Address	target.ip	已合併
dest_ip	target.ip	已合併
destination_ip	target.ip	已合併
dst_ip	target.ip	已合併
target_ip	target.ip	已合併
dest_mac	target.mac	已合併
mac_address	target.mac	已合併
destination_translated_address	target.nat_ip	已合併
destinationTranslatedPort	target.nat_port	已重新命名/對應
dest_port	target.port	直接對應
dpt	target.port	已重新命名/對應
port	target.port	已重新命名/對應
dproc	target.process.command_line	已重新命名/對應
File_name	target.process.file.full_path	直接對應
Infected_Resource	target.process.file.full_path	直接對應
Object	target.process.file.full_path	直接對應
Objekt	target.process.file.full_path	直接對應
dpid	target.process.pid	已重新命名/對應
resource_Type_label	target.resource.attribute.labels	已合併
request	target.url	直接對應
target_role	target.user.attribute.roles	已合併
CustomerName	target.user.user_display_name	直接對應
temp_duser	target.user.user_display_name	直接對應
Bruker	target.user.userid	直接對應
User_value	target.user.userid	直接對應
temp_duid	target.user.userid	直接對應
username	target.user.userid	直接對應
不適用	about	常數：about
不適用	about.ip	常數：ips
不適用	about.mac	常數：mac_address
不適用	about.nat_ip	常數：deviceTranslatedAddress
不適用	about.resource.attribute.permissions	常數：permissions
不適用	additional.fields	常數：additional_eventId
不適用	extensions.auth.type	常數：MACHINE
不適用	intermediary	常數：intermediary
不適用	intermediary.asset.ip	常數：middle_ip
不適用	intermediary.ip	常數：middle_ip
不適用	metadata.event_type	常數：USER_LOGIN
不適用	metadata.product_name	常數：FORESCOUT NAC
不適用	metadata.vendor_name	常數：FORESCOUT
不適用	network.direction	常數：INBOUND
不適用	network.email.subject	常數：mail_subject
不適用	network.email.to	常數：mail_to
不適用	principal.asset.ip	常數：source_ip
不適用	principal.ip	常數：principal_ip
不適用	principal.mac	常數：mac
不適用	principal.nat_ip	常數：sourceTranslatedAddress
不適用	principal.user.attribute.roles	常數：principal_role
不適用	security_result	常數：security_result
不適用	security_result.about.resource.attribute.labels	常數：res_label
不適用	security_result.action	常數：_action
不適用	security_result.alert_state	常數：ALERTING
不適用	security_result.category_details	常數：cat
不適用	security_result.detection_fields	常數：operation_label
不適用	security_result.rule_name	常數：Virtual Firewall blocking
不適用	security_result.severity	常數：LOW
不適用	src.resource.attribute.permissions	常數：old_permissions
不適用	target.asset.ip	常數：target_ip
不適用	target.ip	常數：dst_ip
不適用	target.mac	常數：mac_address
不適用	target.nat_ip	常數：destination_translated_address
不適用	target.resource.attribute.labels	常數：resource_Type_label
不適用	target.user.attribute.roles	常數：target_role

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。