Mengumpulkan log Agen SIEM Fortra Powertech
Didukung di:
Google secops
SIEM
Panduan ini menjelaskan cara menyerap log Fortra Powertech SIEM Agent for IBM i ke Google Security Operations menggunakan agen Bindplane.
Powertech SIEM Agent for IBM i (sebelumnya Powertech Interact) memantau jurnal dan antrean pesan IBM i untuk entri audit dan pesan sistem penting, mengirimkan pesan menggunakan UDP, TCP, TLS, antrean pesan, atau file streaming (IFS), dan memformat bagian MSG dari paket syslog sesuai dengan Micro Focus ArcSight Common Event Format (CEF) v25.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps.
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd.
- Konektivitas jaringan antara agen Bindplane dan sistem IBM i yang menjalankan Agen SIEM Powertech.
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane.
- Akses istimewa ke sistem IBM i dengan otoritas untuk mengonfigurasi Agen SIEM Powertech (profil pengguna dengan otoritas khusus *ALLOBJ atau anggota daftar otorisasi PTADMIN).
- Powertech SIEM Agent for IBM i diinstal dan diberi lisensi di sistem IBM i.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Klik Download untuk mendownload file autentikasi penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen BindPlane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yaml
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten config.yaml dengan konfigurasi berikut:
receivers:
udplog:
listen_address: "0.0.0.0:514"
exporters:
chronicle/powertech_siem:
compression: gzip
creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
customer_id: 'YOUR_CUSTOMER_ID'
endpoint: malachiteingestion-pa.googleapis.com
log_type: FORTRA_POWERTECH_SIEM_AGENT
raw_log_field: body
ingestion_labels:
env: production
service:
pipelines:
logs/powertech_to_chronicle:
receivers:
- udplog
exporters:
- chronicle/powertech_siem
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
listen_address: Alamat IP dan port yang akan diproses. Gunakan0.0.0.0:514untuk memantau semua antarmuka di port 514, atau ubah port ke1514atau nilai lain jika port 514 memerlukan hak istimewa root atau sudah digunakan.
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: Ganti dengan ID pelanggan Google SecOps Anda.endpoint: URL endpoint regional. Gunakan endpoint yang sesuai untuk instance Google SecOps Anda:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
- Amerika Serikat:
ingestion_labels: Label opsional dalam format YAML (misalnya,env: production,source: ibm_i).
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen BindPlane untuk menerapkan perubahan
Linux
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Windows
Pilih salah satu opsi berikut:
Menggunakan Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorMenggunakan konsol Layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog Powertech SIEM Agent
Di command line IBM i, masukkan POWERTECH untuk membuka Powertech Main Menu, lalu pilih Option 6 untuk membuka SIEM Agent Main Menu.
Mengonfigurasi format syslog
Dari Menu Utama Agen SIEM, pilih opsi 2 untuk membuka panel Work with Formats. Format CEF, JSON, LEEF, MODERN, dan SYSLOG disertakan secara default.
- Ketik 2 di samping SYSLOG, lalu tekan Enter.
- Di kolom Message Style, ketik *SYSLOG.
- Di kolom Header specification, ketik RFC3164.
- Pastikan Kompatibilitas Format Header Disetel ke 'Y' dan simpan konfigurasi.
Tekan F3 dua kali untuk kembali ke Menu Utama.
Membuat output jaringan
Dari Menu Utama, pilih opsi 3 Work with Outputs, lalu tekan F6 untuk membuat output baru.
- Masukkan opsi berikut:
- Name: CHRONICLE (atau nama deskriptif)
- Deskripsi: Output Chronicle Bindplane
- Aktif: 1
- Format: SYSLOG
- Jenis: *NETWORK
- Tekan Enter.
- Di layar berikutnya, masukkan opsi berikut:
- Lokasi: Masukkan alamat IP komputer tempat agen BindPlane diinstal
- Port: 514 (atau port yang dikonfigurasi di agen Bindplane)
- Protokol: UDP
Tekan Enter untuk menyimpan perubahan, lalu tekan F12 untuk menutup jendela.
Melampirkan output ke sumber peristiwa
Pilih opsi 1 Work with Event Sources, lalu ketik 2 di samping AUDIT dan tekan Enter.
- Tekan F8 Maintain Outputs, lalu tekan F6 Attach untuk melampirkan output yang baru dibuat. Ketik 1 di samping CHRONICLE (atau nama output Anda), lalu tekan Enter.
- Tekan F3 untuk kembali ke Menu Utama.
Mengaktifkan deskripsi acara
Dari Menu Utama Agen SIEM, pilih opsi 1, lalu masukkan 9 untuk Sumber Peristiwa. Panel Bekerja dengan Deskripsi Acara akan muncul. Gunakan opsi 6 untuk mengaktifkan peristiwa yang ingin Anda proses.
Melakukan perubahan konfigurasi
Dari Menu Utama, pilih opsi 82, Work with Utilities, lalu pilih opsi 1, Commit configuration changes.
Mulai pemantauan Agen SIEM
Jika Agen SIEM belum berjalan, mulai tugas pemantauan:
Dari command line IBM i, masukkan:
CALL PTSTARTUPPerintah ini memulai tugas monitor Central Administration dan SIEM Agent yang diperlukan di subsistem PTWRKMGT.
Memverifikasi bahwa log sedang dikirim
- Pastikan log tiba di agen BindPlane dengan meninjau log agen BindPlane (lihat bagian memulai ulang di atas untuk lokasi log).
- Pastikan log muncul di konsol Google SecOps (izinkan 5 hingga 10 menit untuk penyerapan awal).
- Secara opsional, tetapkan antrean pesan untuk mencatat semua pesan yang dikirim oleh Agen SIEM guna mengonfirmasi pesan mana yang telah dikirim.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| principal_ip | principal.ip | Alamat IP kepala sekolah. |
| dst_ip | target.ip | Alamat IP target. |
| sourceTranslatedAddress | principal.nat_ip | Alamat IP NAT kepala sekolah. |
| destinationTranslatedAddress | target.nat_ip | Alamat IP NAT target. |
| dvc | about.ip | Alamat IP aset. |
| deviceTranslatedAddress | about.nat_ip | Alamat IP NAT aset. |
| smac | principal.mac | Alamat MAC kepala sekolah. |
| dmac | target.mac | Alamat MAC target. |
| dvcmac | about.mac | Alamat MAC aset. |
| spriv | principal.user.attribute.roles | Peran yang terkait dengan pengguna utama. |
| dpriv | target.user.attribute.roles | Peran yang terkait dengan pengguna target. |
| oldFilePermission | src.resource.attribute.permissions | Izin resource sumber. |
| filePermission | about.resource.attribute.permissions | Izin resource. |
| cat | security_result.category_details | Detail tambahan tentang kategori hasil keamanan. |
| device_vendor, device_product, deviceExternalId | about.asset.asset_id | ID unik untuk aset. |
| keluar | network.sent_bytes | Jumlah byte yang dikirim dalam koneksi jaringan. |
| di | network.received_bytes | Jumlah byte yang diterima dalam koneksi jaringan. |
| fsize | about.file.size | Ukuran file. |
| oldFileSize | src.file.size | Ukuran file sumber. |
| destinationTranslatedPort | target.nat_port | Port NAT target. |
| dpt | target.port | Nomor port target. |
| sourceTranslatedPort | principal.nat_port | Port NAT dari pokok. |
| spt | principal.port | Nomor port prinsipal. |
| rt | metadata.event_timestamp | Stempel waktu saat peristiwa terjadi. |
| tingkat keseriusan, | security_result.severity | Tingkat keparahan hasil keamanan. |
| app_protocol_src | network.application_protocol | Protokol aplikasi yang digunakan dalam koneksi jaringan. |
| proto | network.ip_protocol | Protokol IP yang digunakan dalam koneksi jaringan. |
| deviceDirection | network.direction | Arah traffic jaringan. |
| act | security_result.action | Tindakan yang diambil oleh sistem keamanan. |
| hasil, categoryOutcome, cs2 | security_result.action | Tindakan yang diambil oleh sistem keamanan. |
| msg_data_2 | security_result.description | Deskripsi hasil keamanan. |
| msg | metadata.description | Deskripsi acara. |
| destinationServiceName | target.application | Aplikasi yang terkait dengan target. |
| dntdom | target.administrative_domain | Domain administratif target. |
| oldFilePath | src.file.full_path | Jalur lengkap file sumber. |
| requestClientApplication | network.http.user_agent | String agen pengguna dari permintaan HTTP. |
| requestMethod | network.http.method | Metode HTTP yang digunakan dalam permintaan. |
| filePath | about.file.full_path | Jalur lengkap file. |
| dvchost | about.hostname | Nama host aset. |
| deviceNtDomain | about.administrative_domain | Domain administratif aset. |
| dvcpid | about.process.pid | ID proses aset. |
| deviceProcessName | about.process.command_line | Command line proses pada aset. |
| _hash | about.file.sha256 | Hash SHA256 file. |
| externalId | metadata.product_log_id | ID log khusus produk. |
| security_result.action_details | security_result.action_details | Detail tambahan tentang tindakan keamanan. |
| device_version | metadata.product_version | Versi produk yang menghasilkan peristiwa. |
| temp_dhost | target.hostname | Nama host target. |
| permintaan | target.url | URL yang terkait dengan target. |
| temp_duser | target.user.user_display_name | Nama tampilan pengguna target. |
| temp_duid | target.user.userid | ID pengguna target. |
| Device_name | principal.hostname | Nama host prinsipal. |
| Enhetsnavn | principal.hostname | Nama host prinsipal. |
| Domain | principal.administrative_domain | Domain administratif prinsipal. |
| Domene | principal.administrative_domain | Domain administratif prinsipal. |
| Group_name | principal.group.group_display_name | Nama tampilan grup utama. |
| Gruppenavn | principal.group.group_display_name | Nama tampilan grup utama. |
| Diterima, Mottatt | metadata.collected_timestamp | Stempel waktu saat peristiwa dikumpulkan. |
| Dibuat, Dibuat | metadata.event_timestamp | Stempel waktu saat peristiwa terjadi. |
| Subjek | about.process.command_line | Command line proses. |
| Emne | about.process.command_line | Command line proses. |
| Jalur | about.process.command_line | Command line proses. |
| Jenis | security_result.description | Deskripsi hasil keamanan. |
| Scan_Type | security_result.description | Deskripsi hasil keamanan. |
| Pengguna | target.user.userid | ID pengguna target. |
| Pengguna | target.user.userid | ID pengguna target. |
| CustomerName | target.user.user_display_name | Nama tampilan pengguna target. |
| File_name, Object, Objekt, Infected_Resource | target.process.file.full_path | Jalur lengkap file yang terkait dengan proses target. |
| Action_Taken | security_result.action_details | Detail tambahan tentang tindakan keamanan. |
| Spyware, Virus_Malware_Name, Unknown_Threat | security_result.threat_name | Nama ancaman yang terdeteksi. |
| shost | principal.hostname | Nama host prinsipal. |
| shost | principal.ip | Alamat IP kepala sekolah. |
| sntdom | principal.administrative_domain | Domain administratif prinsipal. |
| sourceServiceName | principal.application | Aplikasi yang terkait dengan prinsipal. |
| spid | principal.process.pid | ID proses prinsipal. |
| sproc | principal.process.command_line | Command line dari proses utama. |
| suid | principal.user.userid | ID pengguna utama. |
| suser | principal.user.user_display_name | Nama tampilan pengguna utama. |
| dpid | target.process.pid | ID proses dari proses target. |
| dproc | target.process.command_line | Command line dari proses target. |
| alasan | security_result.summary | Ringkasan hasil keamanan. |
| event_name, device_event_class_id | metadata.product_event_type | Jenis peristiwa khusus produk. |
| fileHash | about.file.sha256 | Hash SHA256 file. |
| tentang | tentang | Informasi tambahan tentang acara. |
| mwProfile | security_result.rule_name | Nama aturan yang memicu hasil keamanan. |
| appcategory | security_result.summary | Ringkasan hasil keamanan. |
| Hasil | security_result.summary | Ringkasan hasil keamanan. |
| eventid | additional.fields | Kolom tambahan untuk acara. |
| eventId | additional.fields | Kolom tambahan untuk acara. |
| devicePayloadId | additional.fields | Kolom tambahan untuk acara. |
| fname | additional.fields | Kolom tambahan untuk acara. |
| cs1, cs1Label | additional.fields | Kolom tambahan untuk acara. |
| cs2, cs2Label | additional.fields | Kolom tambahan untuk acara. |
| cs3, cs3Label | additional.fields | Kolom tambahan untuk acara. |
| cs4, cs4Label | additional.fields | Kolom tambahan untuk acara. |
| cs5, cs5Label | additional.fields | Kolom tambahan untuk acara. |
| cs6, cs6Label | additional.fields | Kolom tambahan untuk acara. |
| cs7, cs7Label | additional.fields | Kolom tambahan untuk acara. |
| flexString1, flexString1Label | additional.fields | Kolom tambahan untuk acara. |
| cn1, cn1Label | additional.fields | Kolom tambahan untuk acara. |
| cn2, cn2Label | additional.fields | Kolom tambahan untuk acara. |
| cn3, cn3Label | additional.fields | Kolom tambahan untuk acara. |
| cfp1, cfp1Label | additional.fields | Kolom tambahan untuk acara. |
| cfp2, cfp2Label | additional.fields | Kolom tambahan untuk acara. |
| cfp3, cfp3Label | additional.fields | Kolom tambahan untuk acara. |
| cfp4, cfp4Label | additional.fields | Kolom tambahan untuk acara. |
| Operasi | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| Operasjon | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| Izin | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| Tillatelse | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| Infection_Channel | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| IPv6_Address | target.ip | Alamat IP target. |
| Resource_Type | target.resource.attribute.labels | Label untuk atribut resource target. |
| Spyware_Grayware_Type | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| Threat_Probability | security_result.detection_fields | Kolom yang digunakan untuk deteksi ancaman. |
| security_result | security_result | Hasil keamanan acara. |
| host | principal.hostname | Nama host prinsipal. |
| gagal | metadata.description | Deskripsi acara. |
| diubah | metadata.description | Deskripsi acara. |
| log_version | additional.fields | Kolom tambahan untuk acara. |
| cnt | additional.fields | Kolom tambahan untuk acara. |
| fileType | target.file.mime_type | Jenis MIME file target. |
| fname | target.file.names | Nama file target. |
| ip | principal.ip | Alamat IP kepala sekolah. |
| metadata.event_type | metadata.event_type | Jenis acara. |
| principal_hostname | principal.asset.hostname | Nama host aset utama. |
| principal_asset_hostname | principal.asset.hostname | Nama host aset utama. |
| target_hostname | target.asset.hostname | Nama host aset target. |
| target_asset_hostname | target.asset.hostname | Nama host aset target. |
| device_vendor | metadata.vendor_name | Nama vendor produk. |
| device_product | metadata.product_name | Nama produk. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.