Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

iBoss Web Proxy-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie iBoss Web Proxy-Logs mit Bindplane in Google Security Operations aufnehmen.

iBoss ist eine cloudnative Zero Trust Secure Access Service Edge (SASE)-Plattform, die sicheren Internetzugriff, Secure Web Gateway (SWG), CASB, ZTNA und DLP-Funktionen bietet. Der Traffic wird über die Cloud-Infrastruktur weitergeleitet, um einheitliche Sicherheitsrichtlinien und Bedrohungsschutz für Nutzer unabhängig vom Standort zu erzwingen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und der iBoss-Cloudplattform
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Administratorzugriff auf das iBoss-Portal mit Berechtigungen zum Konfigurieren des Integration Marketplace

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als active (running) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie im Installationsleitfaden für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/iboss_webproxy:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IBOSS_WEBPROXY
        raw_log_field: body
        ingestion_labels:
            log_source: iboss

service:
    pipelines:
        logs/iboss_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/iboss_webproxy

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- listen_address: Die IP-Adresse und der Port, an dem der Bindplane-Agent auf eingehende Syslog-Nachrichten wartet. Verwenden Sie 0.0.0.0, um an allen Schnittstellen zu warten. Der Port muss mit dem Port übereinstimmen, der in den Syslog-Weiterleitungseinstellungen von iBoss konfiguriert ist.
- Wenn iBoss so konfiguriert ist, dass Logs über TCP gesendet werden, ersetzen Sie den udplog-Empfänger durch tcplog:
```
receivers:
    tcplog:
        listen_address: "0.0.0.0:514"
```
Hinweis: Aktualisieren Sie die Empfängerreferenz im Abschnitt service.pipelines entsprechend.
Exporter-Konfiguration :
- <CREDS_FILE_PATH>: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID>: Zuvor kopierte Google SecOps-Kundennummer.
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:

Führen Sie dazu diesen Befehl aus:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Prüfen Sie die Logs auf Fehler:

sudo journalctl -u observiq-otel-collector -f

So starten Sie den Bindplane-Agent unter Windows neu:

Wählen Sie eine der folgenden Optionen aus:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Prüfen Sie die Logs auf Fehler:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung von iBoss konfigurieren

Melden Sie sich im iBoss -Portal an.
Rufen Sie Integration Marketplace auf und wählen Sie im Menü links Log Forwarding (Log-Weiterleitung) aus. Klicken Sie auf die Schaltfläche Configure (Konfigurieren) für das Widget Syslog Log Forwarding (Syslog-Log-Weiterleitung).
Klicken Sie auf die Schaltfläche Add Integration (Integration hinzufügen), um die Syslog-Integration hinzuzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Forward From (Weiterleiten von): Wählen Sie im Drop-down-Menü Reporter aus.
- Select Reporting Database (Berichtsdatenbank auswählen): Wählen Sie die Berichtsdatenbank aus.
- Service Name (Dienstname): Geben Sie einen aussagekräftigen Namen für die Integration ein, z. B. SecOps-Bindplane.
- Enable Service (Dienst aktivieren): Setzen Sie diese Option auf Enabled (Aktiviert).
- Log Type (Logtyp): Wählen Sie im Drop-down-Menü URL aus. Dadurch werden Web-Proxy-Traffic-Logs (HTTP/HTTPS-Anfragen) erfasst. Wenn Sie andere Ereigniskategorien wie DLP oder DNS weiterleiten möchten, konfigurieren Sie separate Integrationen mit dem entsprechenden Logtyp.
- Protocol Type (Protokolltyp): Wählen Sie im Drop-down-Menü UDP oder TCP aus.
  
  Hinweis: Das Protokoll muss mit dem Empfängertyp übereinstimmen, der in der Bindplane-Agent-Datei config.yaml konfiguriert ist (udplog für UDP, tcplog für TCP). TCP wird für Produktionsumgebungen empfohlen, da es eine zuverlässige und geordnete Übermittlung bietet.
- Syslog Facility Level (Syslog-Einrichtungsebene): Wählen Sie im Drop-down-Menü Facility Syslog (Syslog-Einrichtung) aus.
- Reporting Group (Berichtsgruppe): Wählen Sie im Drop-down-Menü All (Alle) aus.
- Host Name (Hostname): Geben Sie die IP-Adresse oder den vollständig qualifizierten Domainnamen des Bindplane-Agent-Hosts ein.
- Port: Geben Sie die Portnummer ein, die mit dem listen_address-Port in der Bindplane-Agent-Konfiguration übereinstimmt (z. B. 514).
  
  Hinweis: Unter Linux ist Port 514 ein privilegierter Port. Wenn der Bindplane-Agent als Nicht-Root-Nutzer ausgeführt wird, verwenden Sie einen nicht privilegierten Port (z. B. 5514) und aktualisieren Sie sowohl das Feld Port von iBoss als auch die listen_address von Bindplane entsprechend.
- Log Format (Logformat): Wählen Sie im Drop-down-Menü JSON aus.
- Transfer Interval (Übertragungsintervall): Wählen Sie im Drop-down-Menü Continuous (Kontinuierlich) aus.
- Field Delimiter (Feldtrennzeichen): Wählen Sie im Drop-down-Menü SPACE (LEERZEICHEN) aus.
- Send DLP/Web/DNS/Malware/Audit/ConnectionError Logs (DLP-/Web-/DNS-/Malware-/Audit-/Verbindungsfehler-Logs senden): Setzen Sie diese Option je nach Ihren Einstellungen für das Senden von Logs auf Enable (Aktivieren).
  
  Hinweis: Die Option Send Connection Error Logs (Verbindungsfehler-Logs senden) ist in der iBoss-UI nur sichtbar, wenn Send Web Logs (Web-Logs senden) deaktiviert ist.
- Fields to Forward (Weiterzuleitende Felder): Fügen Sie alle Felder außer DLP Base64 Encoded Meta Data (DLP-Base64-codierte Metadaten), Base64 Encoded Meta Data (Base64-codierte Metadaten) und Chat GPT Message (Chat GPT-Nachricht) hinzu.
Klicken Sie auf Add Service (Dienst hinzufügen).

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
intermediary	intermediary	Informationen zu einem Vermittlungsgerät oder ‑dienst, der am Ereignis beteiligt ist.
Ab	metadata.description	Zusätzliche Beschreibung des Ereignisses.
metadata.event_type	metadata.event_type	Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION).
urlLogId	metadata.product_log_id	Eindeutige Kennung für den Logeintrag aus dem Produkt.
requestMethod	network.http.method	In der Anfrage verwendete HTTP-Methode.
ref_url	network.http.referral_url	URL, über die der Nutzer auf die aktuelle Seite verwiesen wurde.
response_Code	network.http.response_code	HTTP-Antwortcode.
user_Agent	network.http.user_agent	User-Agent-String aus der HTTP-Anfrage.
up_stream	network.received_bytes	Anzahl der in der Netzwerkverbindung empfangenen Byte.
down_stream	network.sent_bytes	Anzahl der in der Netzwerkverbindung gesendeten Byte.
computerName	principal.asset.hostname	Hostname des Assets, das mit dem Hauptkonto verknüpft ist.
computer_Mac_Address	principal.asset.mac	MAC-Adresse des Assets, das mit dem Hauptkonto verknüpft ist.
filtering_Group_Name	principal.group.group_display_name	Anzeigename der Gruppe, die mit dem Hauptkonto verknüpft ist.
computerName	principal.hostname	Hostname des Hauptkontos.
sourceIpAddress	principal.ip	IP-Adresse des Hauptkontos.
pri_ip	principal.ip
pub_ip	principal.ip
mac_address	principal.mac	MAC-Adresse des Hauptkontos.
src_port	principal.port	Vom Hauptkonto verwendete Portnummer.
file_name	principal.process.file.names	Namen der Dateien, die mit dem Prozess verknüpft sind.
Nutzername	principal.user.userid	Nutzer-ID des Hauptkontos.
sec_res	security_result	Ergebnis der Sicherheitsanalyse, einschließlich Aktionen und Kategorien.
Host	target.hostname	Hostname des Ziels.
ipAddress	target.ip	IP-Adresse des Ziels.
targetPort	target.port	Portnummer des Ziels.
uri_path	target.process.file.full_path	Vollständiger Pfad der Datei oder Ressource auf dem Ziel.
URL	target.url	URL des Ziels.
metadata.product_name	metadata.product_name	Name des Produkts, das das Ereignis generiert hat.
metadata.vendor_name	metadata.vendor_name	Name des Anbieters, der das Produkt hergestellt hat.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten