Raccogliere i log di iBoss Web Proxy
Questo documento spiega come importare i log di iBoss Web Proxy in Google Security Operations utilizzando Bindplane.
iBoss è una piattaforma SASE (Secure Access Service Edge) Zero Trust nativa del cloud che fornisce accesso sicuro a internet, SWG (Secure Web Gateway), CASB, ZTNA e funzionalità DLP. Instrada il traffico attraverso la sua infrastruttura cloud per applicare policy di sicurezza e protezione dalle minacce coerenti per gli utenti, indipendentemente dalla loro posizione.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e la piattaforma cloud iBoss
- Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso amministratore al portale iBoss con autorizzazioni per configurare il Marketplace di integrazione
Recuperare il file di autenticazione dell'importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.
Installare l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse di installazione aggiuntive
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individuare il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modificare il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/iboss_webproxy: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: IBOSS_WEBPROXY raw_log_field: body ingestion_labels: log_source: iboss service: pipelines: logs/iboss_to_chronicle: receivers: - udplog exporters: - chronicle/iboss_webproxy
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: l'indirizzo IP e la porta su cui l'agente Bindplane è in ascolto per i messaggi syslog in entrata. Utilizza0.0.0.0per ascoltare su tutte le interfacce. La porta deve corrispondere a quella configurata nelle impostazioni di inoltro syslog di iBoss.Se iBoss è configurato per inviare i log tramite TCP, sostituisci il ricevitore
udplogcontcplog:receivers: tcplog: listen_address: "0.0.0.0:514"
Configurazione dell'esportatore:
<CREDS_FILE_PATH>: percorso completo del file di autenticazione dell'importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID cliente Google SecOps copiato in precedenza.endpoint: URL dell'endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEnter, poiCtrl+X - Windows: fai clic su File > Salva
Riavviare l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per verificare la presenza di errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Servizi:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Premi
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per verificare la presenza di errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurare l'inoltro syslog di iBoss
- Accedi al portale iBoss.
- Vai a Marketplace di integrazione, seleziona Inoltro log dal menu a sinistra e fai clic sul pulsante Configura associato al widget Inoltro log syslog.
- Fai clic sul pulsante Aggiungi integrazione per aggiungere l'integrazione Syslog.
Fornisci i seguenti dettagli di configurazione:
- Inoltra da: seleziona Reporter dal menu a discesa.
- Seleziona database di reporting: seleziona il database di reporting.
- Nome servizio: inserisci un nome descrittivo per l'integrazione (ad esempio,
SecOps-Bindplane). - Attiva servizio: imposta questa opzione su Attivato.
- Tipo di log: seleziona URL dal menu a discesa. Vengono acquisiti i log del traffico del proxy web (richieste HTTP/HTTPS). Per inoltrare altre categorie di eventi come DLP o DNS, configura integrazioni separate con il tipo di log corrispondente.
Tipo di protocollo: seleziona UDP o TCP dal menu a discesa.
Livello di struttura syslog: seleziona Struttura syslog dal menu a discesa.
Gruppo di reporting: seleziona Tutti dal menu a discesa.
Nome host: inserisci l'indirizzo IP o il nome di dominio completo dell'host dell'agente Bindplane.
Porta: inserisci il numero di porta corrispondente alla porta
listen_addressnella configurazione dell'agente Bindplane (ad esempio,514).Formato log: seleziona JSON dal menu a discesa.
Intervallo di trasferimento: seleziona Continuo dal menu a discesa.
Delimitatore di campo: seleziona SPAZIO dal menu a discesa.
Invia log DLP/web/DNS/malware/audit/ConnectionError: imposta su Attiva in base alla tua preferenza per l'invio dei log.
Campi da inoltrare: aggiungi tutti i campi tranne DLP Base64 Encoded Meta Data, Base64 Encoded Meta Data e Chat GPT Message.
Fai clic su Aggiungi servizio.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Funzione logica |
|---|---|---|
| intermediary | intermediary | Informazioni su un dispositivo o un servizio intermediario coinvolto nell'evento. |
| desc | metadata.description | Descrizione aggiuntiva dell'evento. |
| metadata.event_type | metadata.event_type | Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION). |
| urlLogId | metadata.product_log_id | Identificatore univoco per la voce di log del prodotto. |
| requestMethod | network.http.method | Metodo HTTP utilizzato nella richiesta. |
| ref_url | network.http.referral_url | URL che ha indirizzato l'utente alla pagina corrente. |
| response_Code | network.http.response_code | Codice di risposta HTTP. |
| user_Agent | network.http.user_agent | Stringa dello user agent della richiesta HTTP. |
| up_stream | network.received_bytes | Numero di byte ricevuti nella connessione di rete. |
| down_stream | network.sent_bytes | Numero di byte inviati nella connessione di rete. |
| computerName | principal.asset.hostname | Nome host della risorsa associata all'entità. |
| computer_Mac_Address | principal.asset.mac | Indirizzo MAC della risorsa associata all'entità. |
| filtering_Group_Name | principal.group.group_display_name | Nome visualizzato del gruppo associato all'entità. |
| computerName | principal.hostname | Nome host dell'entità. |
| sourceIpAddress | principal.ip | Indirizzo IP dell'entità. |
| pri_ip | principal.ip | |
| pub_ip | principal.ip | |
| mac_address | principal.mac | Indirizzo MAC dell'entità. |
| src_port | principal.port | Numero di porta utilizzato dall'entità. |
| file_name | principal.process.file.names | Nomi dei file associati al processo. |
| username | principal.user.userid | ID utente dell'entità. |
| sec_res | security_result | Risultato dell'analisi di sicurezza, incluse azioni e categorie. |
| host | target.hostname | Nome host del target. |
| ipAddress | target.ip | Indirizzo IP del target. |
| targetPort | target.port | Numero di porta del target. |
| uri_path | target.process.file.full_path | Percorso completo del file o della risorsa sul target. |
| url | target.url | URL del target. |
| metadata.product_name | metadata.product_name | Nome del prodotto che ha generato l'evento. |
| metadata.vendor_name | metadata.vendor_name | Nome del fornitore che ha prodotto il prodotto. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.