Mengumpulkan log InterSystems Caché
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log InterSystems Caché ke Google Security Operations menggunakan agen Bindplane.
InterSystems Caché adalah platform aplikasi dan database berperforma tinggi yang digunakan dalam layanan keuangan dan kesehatan. Layanan ini menghasilkan log audit untuk operasi database, akses pengguna, dan peristiwa sistem. Parser mengekstrak kolom dari data audit Caché dan memetakannya ke Model Data Terpadu (UDM), yang mencakup identitas pengguna, atribut jaringan, detail proses, operasi file, dan hasil keamanan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan server InterSystems Caché
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke instance InterSystems Caché dengan otoritas untuk mengonfigurasi logging audit dan ekspor log
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/intersystems_cache: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: INTERSYSTEMS_CACHE raw_log_field: body service: pipelines: logs/intersystems_cache: receivers: - udplog exporters: - chronicle/intersystems_cache
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
udplog: Jenis penerima berdasarkan protokol:udploguntuk syslog UDPtcploguntuk syslog TCPsysloguntuk syslog RFC 3164/5424
0.0.0.0: Alamat IP yang akan didengarkan:0.0.0.0untuk mendengarkan di semua antarmuka (direkomendasikan)- Alamat IP tertentu untuk memproses permintaan di satu antarmuka
514: Nomor port yang akan diproses (misalnya,514,1514,6514)
Konfigurasi eksportir:
<customer_id>: ID Pelanggan dari langkah sebelumnyamalachiteingestion-pa.googleapis.com: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
- Sesuaikan
creds_file_pathbergantung pada platform:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog InterSystems Caché
InterSystems Caché menulis peristiwa audit ke database audit internalnya. Konfigurasi penerusan syslog untuk mengirim peristiwa ini ke agen BindPlane.
Mengaktifkan dan mengonfigurasi logging audit
- Buka Caché Management Portal.
- Buka Administrasi Sistem > Keamanan > Audit > Konfigurasi Peristiwa Sistem.
- Aktifkan peristiwa audit yang ingin Anda rekam (misalnya,
%System/%Login/LoginFailure,%System/%Security/Protect). - Klik Simpan.
Mengonfigurasi penerusan syslog
- Di Management Portal, buka System Administration > Security > Auditing > Configure Audit.
- Aktifkan penerusan syslog untuk peristiwa audit.
- Berikan detail konfigurasi berikut:
- Server Syslog: Masukkan alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan
514(harus cocok dengan port penerima Bindplane). - Protocol: Pilih UDP (harus cocok dengan jenis penerima Bindplane).
- Server Syslog: Masukkan alamat IP host agen Bindplane (misalnya,
Klik Simpan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
deviceNtDomain |
about.administrative_domain |
Diganti nama/dipetakan |
deviceExternalId |
about.asset.asset_id |
Dipetakan secara langsung |
device_product |
about.asset.asset_id |
Dipetakan secara langsung |
device_vendor |
about.asset.asset_id |
Dipetakan secara langsung |
fileHash |
about.file.full_path |
Dipetakan secara langsung |
filePath |
about.file.full_path |
Diganti nama/dipetakan |
_hash |
about.file.sha256 |
Diganti nama/dipetakan |
fileHash |
about.file.sha256 |
Diganti nama/dipetakan |
fsize |
about.file.size |
Diganti nama/dipetakan |
dvchost |
about.hostname |
Diganti nama/dipetakan |
ips |
about.ip |
Digabung |
dvc_mac |
about.mac |
Dipetakan: slot → mac_address |
dvcmac |
about.mac |
Digabung |
mac_address |
about.mac |
Digabung |
deviceTranslatedAddress |
about.nat_ip |
Digabung |
Emne |
about.process.command_line |
Dipetakan secara langsung |
Path |
about.process.command_line |
Dipetakan secara langsung |
Subject |
about.process.command_line |
Dipetakan secara langsung |
deviceProcessName |
about.process.command_line |
Diganti nama/dipetakan |
dvcpid |
about.process.pid |
Diganti nama/dipetakan |
permissions |
about.resource.attribute.permissions |
Digabung |
additional_cfp1 |
additional.fields |
Digabung |
additional_cfp2 |
additional.fields |
Digabung |
additional_cfp3 |
additional.fields |
Digabung |
additional_cfp4 |
additional.fields |
Digabung |
additional_cn1 |
additional.fields |
Digabung |
additional_cn2 |
additional.fields |
Digabung |
additional_cn3 |
additional.fields |
Digabung |
additional_cs1 |
additional.fields |
Digabung |
additional_cs2 |
additional.fields |
Digabung |
additional_cs3 |
additional.fields |
Digabung |
additional_cs4 |
additional.fields |
Digabung |
additional_cs5 |
additional.fields |
Digabung |
additional_cs6 |
additional.fields |
Digabung |
additional_cs7 |
additional.fields |
Digabung |
additional_devicePayloadId |
additional.fields |
Digabung |
additional_eventId |
additional.fields |
Digabung |
additional_field |
additional.fields |
Digabung |
additional_field_key |
additional.fields |
Dipetakan: smb_stage1 → additional_smb_stage1 |
additional_flexString1 |
additional.fields |
Digabung |
additional_fname |
additional.fields |
Digabung |
additional_smb_stage1 |
additional.fields |
Digabung |
cs2 |
additional.fields |
Dipetakan: arc_test → additional_cs2 |
cs5_label |
additional.fields |
Digabung |
event_name |
extensions.auth.type |
Dipetakan: logout → AUTHTYPE_UNSPECIFIED, login → AUTHTYPE_UNSPECIFIED |
field_intermediary |
intermediary |
Digabung |
msg |
metadata.description |
Diganti nama/dipetakan |
Generated |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ss |
Received |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ss |
rt |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-ddTHH:mm:ssZ |
event_name |
metadata.event_type |
Dipetakan: logout → USER_LOGOUT, login → USER_LOGIN, `"LogSpyware","LogPredictiveMachin... |
device_event_class_id |
metadata.product_event_type |
Dipetakan secara langsung |
event_name |
metadata.product_event_type |
Dipetakan secara langsung |
externalId |
metadata.product_log_id |
Dipetakan secara langsung |
device_product |
metadata.product_name |
Dipetakan secara langsung |
device_version |
metadata.product_version |
Dipetakan secara langsung |
device_vendor |
metadata.vendor_name |
Diganti nama/dipetakan |
app_protocol_output |
network.application_protocol |
Dipetakan secara langsung |
deviceDirection |
network.direction |
Dipetakan: 0 → INBOUND, 1 → OUTBOUND |
requestMethod |
network.http.method |
Diganti nama/dipetakan |
agentZoneURI |
network.http.referral_url |
Dipetakan secara langsung |
requestClientApplication |
network.http.user_agent |
Diganti nama/dipetakan |
ip_protocol_out |
network.ip_protocol |
Dipetakan secara langsung |
in |
network.received_bytes |
Diganti nama/dipetakan |
out |
network.sent_bytes |
Diganti nama/dipetakan |
sntdom |
principal.administrative_domain |
Diganti nama/dipetakan |
sourceServiceName |
principal.application |
Diganti nama/dipetakan |
Group_name |
principal.group.group_display_name |
Dipetakan secara langsung |
Gruppenavn |
principal.group.group_display_name |
Dipetakan secara langsung |
Device_name |
principal.hostname |
Dipetakan secara langsung |
Enhetsnavn |
principal.hostname |
Dipetakan secara langsung |
shost |
principal.hostname |
Diganti nama/dipetakan |
principal_ip |
principal.ip |
Digabung |
shost |
principal.ip |
Digabung |
mac |
principal.mac |
Digabung |
sourceTranslatedAddress |
principal.nat_ip |
Digabung |
sourceTranslatedPort |
principal.nat_port |
Diganti nama/dipetakan |
spt |
principal.port |
Diganti nama/dipetakan |
sproc |
principal.process.command_line |
Diganti nama/dipetakan |
spid |
principal.process.pid |
Diganti nama/dipetakan |
principal_role |
principal.user.attribute.roles |
Digabung |
suser |
principal.user.user_display_name |
Dipetakan secara langsung |
suid |
principal.user.userid |
Diganti nama/dipetakan |
_action |
security_result.action |
Digabung |
act |
security_result.action |
Dipetakan: accept → _action, deny → _action |
Action_Taken |
security_result.action_details |
Dipetakan secara langsung |
act |
security_result.action_details |
Dipetakan secara langsung |
cat |
security_result.category_details |
Digabung |
Scan_Type |
security_result.description |
Dipetakan secara langsung |
Type |
security_result.description |
Dipetakan secara langsung |
msg_data_2 |
security_result.description |
Dipetakan secara langsung |
infection_channel_label |
security_result.detection_fields |
Digabung |
operasjon_label |
security_result.detection_fields |
Digabung |
operation_label |
security_result.detection_fields |
Digabung |
permission_label |
security_result.detection_fields |
Digabung |
spyware_Grayware_Type_label |
security_result.detection_fields |
Digabung |
threat_probability_label |
security_result.detection_fields |
Digabung |
tillatelse_label |
security_result.detection_fields |
Digabung |
mwProfile |
security_result.rule_name |
Dipetakan secara langsung |
severity |
security_result.severity |
Dipetakan: "0", "1", "2", "3", "LOW" → LOW, `"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"... |
severity |
security_result.severity_details |
Dipetakan secara langsung |
Result |
security_result.summary |
Dipetakan secara langsung |
appcategory |
security_result.summary |
Dipetakan secara langsung |
reason |
security_result.summary |
Diganti nama/dipetakan |
Spyware |
security_result.threat_name |
Dipetakan secara langsung |
Unknown_Threat |
security_result.threat_name |
Dipetakan secara langsung |
Virus_Malware_Name |
security_result.threat_name |
Dipetakan secara langsung |
oldFilePath |
src.file.full_path |
Diganti nama/dipetakan |
oldFileSize |
src.file.size |
Diganti nama/dipetakan |
old_permissions |
src.resource.attribute.permissions |
Digabung |
dntdom |
target.administrative_domain |
Diganti nama/dipetakan |
app |
target.application |
Dipetakan secara langsung |
destinationServiceName |
target.application |
Diganti nama/dipetakan |
ahost |
target.hostname |
Dipetakan secara langsung |
temp_dhost |
target.hostname |
Dipetakan secara langsung |
IPv6_Address |
target.ip |
Digabung |
agt |
target.ip |
Digabung |
dst_ip |
target.ip |
Digabung |
ipv6 |
target.ip |
Dipetakan: - → IPv6_Address |
atz |
target.location.country_or_region |
Dipetakan secara langsung |
amac |
target.mac |
Digabung |
mac_address |
target.mac |
Digabung |
destination_translated_address |
target.nat_ip |
Digabung |
destinationTranslatedPort |
target.nat_port |
Diganti nama/dipetakan |
dpt |
target.port |
Diganti nama/dipetakan |
dproc |
target.process.command_line |
Diganti nama/dipetakan |
File_name |
target.process.file.full_path |
Dipetakan secara langsung |
Infected_Resource |
target.process.file.full_path |
Dipetakan secara langsung |
Object |
target.process.file.full_path |
Dipetakan secara langsung |
Objekt |
target.process.file.full_path |
Dipetakan secara langsung |
dpid |
target.process.pid |
Diganti nama/dipetakan |
resource_Type_label |
target.resource.attribute.labels |
Digabung |
request |
target.url |
Dipetakan secara langsung |
target_role |
target.user.attribute.roles |
Digabung |
CustomerName |
target.user.user_display_name |
Dipetakan secara langsung |
temp_duser |
target.user.user_display_name |
Dipetakan secara langsung |
Bruker |
target.user.userid |
Dipetakan secara langsung |
User_value |
target.user.userid |
Dipetakan secara langsung |
temp_duid |
target.user.userid |
Dipetakan secara langsung |
| T/A | extensions.auth.type |
Konstanta: AUTHTYPE_UNSPECIFIED |
| T/A | metadata.event_type |
Konstanta: USER_LOGOUT |
| T/A | network.direction |
Konstanta: INBOUND |
| T/A | security_result.severity |
Konstanta: LOW |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.