InterSystems Caché ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して InterSystems Caché ログを Google Security Operations に取り込む方法について説明します。
InterSystems Caché は、医療や金融サービスで使用される高性能のデータベースとアプリケーション プラットフォームです。データベース オペレーション、ユーザー アクセス、システム イベントの監査ログを生成します。パーサーは Caché 監査データからフィールドを抽出し、統合データモデル(UDM)にマッピングして、ユーザー ID、ネットワーク属性、プロセス詳細、ファイル オペレーション、セキュリティ結果をキャプチャします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと InterSystems Caché サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- 監査ロギングとログ エクスポートを構成する権限を持つ InterSystems Caché インスタンスへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [active (running)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/intersystems_cache: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: INTERSYSTEMS_CACHE raw_log_field: body service: pipelines: logs/intersystems_cache: receivers: - udplog exporters: - chronicle/intersystems_cache
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: プロトコルに基づく受信者のタイプ:- UDP Syslog の
udplog - TCP Syslog の
tcplog - RFC 3164/5424 syslog の
syslog
- UDP Syslog の
0.0.0.0: リッスンする IP アドレス:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - 1 つのインターフェースでリッスンする特定の IP アドレス
- すべてのインターフェースでリッスンする
514: リッスンするポート番号(514、1514、6514など)
エクスポータの構成:
<customer_id>: 前の手順の顧客 IDmalachiteingestion-pa.googleapis.com: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
- プラットフォームに応じて
creds_file_pathを調整します。- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
InterSystems Caché の syslog 転送を構成する
InterSystems Caché は、監査イベントを内部監査データベースに書き込みます。これらのイベントを Bindplane エージェントに送信するように syslog 転送を構成します。
監査ロギングを有効にして構成する
- Caché Management Portal を開きます。
- [System Administration] > [Security] > [Auditing] > [Configure System Events] に移動します。
- キャプチャする監査イベント(
%System/%Login/LoginFailure、%System/%Security/Protectなど)を有効にします。 - [保存] をクリックします。
syslog 転送を構成する
- 管理ポータルで、[System Administration] > [Security] > [Auditing] > [Configure Audit] に移動します。
- 監査イベントの syslog 転送を有効にします。
- 次の構成の詳細を入力します。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレス(
192.168.1.100など)を入力します。 - ポート:
514と入力します(Bindplane レシーバー ポートと一致する必要があります)。 - プロトコル: [UDP] を選択します(Bindplane レシーバー タイプと一致する必要があります)。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレス(
[保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
deviceNtDomain |
about.administrative_domain |
名前変更/マッピング済み |
deviceExternalId |
about.asset.asset_id |
直接マッピングされます。 |
device_product |
about.asset.asset_id |
直接マッピングされます。 |
device_vendor |
about.asset.asset_id |
直接マッピングされます。 |
fileHash |
about.file.full_path |
直接マッピングされます。 |
filePath |
about.file.full_path |
名前変更/マッピング済み |
_hash |
about.file.sha256 |
名前変更/マッピング済み |
fileHash |
about.file.sha256 |
名前変更/マッピング済み |
fsize |
about.file.size |
名前変更/マッピング済み |
dvchost |
about.hostname |
名前変更/マッピング済み |
ips |
about.ip |
統合済み |
dvc_mac |
about.mac |
マッピング: slot → mac_address |
dvcmac |
about.mac |
統合済み |
mac_address |
about.mac |
統合済み |
deviceTranslatedAddress |
about.nat_ip |
統合済み |
Emne |
about.process.command_line |
直接マッピングされます。 |
Path |
about.process.command_line |
直接マッピングされます。 |
Subject |
about.process.command_line |
直接マッピングされます。 |
deviceProcessName |
about.process.command_line |
名前変更/マッピング済み |
dvcpid |
about.process.pid |
名前変更/マッピング済み |
permissions |
about.resource.attribute.permissions |
統合済み |
additional_cfp1 |
additional.fields |
統合済み |
additional_cfp2 |
additional.fields |
統合済み |
additional_cfp3 |
additional.fields |
統合済み |
additional_cfp4 |
additional.fields |
統合済み |
additional_cn1 |
additional.fields |
統合済み |
additional_cn2 |
additional.fields |
統合済み |
additional_cn3 |
additional.fields |
統合済み |
additional_cs1 |
additional.fields |
統合済み |
additional_cs2 |
additional.fields |
統合済み |
additional_cs3 |
additional.fields |
統合済み |
additional_cs4 |
additional.fields |
統合済み |
additional_cs5 |
additional.fields |
統合済み |
additional_cs6 |
additional.fields |
統合済み |
additional_cs7 |
additional.fields |
統合済み |
additional_devicePayloadId |
additional.fields |
統合済み |
additional_eventId |
additional.fields |
統合済み |
additional_field |
additional.fields |
統合済み |
additional_field_key |
additional.fields |
マッピング: smb_stage1 → additional_smb_stage1 |
additional_flexString1 |
additional.fields |
統合済み |
additional_fname |
additional.fields |
統合済み |
additional_smb_stage1 |
additional.fields |
統合済み |
cs2 |
additional.fields |
マッピング: arc_test → additional_cs2 |
cs5_label |
additional.fields |
統合済み |
event_name |
extensions.auth.type |
マッピング: logout → AUTHTYPE_UNSPECIFIED、login → AUTHTYPE_UNSPECIFIED |
field_intermediary |
intermediary |
統合済み |
msg |
metadata.description |
名前変更/マッピング済み |
Generated |
metadata.event_timestamp |
yyyy-MM-ddTHH:mm:ss として解析されました |
Received |
metadata.event_timestamp |
yyyy-MM-ddTHH:mm:ss として解析されました |
rt |
metadata.event_timestamp |
yyyy-MM-ddTHH:mm:ssZ として解析されました |
event_name |
metadata.event_type |
マッピング: logout → USER_LOGOUT、login → USER_LOGIN、`"LogSpyware","LogPredictiveMachin... |
device_event_class_id |
metadata.product_event_type |
直接マッピングされます。 |
event_name |
metadata.product_event_type |
直接マッピングされます。 |
externalId |
metadata.product_log_id |
直接マッピングされます。 |
device_product |
metadata.product_name |
直接マッピングされます。 |
device_version |
metadata.product_version |
直接マッピングされます。 |
device_vendor |
metadata.vendor_name |
名前変更/マッピング済み |
app_protocol_output |
network.application_protocol |
直接マッピングされます。 |
deviceDirection |
network.direction |
マッピング: 0 → INBOUND、1 → OUTBOUND |
requestMethod |
network.http.method |
名前変更/マッピング済み |
agentZoneURI |
network.http.referral_url |
直接マッピングされます。 |
requestClientApplication |
network.http.user_agent |
名前変更/マッピング済み |
ip_protocol_out |
network.ip_protocol |
直接マッピングされます。 |
in |
network.received_bytes |
名前変更/マッピング済み |
out |
network.sent_bytes |
名前変更/マッピング済み |
sntdom |
principal.administrative_domain |
名前変更/マッピング済み |
sourceServiceName |
principal.application |
名前変更/マッピング済み |
Group_name |
principal.group.group_display_name |
直接マッピングされます。 |
Gruppenavn |
principal.group.group_display_name |
直接マッピングされます。 |
Device_name |
principal.hostname |
直接マッピングされます。 |
Enhetsnavn |
principal.hostname |
直接マッピングされます。 |
shost |
principal.hostname |
名前変更/マッピング済み |
principal_ip |
principal.ip |
統合済み |
shost |
principal.ip |
統合済み |
mac |
principal.mac |
統合済み |
sourceTranslatedAddress |
principal.nat_ip |
統合済み |
sourceTranslatedPort |
principal.nat_port |
名前変更/マッピング済み |
spt |
principal.port |
名前変更/マッピング済み |
sproc |
principal.process.command_line |
名前変更/マッピング済み |
spid |
principal.process.pid |
名前変更/マッピング済み |
principal_role |
principal.user.attribute.roles |
統合済み |
suser |
principal.user.user_display_name |
直接マッピングされます。 |
suid |
principal.user.userid |
名前変更/マッピング済み |
_action |
security_result.action |
統合済み |
act |
security_result.action |
マッピング: accept → _action、deny → _action |
Action_Taken |
security_result.action_details |
直接マッピングされます。 |
act |
security_result.action_details |
直接マッピングされます。 |
cat |
security_result.category_details |
統合済み |
Scan_Type |
security_result.description |
直接マッピングされます。 |
Type |
security_result.description |
直接マッピングされます。 |
msg_data_2 |
security_result.description |
直接マッピングされます。 |
infection_channel_label |
security_result.detection_fields |
統合済み |
operasjon_label |
security_result.detection_fields |
統合済み |
operation_label |
security_result.detection_fields |
統合済み |
permission_label |
security_result.detection_fields |
統合済み |
spyware_Grayware_Type_label |
security_result.detection_fields |
統合済み |
threat_probability_label |
security_result.detection_fields |
統合済み |
tillatelse_label |
security_result.detection_fields |
統合済み |
mwProfile |
security_result.rule_name |
直接マッピングされます。 |
severity |
security_result.severity |
マッピング: "0", "1", "2", "3", "LOW" → LOW、`"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"... |
severity |
security_result.severity_details |
直接マッピングされます。 |
Result |
security_result.summary |
直接マッピングされます。 |
appcategory |
security_result.summary |
直接マッピングされます。 |
reason |
security_result.summary |
名前変更/マッピング済み |
Spyware |
security_result.threat_name |
直接マッピングされます。 |
Unknown_Threat |
security_result.threat_name |
直接マッピングされます。 |
Virus_Malware_Name |
security_result.threat_name |
直接マッピングされます。 |
oldFilePath |
src.file.full_path |
名前変更/マッピング済み |
oldFileSize |
src.file.size |
名前変更/マッピング済み |
old_permissions |
src.resource.attribute.permissions |
統合済み |
dntdom |
target.administrative_domain |
名前変更/マッピング済み |
app |
target.application |
直接マッピングされます。 |
destinationServiceName |
target.application |
名前変更/マッピング済み |
ahost |
target.hostname |
直接マッピングされます。 |
temp_dhost |
target.hostname |
直接マッピングされます。 |
IPv6_Address |
target.ip |
統合済み |
agt |
target.ip |
統合済み |
dst_ip |
target.ip |
統合済み |
ipv6 |
target.ip |
マッピング: - → IPv6_Address |
atz |
target.location.country_or_region |
直接マッピングされます。 |
amac |
target.mac |
統合済み |
mac_address |
target.mac |
統合済み |
destination_translated_address |
target.nat_ip |
統合済み |
destinationTranslatedPort |
target.nat_port |
名前変更/マッピング済み |
dpt |
target.port |
名前変更/マッピング済み |
dproc |
target.process.command_line |
名前変更/マッピング済み |
File_name |
target.process.file.full_path |
直接マッピングされます。 |
Infected_Resource |
target.process.file.full_path |
直接マッピングされます。 |
Object |
target.process.file.full_path |
直接マッピングされます。 |
Objekt |
target.process.file.full_path |
直接マッピングされます。 |
dpid |
target.process.pid |
名前変更/マッピング済み |
resource_Type_label |
target.resource.attribute.labels |
統合済み |
request |
target.url |
直接マッピングされます。 |
target_role |
target.user.attribute.roles |
統合済み |
CustomerName |
target.user.user_display_name |
直接マッピングされます。 |
temp_duser |
target.user.user_display_name |
直接マッピングされます。 |
Bruker |
target.user.userid |
直接マッピングされます。 |
User_value |
target.user.userid |
直接マッピングされます。 |
temp_duid |
target.user.userid |
直接マッピングされます。 |
| なし | extensions.auth.type |
定数: AUTHTYPE_UNSPECIFIED |
| なし | metadata.event_type |
定数: USER_LOGOUT |
| なし | network.direction |
定数: INBOUND |
| なし | security_result.severity |
定数: LOW |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。