Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di ManageEngine AD360

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di ManageEngine AD360 in Google Security Operations utilizzando l'agente Bindplane.

ManageEngine AD360 è una soluzione integrata di gestione di identità e accessi che genera messaggi syslog per modifiche di Active Directory, eventi di autenticazione, connessioni di rete e violazioni delle norme di sicurezza. Il parser estrae i campi dai log formattati in syslog utilizzando i pattern grok e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server ManageEngine AD360
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo all'interfaccia utente web di ManageEngine AD360

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/manage_engine_ad360:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: MANAGE_ENGINE_AD360
        raw_log_field: body

service:
    pipelines:
        logs/manage_engine_ad360_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/manage_engine_ad360

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'esportazione di syslog di ManageEngine AD360

Accedi alla UI web di AD360.
Vai ad Amministrazione > Amministrazione > Integrazione SIEM.
Fai clic sul link Configura ora accanto al componente ADSelfService.
Fornisci i seguenti dettagli di configurazione:
- Tipo di server: seleziona Syslog.
- Nome/IP del server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Protocollo: seleziona UDP.
- Standard Syslog: seleziona RFC 5424.
- Fai clic sull'elenco Avanzate.
- Gravità: seleziona Informativa.
Fai clic su Configura per salvare.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
AccessControlRuleName	security_result.rule_name	Valore estratto dal campo `AccessControlRuleName`, se esistente, altrimenti dal campo `rule_name`
ACPolicy	security_result.rule_labels.value	Valore estratto dal campo `ACPolicy`
azione	security_result.action_details	Mappato direttamente a UDM
action_id	security_result.detection_fields.value	Valore estratto dal campo `action_id`
application_protocol	network.application_protocol	Mappato direttamente a UDM
byte	network.sent_bytes	Mappato direttamente a UDM
client_ip	principal.ip	Mappato direttamente a UDM
ConnectionID	network.session_id	Valore estratto dal campo `connection_id` se esiste, altrimenti dal campo `ConnectionID`, altrimenti dal campo `ses`
destination_ip	target.ip	Mappato direttamente a UDM
destination_port	target.port	Mappato direttamente a UDM
DeviceUUID	target.asset_id	Valore estratto dal campo `DeviceUUID`, se esistente, altrimenti dal campo `distinguished_name_device_id`
distinguished_name_device_id	target.asset_id	Valore estratto dal campo `DeviceUUID`, se esistente, altrimenti dal campo `distinguished_name_device_id`
distinguished_name_user	target.user.userid	Mappato direttamente a UDM
DST	target.ip	Valore estratto dal campo `DST`, se esistente, altrimenti dal campo `DstIP`
DPT	target.port	Valore estratto dal campo `DPT` se esiste, altrimenti dal campo `DstPort`, altrimenti dal campo `destination_port`
DstIP	target.ip	Valore estratto dal campo `DST`, se esistente, altrimenti dal campo `DstIP`
DstPort	target.port	Valore estratto dal campo `DPT` se esiste, altrimenti dal campo `DstPort`, altrimenti dal campo `destination_port`
EgressInterface	additional.fields.value.string_value	Mappato direttamente a UDM
EgressZone	target.location.name	Mappato direttamente a UDM
EventPriority	security_result.severity	Mappato a diversi livelli di gravità in base al valore del campo `EventPriority`.
exe	principal.process.command_line	Mappato direttamente a UDM
geoip.city_name	principal.location.city	Mappato direttamente a UDM
geoip.country_name	principal.location.country_or_region	Mappato direttamente a UDM
geoip.latitude	principal.location.region_latitude	Mappato direttamente a UDM
geoip.longitude	principal.location.region_longitude	Mappato direttamente a UDM
http_status	network.http.response_code	Mappato direttamente a UDM
id	metadata.product_log_id	Mappato direttamente a UDM
IngressInterface	additional.fields.value.string_value	Mappato direttamente a UDM
IngressZone	principal.location.name	Mappato direttamente a UDM
LEN	additional.fields.value.string_value	Mappato direttamente a UDM
message_number		Non mappato
NAPPolicy	security_result.rule_labels.value	Valore estratto dal campo `NAPPolicy`
network_direction	network.direction	Mappato direttamente a UDM
OUT	additional.fields.value.string_value	Mappato direttamente a UDM
pid	target.process.pid	Mappato direttamente a UDM
ppid	target.process.parent_process.pid	Mappato direttamente a UDM
PREC	additional.fields.value.string_value	Mappato direttamente a UDM
principal_hostname	principal.hostname	Mappato direttamente a UDM
product_event_type	metadata.product_event_type	Mappato direttamente a UDM
protocollo	network.ip_protocol	Utilizzato per compilare il campo `PROTO` e poi mappato a UDM utilizzando una tabella di ricerca.
PROTO	network.ip_protocol	Mappato a UDM utilizzando una tabella di ricerca basata sul numero di protocollo.
request_method	network.http.method	Mappato direttamente a UDM
rule_name	security_result.rule_name	Valore estratto dal campo `AccessControlRuleName`, se esistente, altrimenti dal campo `rule_name`
ses	network.session_id	Valore estratto dal campo `connection_id` se esiste, altrimenti dal campo `ConnectionID`, altrimenti dal campo `ses`
source_ip	principal.ip	Mappato direttamente a UDM
source_port	principal.port	Mappato direttamente a UDM
SPT	principal.port	Valore estratto dal campo `SPT` se esiste, altrimenti dal campo `SrcPort`, altrimenti dal campo `source_port`
SRC	principal.ip	Valore estratto dal campo `SRC` se esiste, altrimenti dal campo `SrcIP`, altrimenti dal campo `client_ip`
SrcIP	principal.ip	Valore estratto dal campo `SRC` se esiste, altrimenti dal campo `SrcIP`, altrimenti dal campo `client_ip`
SrcPort	principal.port	Valore estratto dal campo `SPT` se esiste, altrimenti dal campo `SrcPort`, altrimenti dal campo `source_port`
timestamp	metadata.event_timestamp	Mappato direttamente a UDM
TOS	additional.fields.value.string_value	Mappato direttamente a UDM
TTL	additional.fields.value.string_value	Mappato direttamente a UDM
URL	target.url	Mappato direttamente a UDM
user_agent	network.http.user_agent	Mappato direttamente a UDM
WINDOW	additional.fields.value.string_value	Mappato direttamente a UDM
	metadata.vendor_name	Il valore è hardcoded su `MANAGE_ENGINE_AD360`
	metadata.product_name	Il valore è hardcoded su `MANAGE_ENGINE_AD360`
	metadata.log_type	Il valore è hardcoded su `MANAGE_ENGINE_AD360`
	metadata.event_type	Valore impostato su `NETWORK_CONNECTION` se sono presenti entrambi i campi `SRC` e `DST`, altrimenti impostato su `STATUS_UPDATE` se è presente `SRC` o `principal_hostname`. Se nessuna di queste condizioni è soddisfatta, il valore predefinito è `GENERIC_EVENT`.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.