Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Microsoft LAPS

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Microsoft Windows LAPS (Local Administrator Password Solution) dans Google Security Operations à l'aide de l'agent Bindplane.

Windows LAPS gère les mots de passe des comptes administrateur locaux sur les appareils joints au domaine et génère des entrées de journal des événements pour la rotation des mots de passe, le traitement des règles et les opérations de gestion. L'analyseur extrait les champs du format XML du journal des événements Windows et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure avec l'agent Bindplane installé
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Windows LAPS est configuré et déployé dans votre environnement.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer le journal des événements Windows et l'envoyer à Google SecOps

Localiser le fichier de configuration

Utilisez la syntaxe suivante pour localiser le fichier de configuration :

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    windowseventlog/laps_operational:
        channel: Microsoft-Windows-LAPS/Operational
        max_reads: 100
        poll_interval: 5s
        raw: true
        start_at: end

processors:
    batch:

exporters:
    chronicle/laps:
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: WINDOWS_LAPS
        override_log_type: false
        raw_log_field: body

service:
    pipelines:
        logs/laps:
            receivers:
                - windowseventlog/laps_operational
            processors: [batch]
            exporters: [chronicle/laps]

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- channel : canal du journal d'événements Windows à partir duquel lire (Microsoft-Windows-LAPS/Operational)
- max_reads : nombre maximal d'entrées de journal à lire par cycle d'interrogation
- poll_interval : fréquence d'interrogation pour les nouveaux événements
- start_at : point de départ de la lecture (end pour les nouveaux événements uniquement)
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion (C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Invite de commandes ou PowerShell en tant qu'administrateur :

net stop observiq-otel-collector && net start observiq-otel-collector

Console Services :
1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
2. Localisez observIQ OpenTelemetry Collector.
3. Effectuez un clic droit, puis sélectionnez Redémarrer.
4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer Microsoft Windows LAPS

Saisissez eventvwr.msc dans une invite de commande avec élévation de privilèges, puis appuyez sur ENTRÉE pour ouvrir la Visionneuse d'événements.
Accédez à Journaux des applications et services > Microsoft > Windows > LAPS.
Développez LAPS.
Effectuez un clic droit sur LAPS, puis cliquez sur Propriétés.
Cochez la case Activer la journalisation.
Cliquez sur OK lorsque vous êtes invité à confirmer que le journal est activé.
Cliquez sur OK.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
Canal	read_only_udm.additional.fields.key	La valeur est extraite du champ `Channel` du journal brut et attribuée au champ `key`.
Canal	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `Channel` du journal brut et attribuée au champ `string_value`.
Ordinateur	read_only_udm.principal.hostname	La valeur est extraite du champ `Computer` du journal brut.
Ordinateur	read_only_udm.principal.asset.hostname	La valeur est extraite du champ `Computer` du journal brut.
EventData.%1	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `EventData.%1` du journal brut et attribuée au champ `string_value`.
EventId	read_only_udm.metadata.product_event_type	La valeur est extraite du champ `EventId` du journal brut.
EventId	read_only_udm.security_result.rule_name	La valeur est extraite du champ `EventId` du journal brut et ajoutée à `EventID:`.
EventRecordID	read_only_udm.metadata.product_log_id	La valeur est extraite du champ `EventRecordID` du journal brut.
Mots clés	read_only_udm.additional.fields.key	La valeur est extraite du champ `Keywords` du journal brut et attribuée au champ `key`.
Mots clés	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `Keywords` du journal brut et attribuée au champ `string_value`.
Niveau	read_only_udm.security_result.severity	La valeur est extraite du champ `Level` du journal brut et mappée sur : `INFORMATIONAL` pour `INFO`, `Informational`, `Information`, `Normal`, `NOTICE` ; `ERROR` pour `ERROR`, `Error` ; `CRITICAL` pour `Critical`.
Opcode	read_only_udm.additional.fields.key	La valeur est extraite du champ `Opcode` du journal brut et attribuée au champ `key`.
Opcode	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `Opcode` du journal brut et attribuée au champ `string_value`.
ProcessID	read_only_udm.principal.process.pid	La valeur est extraite du champ `ProcessID` du journal brut.
ProviderName	read_only_udm.metadata.product_name	La valeur est extraite du champ `ProviderName` du journal brut.
Tâche	read_only_udm.additional.fields.key	La valeur est extraite du champ `Task` du journal brut et attribuée au champ `key`.
Tâche	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `Task` du journal brut et attribuée au champ `string_value`.
ThreadID	read_only_udm.additional.fields.key	La valeur est extraite du champ `ThreadID` du journal brut et attribuée au champ `key`.
ThreadID	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `ThreadID` du journal brut et attribuée au champ `string_value`.
TimeCreated	read_only_udm.metadata.event_timestamp	La valeur est extraite du champ `TimeCreated` du journal brut et analysée en tant que code temporel UNIX_MS.
TimeCreated	events.timestamp	La valeur est extraite du champ `TimeCreated` du journal brut et analysée en tant que code temporel UNIX_MS.
Version	read_only_udm.additional.fields.key	La valeur est extraite du champ `Version` du journal brut et attribuée au champ `key`.
Version	read_only_udm.additional.fields.value.string_value	La valeur est extraite du champ `Version` du journal brut et attribuée au champ `string_value`.
	read_only_udm.additional.fields.key	La valeur `EventData_P1` a été attribuée.
	read_only_udm.metadata.event_type	`STATUS_UNCATEGORIZED` est attribué de manière conditionnelle si EventId est `7` ou `2`, sinon `GENERIC_EVENT`.
	read_only_udm.metadata.vendor_name	La valeur `Microsoft` a été attribuée.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.