Mengumpulkan log Microsoft LAPS
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log Microsoft Windows LAPS (Local Administrator Password Solution) ke Google Security Operations menggunakan agen Bindplane.
Windows LAPS mengelola sandi akun administrator lokal di perangkat yang bergabung ke domain dan menghasilkan entri log peristiwa untuk rotasi sandi, pemrosesan kebijakan, dan operasi pengelolaan. Parser mengekstrak kolom dari format XML Log Peristiwa Windows dan memetakannya ke Model Data Terpadu (UDM).
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru dengan agen Bindplane terinstal
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Windows LAPS dikonfigurasi dan di-deploy di lingkungan Anda
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
- Download Ingestion Authentication File.
Simpan file dengan aman di sistem tempat agen Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.
Menginstal agen Bindplane
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat panduan penginstalan agen Bindplane.
Mengonfigurasi agen Bindplane untuk menyerap Log Peristiwa Windows dan mengirimkannya ke Google SecOps
Menemukan file konfigurasi
Gunakan sintaksis berikut untuk menemukan file konfigurasi:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Mengedit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: windowseventlog/laps_operational: channel: Microsoft-Windows-LAPS/Operational max_reads: 100 poll_interval: 5s raw: true start_at: end processors: batch: exporters: chronicle/laps: creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: WINDOWS_LAPS override_log_type: false raw_log_field: body service: pipelines: logs/laps: receivers: - windowseventlog/laps_operational processors: [batch] exporters: [chronicle/laps]
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
channel: Saluran Log Peristiwa Windows yang akan dibaca (Microsoft-Windows-LAPS/Operational)max_reads: Jumlah maksimum entri log yang akan dibaca per siklus pollingpoll_interval: Frekuensi polling untuk peristiwa barustart_at: Tempat untuk mulai membaca (enduntuk peristiwa baru saja)
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan (C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)customer_id: ID Pelanggan yang disalin dari konsol Google SecOpsendpoint: URL endpoint regional:- US:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk daftar lengkap
- US:
Menyimpan file konfigurasi
Klik File > Save.
Memulai ulang agen Bindplane untuk menerapkan perubahan
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
Klik kanan dan pilih Restart.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi Microsoft Windows LAPS
- Ketik
eventvwr.mscdi command prompt yang ditingkatkan, lalu tekan ENTER untuk membuka Event Viewer. - Buka Applications and Services Logs > Microsoft > Windows > LAPS.
- Luaskan LAPS.
- Klik kanan LAPS, lalu klik Properties.
- Centang kotak Enable logging.
- Klik OK saat ditanya apakah log diaktifkan.
- Klik Oke.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| Saluran | read_only_udm.additional.fields.key | Nilai diambil dari kolom Channel di log mentah dan ditetapkan ke kolom key. |
| Saluran | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Channel di log mentah dan ditetapkan ke kolom string_value. |
| Komputer | read_only_udm.principal.hostname | Nilai diambil dari kolom Computer di log mentah. |
| Komputer | read_only_udm.principal.asset.hostname | Nilai diambil dari kolom Computer di log mentah. |
| EventData.%1 | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom EventData.%1 di log mentah dan ditetapkan ke kolom string_value. |
| EventId | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom EventId di log mentah. |
| EventId | read_only_udm.security_result.rule_name | Nilai diambil dari kolom EventId di log mentah dan ditambahkan ke EventID:. |
| EventRecordID | read_only_udm.metadata.product_log_id | Nilai diambil dari kolom EventRecordID di log mentah. |
| Kata Kunci | read_only_udm.additional.fields.key | Nilai diambil dari kolom Keywords di log mentah dan ditetapkan ke kolom key. |
| Kata Kunci | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Keywords di log mentah dan ditetapkan ke kolom string_value. |
| Tingkat | read_only_udm.security_result.severity | Nilai diambil dari kolom Level di log mentah dan dipetakan ke: INFORMATIONAL untuk INFO, Informational, Information, Normal, NOTICE; ERROR untuk ERROR, Error; CRITICAL untuk Critical. |
| Kode Operasi | read_only_udm.additional.fields.key | Nilai diambil dari kolom Opcode di log mentah dan ditetapkan ke kolom key. |
| Kode Operasi | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Opcode di log mentah dan ditetapkan ke kolom string_value. |
| ProcessID | read_only_udm.principal.process.pid | Nilai diambil dari kolom ProcessID di log mentah. |
| ProviderName | read_only_udm.metadata.product_name | Nilai diambil dari kolom ProviderName di log mentah. |
| Tugas | read_only_udm.additional.fields.key | Nilai diambil dari kolom Task di log mentah dan ditetapkan ke kolom key. |
| Tugas | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Task di log mentah dan ditetapkan ke kolom string_value. |
| ThreadID | read_only_udm.additional.fields.key | Nilai diambil dari kolom ThreadID di log mentah dan ditetapkan ke kolom key. |
| ThreadID | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom ThreadID di log mentah dan ditetapkan ke kolom string_value. |
| TimeCreated | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom TimeCreated di log mentah, diuraikan sebagai stempel waktu UNIX_MS. |
| TimeCreated | events.timestamp | Nilai diambil dari kolom TimeCreated di log mentah, diuraikan sebagai stempel waktu UNIX_MS. |
| Versi | read_only_udm.additional.fields.key | Nilai diambil dari kolom Version di log mentah dan ditetapkan ke kolom key. |
| Versi | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Version di log mentah dan ditetapkan ke kolom string_value. |
| read_only_udm.additional.fields.key | Menetapkan nilai EventData_P1. |
|
| read_only_udm.metadata.event_type | Menetapkan STATUS_UNCATEGORIZED secara kondisional jika EventId adalah 7 atau 2, jika tidak, tetapkan GENERIC_EVENT. |
|
| read_only_udm.metadata.vendor_name | Menetapkan nilai Microsoft. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.