Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Microsoft LAPS

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Microsoft Windows LAPS (Local Administrator Password Solution) in Google Security Operations utilizzando l'agente Bindplane.

Windows LAPS gestisce le password dell'account amministratore locale sui dispositivi aggiunti al dominio e genera voci del log eventi per la rotazione delle password, l'elaborazione dei criteri e le operazioni di gestione. Il parser estrae i campi dal formato XML del log eventi di Windows e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive con l'agente Bindplane installato
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Windows LAPS configurato e implementato nel tuo ambiente

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per l'importazione del log eventi di Windows e l'invio a Google SecOps

Individua il file di configurazione

Utilizza la seguente sintassi per individuare il file di configurazione:

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    windowseventlog/laps_operational:
        channel: Microsoft-Windows-LAPS/Operational
        max_reads: 100
        poll_interval: 5s
        raw: true
        start_at: end

processors:
    batch:

exporters:
    chronicle/laps:
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: WINDOWS_LAPS
        override_log_type: false
        raw_log_field: body

service:
    pipelines:
        logs/laps:
            receivers:
                - windowseventlog/laps_operational
            processors: [batch]
            exporters: [chronicle/laps]

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- channel: Canale del registro eventi di Windows da cui leggere (Microsoft-Windows-LAPS/Operational)
- max_reads: Numero massimo di voci di log da leggere per ciclo di polling
- poll_interval: la frequenza con cui eseguire il polling per nuovi eventi
- start_at: dove iniziare a leggere (end solo per i nuovi eventi)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'importazione (C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Prompt dei comandi o PowerShell come amministratore:

net stop observiq-otel-collector && net start observiq-otel-collector

Console Services:
1. Premi Win+R, digita services.msc e premi Invio.
2. Individua observIQ OpenTelemetry Collector.
3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare LAPS di Microsoft Windows

Digita eventvwr.msc in un prompt dei comandi con privilegi elevati e premi INVIO per aprire il Visualizzatore eventi.
Vai a Registri applicazioni e servizi > Microsoft > Windows > LAPS.
Espandi LAPS.
Fai clic con il tasto destro del mouse su LAPS e poi su Proprietà.
Seleziona la casella di controllo Abilita il logging.
Fai clic su Ok quando ti viene chiesto se il log è abilitato.
Fai clic su OK.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
Canale	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `Channel` nel log non elaborato e assegnato al campo `key`.
Canale	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `Channel` nel log non elaborato e assegnato al campo `string_value`.
Computer	read_only_udm.principal.hostname	Il valore viene estratto dal campo `Computer` nel log non elaborato.
Computer	read_only_udm.principal.asset.hostname	Il valore viene estratto dal campo `Computer` nel log non elaborato.
EventData.%1	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `EventData.%1` nel log non elaborato e assegnato al campo `string_value`.
EventId	read_only_udm.metadata.product_event_type	Il valore viene estratto dal campo `EventId` nel log non elaborato.
EventId	read_only_udm.security_result.rule_name	Il valore viene estratto dal campo `EventId` nel log non elaborato e aggiunto a `EventID:`.
EventRecordID	read_only_udm.metadata.product_log_id	Il valore viene estratto dal campo `EventRecordID` nel log non elaborato.
Parole chiave	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `Keywords` nel log non elaborato e assegnato al campo `key`.
Parole chiave	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `Keywords` nel log non elaborato e assegnato al campo `string_value`.
Livello	read_only_udm.security_result.severity	Il valore viene estratto dal campo `Level` nel log non elaborato e mappato a: `INFORMATIONAL` per `INFO`, `Informational`, `Information`, `Normal`, `NOTICE`; `ERROR` per `ERROR`, `Error`; `CRITICAL` per `Critical`.
Opcode	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `Opcode` nel log non elaborato e assegnato al campo `key`.
Opcode	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `Opcode` nel log non elaborato e assegnato al campo `string_value`.
ProcessID	read_only_udm.principal.process.pid	Il valore viene estratto dal campo `ProcessID` nel log non elaborato.
ProviderName	read_only_udm.metadata.product_name	Il valore viene estratto dal campo `ProviderName` nel log non elaborato.
Attività	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `Task` nel log non elaborato e assegnato al campo `key`.
Attività	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `Task` nel log non elaborato e assegnato al campo `string_value`.
ThreadID	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `ThreadID` nel log non elaborato e assegnato al campo `key`.
ThreadID	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `ThreadID` nel log non elaborato e assegnato al campo `string_value`.
TimeCreated	read_only_udm.metadata.event_timestamp	Il valore viene estratto dal campo `TimeCreated` nel log non elaborato, analizzato come timestamp UNIX_MS.
TimeCreated	events.timestamp	Il valore viene estratto dal campo `TimeCreated` nel log non elaborato, analizzato come timestamp UNIX_MS.
Versione	read_only_udm.additional.fields.key	Il valore viene estratto dal campo `Version` nel log non elaborato e assegnato al campo `key`.
Versione	read_only_udm.additional.fields.value.string_value	Il valore viene estratto dal campo `Version` nel log non elaborato e assegnato al campo `string_value`.
	read_only_udm.additional.fields.key	Assegnato il valore `EventData_P1`.
	read_only_udm.metadata.event_type	Assegnato in modo condizionale `STATUS_UNCATEGORIZED` se EventId è `7` o `2`, altrimenti `GENERIC_EVENT`.
	read_only_udm.metadata.vendor_name	Assegnato il valore `Microsoft`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.