Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

MicroStrategy-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie MicroStrategy-Logs mit Bindplane in Google Security Operations aufnehmen.

MicroStrategy ist eine Business Intelligence- und Analyseplattform. Es werden Audit-Logs für die Ausführung von Berichten, Nutzersitzungen, Datenzugriff und Administratorvorgänge generiert. Der Parser extrahiert Felder aus MicroStrategy-Logmeldungen und ordnet sie dem Unified Data Model (UDM) zu. Dabei werden Nutzeridentität, Sitzungsdetails, Serverinformationen und Sicherheitsmetadaten erfasst.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem MicroStrategy Intelligence Server
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf den MicroStrategy Intelligence Server (Administratorrolle oder Zugriff auf das Serverdateisystem)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo systemctl status observiq-otel-collector

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
  tcplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/microstrategy:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: '<customer_id>'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: MICROSTRATEGY
    raw_log_field: body

service:
  pipelines:
    logs/microstrategy:
      receivers:
        - tcplog
      exporters:
        - chronicle/microstrategy

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:
- tcplog: Der Empfängertyp basierend auf dem Protokoll:
  - udplog für UDP-Syslog
  - tcplog für TCP-Syslog
  - syslog für RFC 3164/5424-Syslog
- 0.0.0.0: IP-Adresse, auf der gelauscht werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Bestimmte IP-Adresse, die auf einer Schnittstelle überwacht werden soll
- 514: Portnummer, die überwacht werden soll (z. B. 514, 1514, 6514)
Exporter-Konfiguration:
- <customer_id>: Kunden-ID aus dem vorherigen Schritt
- malachiteingestion-pa.googleapis.com: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- Passen Sie creds_file_path je nach Plattform an:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:

Führen Sie dazu diesen Befehl aus:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Logs auf Fehler prüfen:

sudo journalctl -u observiq-otel-collector -f

So starten Sie den Bindplane-Agent unter Windows neu:

Wählen Sie eine der folgenden Optionen aus:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services Console:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Logs auf Fehler prüfen:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für MicroStrategy konfigurieren

MicroStrategy Intelligence Server schreibt Logdateien lokal in das Dateisystem. Konfigurieren Sie die Syslog-Weiterleitung mithilfe des System-Syslog-Daemons, um diese Logs an den BindPlane-Agent zu senden.

Suchen Sie das MicroStrategy-Logverzeichnis:
- Windows: C:\Program Files\Common Files\MicroStrategy\Log\
- Linux: /var/log/Strategy/
Hinweis :Die primäre Logdatei ist DSSErrors.log. Prüfen Sie die MicroStrategy-Konfiguration, um den tatsächlichen Speicherort des Log-Verzeichnisses zu ermitteln.
Konfigurieren Sie den System-Syslog-Daemon so, dass er MicroStrategy-Logdateien überwacht und an den Bindplane-Agent weiterleitet.

Unter Linux (rsyslog):

Erstellen Sie eine neue rsyslog-Konfigurationsdatei:

sudo nano /etc/rsyslog.d/microstrategy-forward.conf

Fügen Sie den folgenden Inhalt hinzu, um MicroStrategy-Protokolle weiterzuleiten:
```
module(load="imfile")
input(type="imfile"
    File="/var/log/Strategy/DSSErrors.log"
    Tag="microstrategy"
    Severity="info"
    Facility="local0")
local0.* @BINDPLANE_AGENT_IP:514
```
Hinweis :Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse des Bindplane-Agent-Hosts. Verwenden Sie für TCP @@ anstelle von @.
Starten Sie den rsyslog-Dienst neu:
```
sudo systemctl restart rsyslog
```

Unter Windows:

Verwenden Sie ein Dienstprogramm zum Weiterleiten von Logs (z. B. NXLog oder Snare), um das MicroStrategy-Logverzeichnis zu überwachen und Ereignisse über Syslog an die IP-Adresse und den Port des Bindplane-Agents weiterzuleiten.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Account_Creation_Timestamp, Account_Modification_Timestamp, Timestamp	additional.fields	Wird mit Labels zusammengeführt, die aus Feldern erstellt wurden, sofern nicht leer
Authentication_message	metadata.description	Wert direkt kopiert
Event_start	metadata.event_timestamp	Konvertiert mit Datumsfilter im Format „MMM dd HH:mm:ss“
	metadata.event_type	Auf „USER_UNCATEGORIZED“ setzen, wenn has_principal und has_target vorhanden sind, andernfalls auf „STATUS_UPDATE“, wenn has_principal vorhanden ist, andernfalls auf „GENERIC_EVENT“
Sitzung	network.session_id	Wert direkt kopiert
Source_server	principal.application	Wert direkt kopiert
Hostname	principal.asset.hostname	Wert direkt kopiert
server_ip	principal.asset.ip	Wert direkt kopiert
Hostname	principal.hostname	Wert direkt kopiert
server_ip	principal.ip	Wert direkt kopiert
level	principal.platform_patch_level	Wert direkt kopiert
User_Group_Name	principal.user.group_identifiers	Wert direkt kopiert
Account_Name, User	principal.user.user_display_name	Wert aus „Account_Name“, falls nicht leer, andernfalls „User“
id, Account_Login, Account	principal.user.userid	Wert aus „id“, falls nicht leer, andernfalls „Account_Login“, falls nicht leer, andernfalls „Account“
Log_level	security_result.detection_fields	Mit Label zusammengeführt, das aus dem Feld erstellt wurde, wenn es nicht leer ist
Source_host	src.asset.hostname	Wert direkt kopiert
Source_host	src.hostname	Wert direkt kopiert
module	target.application	Wert direkt kopiert
client_ip	target.asset.ip	Wert direkt kopiert
client_ip	target.ip	Wert direkt kopiert
PID	target.process.pid	Wert direkt kopiert
Thread_ID, SID, method, Account_Status_DESC	target.resource.attribute.labels	Wird mit Labels zusammengeführt, die aus Feldern erstellt wurden, sofern nicht leer
OID	target.resource.id	Wert direkt kopiert
Object_Owner_Name	target.resource.name	Wert direkt kopiert
Nutzer	target.user.user_display_name	Wert direkt kopiert
UID	target.user.userid	Wert direkt kopiert
	metadata.product_name	Auf „MICROSTRATEGY“ festlegen
	metadata.vendor_name	Auf „MICROSTRATEGY“ festlegen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten