Collecter les journaux MicroStrategy
Ce document explique comment ingérer des journaux MicroStrategy dans Google Security Operations à l'aide de Bindplane.
MicroStrategy est une plate-forme d'informatique décisionnelle et d'analyse. Elle génère des journaux d'audit pour l'exécution de rapports, les sessions utilisateur, l'accès aux données et les opérations d'administration. L'analyseur extrait les champs des messages de journal MicroStrategy et les mappe au modèle de données unifié (UDM), en capturant l'identité de l'utilisateur, les détails de la session, les informations sur le serveur et les métadonnées de sécurité.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Connectivité réseau entre l'agent Bindplane et le serveur MicroStrategy Intelligence
- Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié au serveur MicroStrategy Intelligence (rôle d'administrateur ou accès au système de fichiers du serveur)
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client de la section Organization Details (Informations sur l'organisation).
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collector
Le service doit s'afficher comme RUNNING (En cours d'exécution).
Installation de Linux
- Ouvrez un terminal avec des droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collector
Le service doit s'afficher comme active (running) (Actif (en cours d'exécution)).
Ressources d'installation supplémentaires
Pour obtenir des options d'installation supplémentaires et des informations sur la résolution des problèmes, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo systemctl status observiq-otel-collectorWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifier le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/microstrategy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: MICROSTRATEGY raw_log_field: body service: pipelines: logs/microstrategy: receivers: - tcplog exporters: - chronicle/microstrategy
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
tcplog: type de récepteur basé sur le protocole :udplogpour Syslog UDPtcplogpour Syslog TCPsyslogpour Syslog RFC 3164/5424
0.0.0.0: adresse IP à écouter :0.0.0.0pour écouter sur toutes les interfaces (recommandé)- Adresse IP spécifique à écouter sur une interface
514: numéro de port à écouter (par exemple,514,1514,6514)
Configuration de l'exportateur :
<customer_id>: ID client de l'étape précédentemalachiteingestion-pa.googleapis.com: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe:
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Consultez la liste complète des points de terminaison régionaux.
- États-Unis :
- Ajustez le
creds_file_pathen fonction de la plate-forme :- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
Enregistrer le fichier de configuration
- Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X - Windows : cliquez sur File > Save
- Linux : appuyez sur
Redémarrer l'agent Bindplane pour appliquer les modifications
Pour redémarrer l'agent Bindplane sous Linux :
Exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane sous Windows :
Choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collector- Console Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Recherchez observIQ OpenTelemetry Collector.
- Faites un clic droit et sélectionnez Restart (Redémarrer).
- Appuyez sur
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurer le transfert Syslog MicroStrategy
Le serveur MicroStrategy Intelligence écrit les fichiers journaux localement dans le système de fichiers. Configurez le transfert Syslog à l'aide du démon Syslog du système pour envoyer ces journaux à l'agent Bindplane.
Recherchez le répertoire des journaux MicroStrategy :
- Windows:
C:\Program Files\Common Files\MicroStrategy\Log\ - Linux:
/var/log/Strategy/
- Windows:
Configurez le démon Syslog du système pour surveiller et transférer les fichiers journaux MicroStrategy vers l'agent Bindplane.
Sous Linux (rsyslog) :
Créez un fichier de configuration rsyslog :
sudo nano /etc/rsyslog.d/microstrategy-forward.confAjoutez le contenu suivant pour transférer les journaux MicroStrategy :
module(load="imfile") input(type="imfile" File="/var/log/Strategy/DSSErrors.log" Tag="microstrategy" Severity="info" Facility="local0") local0.* @BINDPLANE_AGENT_IP:514Redémarrez le service rsyslog :
sudo systemctl restart rsyslog
Sous Windows :
Utilisez un utilitaire de transfert de journaux (tel que NXLog ou Snare) pour surveiller le répertoire des journaux MicroStrategy et transférer les événements via Syslog vers l'adresse IP et le port de l'agent Bindplane.
Tableau de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| Account_Creation_Timestamp, Account_Modification_Timestamp, Timestamp | additional.fields | Fusionné avec les libellés créés à partir des champs s'ils ne sont pas vides |
| Authentication_message | metadata.description | Valeur copiée directement |
| Event_start | metadata.event_timestamp | Converti à l'aide du filtre de date au format "MMM dd HH:mm:ss" |
| metadata.event_type | Défini sur "USER_UNCATEGORIZED" si has_principal et has_target, sinon "STATUS_UPDATE" si has_principal, sinon "GENERIC_EVENT" | |
| Session | network.session_id | Valeur copiée directement |
| Source_server | principal.application | Valeur copiée directement |
| Nom d'hôte | principal.asset.hostname | Valeur copiée directement |
| server_ip | principal.asset.ip | Valeur copiée directement |
| Nom d'hôte | principal.hostname | Valeur copiée directement |
| server_ip | principal.ip | Valeur copiée directement |
| niveau | principal.platform_patch_level | Valeur copiée directement |
| User_Group_Name | principal.user.group_identifiers | Valeur copiée directement |
| Account_Name, User | principal.user.user_display_name | Valeur de Account_Name si elle n'est pas vide, sinon User |
| id, Account_Login, Account | principal.user.userid | Valeur de l'ID si elle n'est pas vide, sinon Account_Login si elle n'est pas vide, sinon Account |
| Log_level | security_result.detection_fields | Fusionné avec le libellé créé à partir du champ s'il n'est pas vide |
| Source_host | src.asset.hostname | Valeur copiée directement |
| Source_host | src.hostname | Valeur copiée directement |
| module | target.application | Valeur copiée directement |
| client_ip | target.asset.ip | Valeur copiée directement |
| client_ip | target.ip | Valeur copiée directement |
| PID | target.process.pid | Valeur copiée directement |
| Thread_ID, SID, method, Account_Status_DESC | target.resource.attribute.labels | Fusionné avec les libellés créés à partir des champs s'ils ne sont pas vides |
| OID | target.resource.id | Valeur copiée directement |
| Object_Owner_Name | target.resource.name | Valeur copiée directement |
| utilisateur | target.user.user_display_name | Valeur copiée directement |
| UID | target.user.userid | Valeur copiée directement |
| metadata.product_name | Défini sur "MICROSTRATEGY" | |
| metadata.vendor_name | Défini sur "MICROSTRATEGY" |
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.