Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di MicroStrategy

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di MicroStrategy in Google Security Operations utilizzando Bindplane.

MicroStrategy è una piattaforma di business intelligence e analisi. Genera log di controllo per l'esecuzione dei report, le sessioni utente, l'accesso ai dati e le operazioni di amministrazione. Il parser estrae i campi dai messaggi di log di MicroStrategy e li mappa al modello UDM (Unified Data Model), acquisendo l'identità utente, i dettagli della sessione, le informazioni sul server e i metadati di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e MicroStrategy Intelligence Server
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi a MicroStrategy Intelligence Server (ruolo di amministratore o accesso al file system del server)

Recuperare il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione di importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota: questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Nota: l'ID cliente è obbligatorio per configurare l'esportatore dell'agente Bindplane.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di finestre

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo systemctl status observiq-otel-collector

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
  tcplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/microstrategy:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: '<customer_id>'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: MICROSTRATEGY
    raw_log_field: body

service:
  pipelines:
    logs/microstrategy:
      receivers:
        - tcplog
      exporters:
        - chronicle/microstrategy

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- tcplog: il tipo di ricevitore basato sul protocollo:
  - udplog per syslog UDP
  - tcplog per syslog TCP
  - syslog per syslog RFC 3164/5424
- 0.0.0.0: indirizzo IP su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - Indirizzo IP specifico su cui ascoltare su un'interfaccia
- 514: numero di porta su cui ascoltare (ad esempio 514, 1514, 6514)
Configurazione dell'esportatore:
- <customer_id>: ID cliente del passaggio precedente
- malachiteingestion-pa.googleapis.com: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, consulta Endpoint regionali
- Modifica creds_file_path a seconda della piattaforma:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```

Per riavviare l'agente Bindplane in Windows:

Scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```

Controlla i log per verificare la presenza di errori:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di syslog di MicroStrategy

MicroStrategy Intelligence Server scrive i file di log localmente nel file system. Configura l'inoltro di syslog utilizzando il daemon syslog di sistema per inviare questi log all'agente Bindplane.

Individua la directory dei log di MicroStrategy:
- Windows: C:\Program Files\Common Files\MicroStrategy\Log\
- Linux: /var/log/Strategy/
Nota: il file di log principale è DSSErrors.log. Controlla la configurazione di MicroStrategy per la posizione effettiva della directory dei log.
Configura il daemon syslog di sistema per monitorare e inoltrare i file di log di MicroStrategy all'agente Bindplane.

In Linux (rsyslog):

Crea un nuovo file di configurazione rsyslog:

sudo nano /etc/rsyslog.d/microstrategy-forward.conf

Aggiungi i seguenti contenuti per inoltrare i log di MicroStrategy:

module(load="imfile")
input(type="imfile"
    File="/var/log/Strategy/DSSErrors.log"
    Tag="microstrategy"
    Severity="info"
    Facility="local0")
local0.* @BINDPLANE_AGENT_IP:514

Riavvia il servizio rsyslog:
```
sudo systemctl restart rsyslog
```

In Windows:

Utilizza un'utilità di inoltro dei log (ad esempio NXLog o Snare) per monitorare la directory dei log di MicroStrategy e inoltrare gli eventi tramite syslog all'indirizzo IP e alla porta dell'agente Bindplane.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
Account_Creation_Timestamp, Account_Modification_Timestamp, Timestamp	additional.fields	Unito alle etichette create dai campi se non vuoti
Authentication_message	metadata.description	Valore copiato direttamente
Event_start	metadata.event_timestamp	Convertito utilizzando il filtro della data con il formato "MMM gg HH:mm:ss"
	metadata.event_type	Impostato su "USER_UNCATEGORIZED" se has_principal e has_target, altrimenti "STATUS_UPDATE" se has_principal, altrimenti "GENERIC_EVENT"
Session	network.session_id	Valore copiato direttamente
Source_server	principal.application	Valore copiato direttamente
Hostname	principal.asset.hostname	Valore copiato direttamente
server_ip	principal.asset.ip	Valore copiato direttamente
Hostname	principal.hostname	Valore copiato direttamente
server_ip	principal.ip	Valore copiato direttamente
level	principal.platform_patch_level	Valore copiato direttamente
User_Group_Name	principal.user.group_identifiers	Valore copiato direttamente
Account_Name, User	principal.user.user_display_name	Valore da Account_Name se non vuoto, altrimenti Utente
id, Account_Login, Account	principal.user.userid	Valore da id se non vuoto, altrimenti Account_Login se non vuoto, altrimenti Account
Log_level	security_result.detection_fields	Unito all'etichetta creata dal campo se non vuoto
Source_host	src.asset.hostname	Valore copiato direttamente
Source_host	src.hostname	Valore copiato direttamente
module	target.application	Valore copiato direttamente
client_ip	target.asset.ip	Valore copiato direttamente
client_ip	target.ip	Valore copiato direttamente
PID	target.process.pid	Valore copiato direttamente
Thread_ID, SID, method, Account_Status_DESC	target.resource.attribute.labels	Unito alle etichette create dai campi se non vuoti
OID	target.resource.id	Valore copiato direttamente
Object_Owner_Name	target.resource.name	Valore copiato direttamente
user	target.user.user_display_name	Valore copiato direttamente
UID	target.user.userid	Valore copiato direttamente
	metadata.product_name	Impostato su "MICROSTRATEGY"
	metadata.vendor_name	Impostato su "MICROSTRATEGY"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.