MicroStrategy のログを収集する
このドキュメントでは、Bindplane を使用して MicroStrategy ログを Google Security Operations に取り込む方法について説明します。
MicroStrategy は、ビジネス インテリジェンスと分析のプラットフォームです。レポートの実行、ユーザー セッション、データアクセス、管理オペレーションの監査ログを生成します。パーサーは、MicroStrategy ログメッセージからフィールドを抽出し、統合データモデル(UDM)にマッピングして、ユーザー ID、セッションの詳細、サーバー情報、セキュリティ メタデータをキャプチャします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと MicroStrategy Intelligence Server 間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- MicroStrategy Intelligence Server への特権アクセス(管理者ロールまたはサーバー ファイルシステム アクセス)
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [active (running)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo systemctl status observiq-otel-collectorWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/microstrategy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: MICROSTRATEGY raw_log_field: body service: pipelines: logs/microstrategy: receivers: - tcplog exporters: - chronicle/microstrategy
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
tcplog: プロトコルに基づく受信者のタイプ:- UDP Syslog の
udplog - TCP Syslog の
tcplog - RFC 3164/5424 syslog の
syslog
- UDP Syslog の
0.0.0.0: リッスンする IP アドレス:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - 1 つのインターフェースでリッスンする特定の IP アドレス
- すべてのインターフェースでリッスンする
514: リッスンするポート番号(514、1514、6514など)
エクスポータの構成:
<customer_id>: 前の手順の顧客 IDmalachiteingestion-pa.googleapis.com: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
- プラットフォームに応じて
creds_file_pathを調整します。- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collector- サービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
MicroStrategy syslog 転送を構成する
MicroStrategy Intelligence Server は、ログファイルをローカルのファイル システムに書き込みます。システム Syslog デーモンを使用して Syslog 転送を構成し、これらのログを Bindplane エージェントに送信します。
MicroStrategy ログ ディレクトリを見つけます。
- Windows:
C:\Program Files\Common Files\MicroStrategy\Log\ - Linux:
/var/log/Strategy/
- Windows:
MicroStrategy ログファイルをモニタリングして Bindplane エージェントに転送するように、システム Syslog デーモンを構成します。
Linux(rsyslog)の場合:
新しい rsyslog 構成ファイルを作成します。
sudo nano /etc/rsyslog.d/microstrategy-forward.confMicroStrategy ログを転送するには、次の内容を追加します。
module(load="imfile") input(type="imfile" File="/var/log/Strategy/DSSErrors.log" Tag="microstrategy" Severity="info" Facility="local0") local0.* @BINDPLANE_AGENT_IP:514rsyslog サービスを再起動します。
sudo systemctl restart rsyslog
Windows の場合:
ログ転送ユーティリティ(NXLog や Snare など)を使用して、MicroStrategy ログ ディレクトリをモニタリングし、syslog 経由で Bindplane エージェントの IP とポートにイベントを転送します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| Account_Creation_Timestamp、Account_Modification_Timestamp、Timestamp | additional.fields | 空でない場合は、フィールドから作成されたラベルと統合されます |
| Authentication_message | metadata.description | 値を直接コピーしました |
| Event_start | metadata.event_timestamp | 「MMM dd HH:mm:ss」形式の日付フィルタを使用して変換されました |
| metadata.event_type | has_principal と has_target の場合は「USER_UNCATEGORIZED」、has_principal の場合は「STATUS_UPDATE」、それ以外の場合は「GENERIC_EVENT」に設定します。 | |
| セッション | network.session_id | 値を直接コピーしました |
| Source_server | principal.application | 値を直接コピーしました |
| ホスト名 | principal.asset.hostname | 値を直接コピーしました |
| server_ip | principal.asset.ip | 値を直接コピーしました |
| ホスト名 | principal.hostname | 値を直接コピーしました |
| server_ip | principal.ip | 値を直接コピーしました |
| レベル | principal.platform_patch_level | 値を直接コピーしました |
| User_Group_Name | principal.user.group_identifiers | 値を直接コピーしました |
| Account_Name, User | principal.user.user_display_name | Account_Name の値(空でない場合)、それ以外の場合は User |
| id、Account_Login、Account | principal.user.userid | id の値(空でない場合)、それ以外の場合は Account_Login(空でない場合)、それ以外の場合は Account |
| Log_level | security_result.detection_fields | 空でない場合は、フィールドから作成されたラベルと統合されます |
| Source_host | src.asset.hostname | 値を直接コピーしました |
| Source_host | src.hostname | 値を直接コピーしました |
| モジュール | target.application | 値を直接コピーしました |
| client_ip | target.asset.ip | 値を直接コピーしました |
| client_ip | target.ip | 値を直接コピーしました |
| PID | target.process.pid | 値を直接コピーしました |
| Thread_ID、SID、method、Account_Status_DESC | target.resource.attribute.labels | 空でない場合は、フィールドから作成されたラベルと統合されます |
| OID | target.resource.id | 値を直接コピーしました |
| Object_Owner_Name | target.resource.name | 値を直接コピーしました |
| ユーザー | target.user.user_display_name | 値を直接コピーしました |
| UID | target.user.userid | 値を直接コピーしました |
| metadata.product_name | 「MICROSTRATEGY」に設定 | |
| metadata.vendor_name | 「MICROSTRATEGY」に設定 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。