Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

OpenLDAP-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie OpenLDAP-Logs mit Bindplane in Google Security Operations aufnehmen.

OpenLDAP ist ein Open-Source-LDAP-Verzeichnisserver, der Zugriffs-, Audit- und Replikationslogs generiert. Der Parser extrahiert Felder aus OpenLDAP-Logeinträgen und ordnet sie dem Unified Data Model (UDM) zu. Dabei werden Nutzeridentität, Authentifizierungsereignisse, LDAP-Vorgänge und Sicherheitsergebnisse erfasst.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agenten und dem OpenLDAP-Server
Wenn Sie einen Proxy verwenden, prüfen Sie, ob die Firewallports gemäß den Anforderungen des Bindplane-Agenten geöffnet sind.
Privilegierter Zugriff auf den OpenLDAP-Server mit Root- oder Administratorberechtigungen

Authentifizierungsdatei für die Google SecOps-Datenaufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

**Hinweis**: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agenten bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Hinweis: Die Kundennummer ist für die Konfiguration des Bindplane-Agenten-Exporters erforderlich.

Bindplane-Agenten installieren

Installieren Sie den Bindplane-Agenten auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie im Installationsleitfaden für den Bindplane-Agenten.

Bindplane-Agenten so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo systemctl status observiq-otel-collector

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/openldap:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: OPENLDAP
        raw_log_field: body

service:
    pipelines:
        logs/openldap:
            receivers:
                - udplog
            exporters:
                - chronicle/openldap

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- udplog: Der Empfängertyp basiert auf dem Protokoll:
  - udplog für UDP-Syslog
  - tcplog für TCP-Syslog
  - syslog für RFC 3164/5424-Syslog
- 0.0.0.0: IP-Adresse, die überwacht werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Bestimmte IP-Adresse, um eine Schnittstelle zu überwachen
- 514: Portnummer, die überwacht werden soll (z. B. 514, 1514, 6514)
Exporterkonfiguration :
- <customer_id>: Kundennummer aus dem vorherigen Schritt
- malachiteingestion-pa.googleapis.com: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Vollständige Liste unter Regionale Endpunkte
- Passen Sie creds_file_path je nach Plattform an:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agenten neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agenten unter Linux neu:

Führen Sie dazu diesen Befehl aus:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Prüfen Sie die Logs auf Fehler:

sudo journalctl -u observiq-otel-collector -f

So starten Sie den Bindplane-Agenten unter Windows neu:

Wählen Sie eine der folgenden Optionen aus:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Prüfen Sie die Logs auf Fehler:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

OpenLDAP-Syslog-Weiterleitung konfigurieren

OpenLDAP (slapd) kann so konfiguriert werden, dass Logs über Syslog erstellt werden. Konfigurieren Sie den Syslog-Daemon so, dass OpenLDAP-Logs an den Bindplane-Agenten weitergeleitet werden.

Prüfen Sie, ob OpenLDAP so konfiguriert ist, dass Logs in Syslog erstellt werden. Suchen Sie in slapd.conf oder cn=config nach der Direktive loglevel:
```
loglevel stats conns
```
Hinweis: Zu den gängigen Logebenen gehören stats (Verbindungs-/Vorgangsstatistiken), conns (Verbindungsverwaltung) und ACL (Zugriffssteuerungsverarbeitung). Passen Sie die Logebene an, um die benötigten Ereignisse zu erfassen.
OpenLDAP-Logs werden standardmäßig an die Syslog-Einrichtung local4 gesendet. Konfigurieren Sie rsyslog so, dass diese Logs an den Bindplane-Agenten weitergeleitet werden. Erstellen Sie eine Konfigurationsdatei:
```
sudo nano /etc/rsyslog.d/openldap-forward.conf
```
Fügen Sie den folgenden Inhalt hinzu:
```
local4.* @BINDPLANE_AGENT_IP:514
```
Hinweis: Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse des Bindplane-Agenten-Hosts. Verwenden Sie @@ anstelle von @ für TCP.
Starten Sie den rsyslog-Dienst neu:
```
sudo systemctl restart rsyslog
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
op, fd, ou, cn, dc, dc1, base1, base2, base3, scope_data, valueData, method, filter, tag_data, err, attrData, ou_2, ou_1, syslog_message, immutable_user_id, resource	additional.fields	Mit Labels zusammengeführt, die aus diesen Feldern erstellt wurden
	extensions.auth.type	Auf „AUTHTYPE_UNSPECIFIED“ festgelegt
caller_ip, proxy1_ip, proxy2_ip	intermediary	Aus intermediary, proxy_1, proxy_2 zusammengeführt
msg1, inner_message	metadata.description	Wert aus msg1 oder inner_message
	metadata.event_type	Zuerst auf „GENERIC_EVENT“ festgelegt, dann auf „STATUS_UPDATE“, wenn die Hauptkonto-IP vorhanden ist, auf „USER_UNCATEGORIZED“, wenn ein Nutzer vorhanden ist, und auf „USER_LOGIN“, wenn ein Zeitstempel oder inner_ts vorhanden ist
ldap_action	metadata.product_event_type	Wert aus ldap_action in Kleinbuchstaben
ldap_conn	metadata.product_log_id	Wert aus ldap_conn nach dem Entfernen von „conn=“
user_agent	network.http.user_agent	Wert direkt kopiert
session_id	network.session_id	Wert direkt kopiert
principal_ip, prin_ip, caller_ip, r_ip_or_host, proxy_client_ip, src_ip, client_ip	principal.asset.ip	Aus principal_ip (nach dem Ersetzen von „-“ durch „.“), prin_ip, caller_ip, r_ip_or_host (falls IP), proxy_client_ip, src_ip, client_ip zusammengeführt
r_ip_or_host, src_host	principal.hostname	Wert aus r_ip_or_host, falls Hostname, andernfalls src_host
principal_ip, prin_ip, caller_ip, r_ip_or_host, proxy_client_ip, src_ip, client_ip	principal.ip	Aus principal_ip (nach dem Ersetzen von „-“ durch „.“), prin_ip, caller_ip, r_ip_or_host (falls IP), proxy_client_ip, src_ip, client_ip zusammengeführt
country	principal.location.country_or_region	Wert direkt kopiert
prin_port, port, src_port	principal.port	Wert aus prin_port, port oder src_port, in eine Ganzzahl konvertiert
syslog_process	principal.process.file.full_path	Wert direkt kopiert
syslog_pid	principal.process.pid	Wert direkt kopiert
org_name	principal.user.company_name	Wert direkt kopiert
user, cn, uid	principal.user.userid	Wert aus user, cn oder uid
security_result	security_result	Direkt zusammengeführt
action, sec_action	security_result.action	Wert aus action (basierend auf Fehlercodes) oder sec_action (basierend auf login_status)
resource, immutable_user_id	security_result.detection_fields	Mit Labels aus resource und immutable_user_id zusammengeführt
inner_descrption, security_description	security_result.description	Wert aus inner_descrption oder security_description
tuser, username, userid	target.user.userid	Wert aus tuser, username oder userid
	metadata.product_name	Auf „OpenLDAP“ festgelegt
	metadata.vendor_name	Auf „OpenLDAP“ festgelegt

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten