Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Preempt Auth-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Preempt Auth-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Preempt Auth ist eine Lösung zur Überwachung von Authentifizierungsereignissen, die detaillierte Authentifizierungslogs für Active Directory-Umgebungen generiert. Sie erfasst erfolgreiche und fehlgeschlagene Anmeldeereignisse, LDAP-Suchen, Dienstzugriffe und Authentifizierungstypen an Endpunkten.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem Preempt-Server
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agent geöffnet sein.
Privilegierter Zugriff auf Preempt Auth (CrowdStrike Identity Protection) mit Administratorberechtigungen

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

**Hinweis**: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agent bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

**Hinweis**: Die Kundennummer ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/preempt_auth:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: <REGION_ENDPOINT>
        log_type: PREEMPT_AUTH
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/preempt_auth_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/preempt_auth

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- tcplog: Empfängt Syslog über TCP. Verwenden Sie udplog, wenn Ihre Preempt-Bereitstellung über UDP weitergeleitet wird.
- 0.0.0.0:514: Überwacht alle Schnittstellen auf Port 514. Ändern Sie den Port bei Bedarf (z. B. 1514 für Linux ohne Root-Berechtigungen).
Exporter-Konfiguration :
- <CREDS_FILE_PATH>: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID>: Kundennummer aus dem Schritt Google SecOps-Kundennummer abrufen.
- <REGION_ENDPOINT>: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für Preempt Auth konfigurieren

Melden Sie sich in der Preempt-Verwaltungskonsole an.
Rufen Sie Einstellungen > SIEM-Integration auf.
Aktivieren Sie die Syslog-Weiterleitung für Authentifizierungsereignisse.
Geben Sie die folgenden Konfigurationsdetails an:
- Protokoll: Wählen Sie TCP aus (muss mit der Empfängerkonfiguration des Bindplane-Agent übereinstimmen).
- Syslog-Serveradresse: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
- Port: Geben Sie 514 ein (muss mit dem Empfängerport des Bindplane-Agent übereinstimmen).
Wählen Sie die Authentifizierungsereignistypen aus, die weitergeleitet werden sollen:
- Erfolgreiche Authentifizierungsereignisse
- Fehlgeschlagene Authentifizierungsereignisse
- LDAP-Suchen
- Dienstzugriffsereignisse
Klicken Sie auf Speichern oder Anwenden.
Prüfen Sie in den Bindplane-Agent-Logs, ob Logs gesendet werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
authenticationType	extensions.auth.type	Auf „SSO“ setzen, wenn authenticationType mit SSO_LOGIN oder LDAP_AUTHENTICATION übereinstimmt; „MACHINE“ bei DOMAIN_LOGIN; „AUTHTYPE_UNSPECIFIED“ bei NTLM_AUTHENTICATION
	extensions.auth.mechanism	Auf „MECHANISM_UNSPECIFIED“ setzen
inter_ip	intermediary.hostname	Festlegen, wenn inter_ip keine gültige IP-Adresse ist
inter_ip	intermediary.ip	Festlegen, wenn inter_ip eine gültige IP-Adresse ist
eventLabel	metadata.description	Wert direkt kopiert
eventType	metadata.event_type	Auf „USER_LOGIN“ setzen, wenn eventType SUCCESSFUL_AUTHENTICATION oder FAILED_AUTHENTICATION ist; „SERVICE_UNSPECIFIED“ bei SERVICE_ACCESS oder LDAP_SEARCH und principal_host_set auf „true“ gesetzt ist
eventType	metadata.product_event_type	Wert direkt kopiert
endpointDisplayName, ipAddress	principal.hostname	Festlegen, wenn endpointDisplayName != ipAddress und endpointDisplayName != ""
ipAddress, inter_ip	principal.ip	Wert aus ipAddress, wenn ipAddress != inter_ip, andernfalls aus inter_ip
networkType	principal.resource.name	Wert direkt kopiert
	principal.resource.type	Auf „Netzwerktyp“ setzen
userDisplayName	principal.user.email_addresses	Festlegen, wenn userDisplayName mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt
userDisplayName	principal.user.user_display_name	Wert direkt kopiert
userEntity.secondaryDisplayName, userDisplayName	principal.user.userid	Wert aus userEntity.secondaryDisplayName, wenn nicht leer, andernfalls aus userDisplayName, wenn userEntity.secondaryDisplayName leer ist
eventType	security_result.action	Auf „ALLOW“ setzen, wenn SUCCESSFUL_AUTHENTICATION, „BLOCK“ bei FAILED_AUTHENTICATION
eventSeverity	security_result.severity_details	Wert direkt kopiert
authenticationType	security_result.summary	Wert direkt kopiert
targetEntity.primaryDisplayName, targetServiceIdentifier, eventType, targetEntity.type	target.application	Wert aus targetEntity.primaryDisplayName, wenn targetEntity.type == „CLOUD_SERVICE“; andernfalls aus targetServiceIdentifier, wenn targetServiceIdentifier != "" und nicht zuvor festgelegt; andernfalls „LDAP“, wenn eventType == „LDAP_SEARCH“ und nicht zuvor festgelegt
targetEntity.primaryDisplayName, targetEntity.type	target.hostname	Festlegen, wenn targetEntity.type == „ENDPOINT“
targetServiceType	target.resource.name	Festlegen, wenn targetServiceType != "" und != „UNKNOWN“
targetServiceType	target.resource.type	Auf „Service Type“ setzen, wenn targetServiceType != "" und != „UNKNOWN“
targetEntity.primaryDisplayName, targetEntity.type	target.user.user_display_name	Festlegen, wenn targetEntity.type == „USER“
targetEntity.secondaryDisplayName, targetEntity.type	target.user.userid	Festlegen, wenn targetEntity.type == „USER“
	metadata.product_name	Auf „PREEMPT_AUTH“ setzen
	metadata.vendor_name	Auf „Preempt“ setzen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten