Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Preempt Auth

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Preempt Auth in Google Security Operations utilizzando l'agente Bindplane.

Preempt Auth è una soluzione di monitoraggio degli eventi di autenticazione che genera log di autenticazione dettagliati per gli ambienti Active Directory. Acquisisce eventi di accesso riusciti e non riusciti, ricerche LDAP, accesso ai servizi e tipi di autenticazione tra gli endpoint.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Preempt
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato a Preempt Auth (CrowdStrike Identity Protection) con autorizzazioni di amministratore

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota :l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/preempt_auth:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: <REGION_ENDPOINT>
        log_type: PREEMPT_AUTH
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/preempt_auth_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/preempt_auth

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- tcplog: Riceve syslog tramite TCP. Utilizza udplog se il deployment di Preempt inoltra tramite UDP.
- 0.0.0.0:514: Ascolta tutte le interfacce sulla porta 514. Modifica la porta se necessario (ad esempio, 1514 per Linux non root).
Configurazione dell'esportatore:
- <CREDS_FILE_PATH>: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID>: ID cliente del passaggio Recupera l'ID cliente Google SecOps.
- <REGION_ENDPOINT>: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog di Preempt Auth

Accedi alla console di gestione di Preempt.
Vai a Impostazioni > Integrazione SIEM.
Abilita l'inoltro di syslog per gli eventi di autenticazione.
Fornisci i seguenti dettagli di configurazione:
- Protocollo: seleziona TCP (deve corrispondere alla configurazione del ricevitore dell'agente Bindplane).
- Indirizzo del server Syslog: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci 514 (deve corrispondere alla porta del ricevitore dell'agente Bindplane).
Seleziona i tipi di eventi di autenticazione da inoltrare:
- Eventi di autenticazione riusciti
- Eventi di autenticazione non riuscita
- Ricerche LDAP
- Eventi di accesso al servizio
Fai clic su Salva o Applica.
Verifica che i log vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
authenticationType	extensions.auth.type	Impostato su "SSO" se authenticationType corrisponde a SSO_LOGIN o LDAP_AUTHENTICATION; "MACHINE" se DOMAIN_LOGIN; "AUTHTYPE_UNSPECIFIED" se NTLM_AUTHENTICATION
	extensions.auth.mechanism	Impostato su "MECHANISM_UNSPECIFIED"
inter_ip	intermediary.hostname	Imposta se inter_ip non è un indirizzo IP valido
inter_ip	intermediary.ip	Imposta se inter_ip è un indirizzo IP valido
eventLabel	metadata.description	Valore copiato direttamente
eventType	metadata.event_type	Imposta su "USER_LOGIN" se eventType è SUCCESSFUL_AUTHENTICATION o FAILED_AUTHENTICATION; "SERVICE_UNSPECIFIED" se SERVICE_ACCESS o LDAP_SEARCH e principal_host_set è true
eventType	metadata.product_event_type	Valore copiato direttamente
endpointDisplayName, ipAddress	principal.hostname	Imposta se endpointDisplayName != ipAddress e endpointDisplayName != ""
ipAddress, inter_ip	principal.ip	Valore di ipAddress se ipAddress != inter_ip, altrimenti di inter_ip
networkType	principal.resource.name	Valore copiato direttamente
	principal.resource.type	Imposta su "Tipo di rete"
userDisplayName	principal.user.email_addresses	Imposta se userDisplayName corrisponde all'espressione regolare dell'email
userDisplayName	principal.user.user_display_name	Valore copiato direttamente
userEntity.secondaryDisplayName, userDisplayName	principal.user.userid	Valore di userEntity.secondaryDisplayName se non è vuoto, altrimenti di userDisplayName se userEntity.secondaryDisplayName è vuoto
eventType	security_result.action	Imposta "ALLOW" se SUCCESSFUL_AUTHENTICATION, "BLOCK" se FAILED_AUTHENTICATION
eventSeverity	security_result.severity_details	Valore copiato direttamente
authenticationType	security_result.summary	Valore copiato direttamente
targetEntity.primaryDisplayName, targetServiceIdentifier, eventType, targetEntity.type	target.application	Valore di targetEntity.primaryDisplayName se targetEntity.type == "CLOUD_SERVICE"; altrimenti di targetServiceIdentifier se targetServiceIdentifier != "" e non è stato impostato in precedenza; altrimenti "LDAP" se eventType == "LDAP_SEARCH" e non è stato impostato in precedenza
targetEntity.primaryDisplayName, targetEntity.type	target.hostname	Imposta se targetEntity.type == "ENDPOINT"
targetServiceType	target.resource.name	Imposta se targetServiceType != "" e != "UNKNOWN"
targetServiceType	target.resource.type	Imposta su "Tipo di servizio" se targetServiceType != "" e != "UNKNOWN"
targetEntity.primaryDisplayName, targetEntity.type	target.user.user_display_name	Imposta se targetEntity.type == "USER"
targetEntity.secondaryDisplayName, targetEntity.type	target.user.userid	Imposta se targetEntity.type == "USER"
	metadata.product_name	Impostato su "PREEMPT_AUTH"
	metadata.vendor_name	Impostato su "Preempt"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.