Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Preempt

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux Preempt dans Google Security Operations à l'aide de l'agent Bindplane.

Preempt Security est une plate-forme de détection et de réponse aux menaces d'identité qui génère des alertes de sécurité pour les menaces Active Directory, y compris les comportements d'authentification anormaux, l'élévation des privilèges et les mouvements latéraux. Elle exporte les journaux au format CEF (Common Event Format) via syslog.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou un hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Preempt
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console de gestion Preempt avec des droits d'administrateur

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

**Remarque** : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING (En cours d'exécution).

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running) (Actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et résoudre les problèmes, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Rechercher le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/preempt:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: <REGION_ENDPOINT>
        log_type: PREEMPT
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/preempt_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/preempt

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- tcplog : reçoit syslog via TCP. Utilisez udplog si votre déploiement Preempt transfère les données via UDP.
- 0.0.0.0:514 : écoute sur toutes les interfaces du port 514. Modifiez le port si nécessaire (par exemple, 1514 pour Linux non root).
Configuration de l'exportateur :
- <CREDS_FILE_PATH>: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID> : ID client obtenu à l'étape Obtenir l'ID client Google SecOps.
- <REGION_ENDPOINT>: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consultez la liste complète des points de terminaison régionaux.

Enregistrer le fichier de configuration

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog Preempt

Connectez-vous à la console de gestion Preempt.
Accédez à Settings > SIEM Integration (Paramètres > Intégration SIEM).
Activez le transfert syslog.
Fournissez les informations de configuration suivantes :
- Protocole : sélectionnez TCP (doit correspondre à la configuration du récepteur de l'agent Bindplane).
- Format : sélectionnez CEF.
- Adresse du serveur Syslog : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- Port : saisissez 514 (doit correspondre au port du récepteur de l'agent Bindplane).
Sélectionnez les types d'événements à transférer :
- Alertes
- Non-respect des règles
- Événements d'authentification anormaux
Cliquez sur Save (Enregistrer) ou Apply (Appliquer).
Vérifiez que les journaux sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
event_id, _target	metadata.event_type	Défini sur "SCAN_NETWORK" si _target n'est pas vide et event_id == "SUSPICIOUS_DOMAIN_ACTIVITY" ; "USER_UNCATEGORIZED" si _target n'est pas vide et event_id dans ["UNUSUAL_ENDPOINT_ACCESS", "UNUSUAL_ACTIVITY", "UNUSUAL_ENDPOINT_USE"] ; "NETWORK_UNCATEGORIZED" si event_id == "APPLIANCE_CONNECTIVITY_FAILURE" ; sinon "GENERIC_EVENT"
event_id	metadata.product_event_type	Valeur copiée directement
version	metadata.product_version	Valeur copiée directement
cs1	metadata.url_back_to_product	Valeur de cs1 si cs1Label == "incidentLink"
	network.ip_protocol	Défini sur "TCP" si event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
dhost, host	principal.hostname	Valeur de dhost si dhost n'est pas vide et n'est pas une adresse IP, sinon valeur de l'hôte si l'hôte n'est pas vide et n'est pas une adresse IP
dhost, host	principal.ip	Valeur de dhost si dhost est une adresse IP, sinon valeur de l'hôte si l'hôte est une adresse IP
description, event_name, act, cs5, cs2, externalId, cn2	security_result.description	Si la description n'est pas vide, valeur de la description ; sinon, valeur concaténée à partir de event_name, act, status de cs5 si cs5Label == "status" ou cs2 si cs2Label == "status", IncidentID de externalId, CompromisedEntities de cn2
cs1	security_result.rule_name	Valeur de cs1 si cs1Label == "ruleName"
severity	security_result.severity	Converti à partir d'un entier : HIGH si > 7, MEDIUM si > 4, LOW si > 2, INFORMATIONAL si > 0, sinon UNKNOWN_SEVERITY ; ou défini sur LOW si cat == "Policy Log" et severity == "INFO"
severity	security_result.severity_details	Valeur copiée directement
act, event_name	security_result.summary	Valeur de act si elle n'est pas vide, sinon valeur de event_name
destinationServiceName	target.application	Valeur de destinationServiceName si event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
shost	target.hostname	Valeur copiée directement
src, dst	target.ip	Valeur de src, ou dst si event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
suser	target.user.userid	Valeur copiée directement
vendor	metadata.vendor_name	Valeur de vendor si elle n'est pas vide, sinon définie sur "PreemptSecurity"
product	metadata.product_name	Valeur de product si elle n'est pas vide, sinon définie sur "PBF"

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.