Mengumpulkan log Preempt
Dokumen ini menjelaskan cara menyerap log Preempt ke Google Security Operations menggunakan agen Bindplane.
Preempt Security adalah platform deteksi dan respons ancaman identitas yang menghasilkan notifikasi keamanan untuk ancaman Active Directory, termasuk perilaku autentikasi yang tidak wajar, peningkatan hak istimewa, dan pergerakan lateral. Platform ini mengekspor log dalam format CEF (Common Event Format) melalui syslog.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan server Preempt
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan Preempt dengan izin administrator
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
- Download Ingestion Authentication File.
Simpan file dengan aman di sistem tempat Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai active (running).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat panduan penginstalan agen Bindplane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirim ke Google SecOps
Mencari file konfigurasi
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Mengedit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/preempt: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: PREEMPT raw_log_field: body ingestion_labels: env: production service: pipelines: logs/preempt_to_chronicle: receivers: - tcplog exporters: - chronicle/preempt
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
tcplog: Menerima syslog melalui TCP. Gunakanudplogjika deployment Preempt Anda meneruskan melalui UDP.0.0.0.0:514: Memproses semua antarmuka di port 514. Ubah port jika diperlukan (misalnya,1514untuk Linux non-root).
Konfigurasi pengekspor:
<CREDS_FILE_PATH>: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID Pelanggan dari langkah Mendapatkan ID pelanggan Google SecOps.<REGION_ENDPOINT>: URL endpoint regional:- US:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk daftar lengkap.
- US:
Menyimpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Memulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan dan pilih Restart.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog Preempt
- Login ke konsol pengelolaan Preempt.
- Buka Settings > SIEM Integration.
- Aktifkan penerusan syslog.
- Berikan detail konfigurasi berikut:
- Protokol: Pilih TCP (harus cocok dengan konfigurasi penerima agen Bindplane).
- Format: Pilih CEF.
- Alamat server syslog: Masukkan alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan
514(harus cocok dengan port penerima agen Bindplane).
- Pilih jenis peristiwa yang akan diteruskan:
- Notifikasi
- Pelanggaran kebijakan
- Peristiwa autentikasi yang tidak wajar
- Klik Save atau Apply.
- Pastikan log dikirim dengan memeriksa log agen Bindplane.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| event_id, _target | metadata.event_type | Tetapkan ke "SCAN_NETWORK" jika _target tidak kosong dan event_id == "SUSPICIOUS_DOMAIN_ACTIVITY"; "USER_UNCATEGORIZED" jika _target tidak kosong dan event_id dalam ["UNUSUAL_ENDPOINT_ACCESS", "UNUSUAL_ACTIVITY", "UNUSUAL_ENDPOINT_USE"]; "NETWORK_UNCATEGORIZED" jika event_id == "APPLIANCE_CONNECTIVITY_FAILURE"; jika tidak, "GENERIC_EVENT" |
| event_id | metadata.product_event_type | Nilai disalin langsung |
| version | metadata.product_version | Nilai disalin langsung |
| cs1 | metadata.url_back_to_product | Nilai dari cs1 jika cs1Label == "incidentLink" |
| network.ip_protocol | Tetapkan ke "TCP" jika event_id == "APPLIANCE_CONNECTIVITY_FAILURE" | |
| dhost, host | principal.hostname | Nilai dari dhost jika dhost tidak kosong dan bukan IP, jika tidak, dari host jika host tidak kosong dan bukan IP |
| dhost, host | principal.ip | Nilai dari dhost jika dhost adalah IP, jika tidak, dari host jika host adalah IP |
| description, event_name, act, cs5, cs2, externalId, cn2 | security_result.description | Jika description tidak kosong, nilai dari description; jika tidak, digabungkan dari event_name, act, status dari cs5 jika cs5Label == "status" atau cs2 jika cs2Label == "status", IncidentID dari externalId, CompromisedEntities dari cn2 |
| cs1 | security_result.rule_name | Nilai dari cs1 jika cs1Label == "ruleName" |
| severity | security_result.severity | Dikonversi dari bilangan bulat: HIGH jika > 7, MEDIUM jika > 4, LOW jika > 2, INFORMATIONAL jika > 0, jika tidak, UNKNOWN_SEVERITY; atau ditetapkan ke LOW jika cat == "Policy Log" dan severity == "INFO" |
| severity | security_result.severity_details | Nilai disalin langsung |
| act, event_name | security_result.summary | Nilai dari act jika tidak kosong, jika tidak, dari event_name |
| destinationServiceName | target.application | Nilai dari destinationServiceName jika event_id == "APPLIANCE_CONNECTIVITY_FAILURE" |
| shost | target.hostname | Nilai disalin langsung |
| src, dst | target.ip | Nilai dari src, atau dst jika event_id == "APPLIANCE_CONNECTIVITY_FAILURE" |
| suser | target.user.userid | Nilai disalin langsung |
| vendor | metadata.vendor_name | Nilai dari vendor jika tidak kosong, jika tidak, ditetapkan ke "PreemptSecurity" |
| product | metadata.product_name | Nilai dari product jika tidak kosong, jika tidak, ditetapkan ke "PBF" |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.