Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Preempt

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Preempt in Google Security Operations utilizzando l'agente Bindplane.

Preempt Security è una piattaforma di rilevamento e risposta alle minacce per l'identità che genera avvisi di sicurezza per le minacce di Active Directory, tra cui comportamenti di autenticazione anomali, escalation dei privilegi e spostamento laterale. Esporta i log in formato CEF (Common Event Format) tramite syslog.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Preempt
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi alla console di gestione di Preempt con autorizzazioni di amministratore

Recuperare il file di autenticazione per l'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione per l'importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota: questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/preempt:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: <REGION_ENDPOINT>
        log_type: PREEMPT
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/preempt_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/preempt

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- tcplog: riceve syslog su TCP. Utilizza udplog se il deployment di Preempt inoltra i log su UDP.
- 0.0.0.0:514: ascolta tutte le interfacce sulla porta 514. Modifica la porta, se necessario (ad esempio, 1514 per Linux non root).
Configurazione dell'esportatore:
- <CREDS_FILE_PATH>: percorso completo del file di autenticazione per l'importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID>: ID cliente del passaggio Recuperare l'ID cliente di Google SecOps.
- <REGION_ENDPOINT>: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per verificare la presenza di errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog di Preempt

Accedi alla console di gestione di Preempt.
Vai a Impostazioni > Integrazione SIEM.
Attiva l'inoltro di syslog.
Fornisci i seguenti dettagli di configurazione:
- Protocollo: seleziona TCP (deve corrispondere alla configurazione del ricevitore dell'agente Bindplane).
- Formato: seleziona CEF.
- Indirizzo del server syslog: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci 514 (deve corrispondere alla porta del ricevitore dell'agente Bindplane).
Seleziona i tipi di eventi da inoltrare:
- Avvisi
- Violazioni dei criteri
- Eventi di autenticazione anomali
Fai clic su Salva o Applica.
Verifica che i log vengano inviati controllando i log dell'agente Bindplane.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
event_id, _target	metadata.event_type	Imposta su "SCAN_NETWORK" se _target non è vuoto e event_id == "SUSPICIOUS_DOMAIN_ACTIVITY"; "USER_UNCATEGORIZED" se _target non è vuoto e event_id in ["UNUSUAL_ENDPOINT_ACCESS", "UNUSUAL_ACTIVITY", "UNUSUAL_ENDPOINT_USE"]; "NETWORK_UNCATEGORIZED" se event_id == "APPLIANCE_CONNECTIVITY_FAILURE"; altrimenti "GENERIC_EVENT"
event_id	metadata.product_event_type	Valore copiato direttamente
version	metadata.product_version	Valore copiato direttamente
cs1	metadata.url_back_to_product	Valore da cs1 se cs1Label == "incidentLink"
	network.ip_protocol	Imposta su "TCP" se event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
dhost, host	principal.hostname	Valore da dhost se dhost non è vuoto e non è IP, altrimenti da host se host non è vuoto e non è IP
dhost, host	principal.ip	Valore da dhost se dhost è IP, altrimenti da host se host è IP
description, event_name, act, cs5, cs2, externalId, cn2	security_result.description	Se la descrizione non è vuota, il valore è quello della descrizione; altrimenti, viene concatenato da event_name, act, status da cs5 se cs5Label == "status" o cs2 se cs2Label == "status", IncidentID da externalId, CompromisedEntities da cn2
cs1	security_result.rule_name	Valore da cs1 se cs1Label == "ruleName"
severity	security_result.severity	Convertito da numero intero: HIGH se > 7, MEDIUM se > 4, LOW se > 2, INFORMATIONAL se > 0, altrimenti UNKNOWN_SEVERITY; oppure impostato su LOW se cat == "Policy Log" e severity == "INFO"
severity	security_result.severity_details	Valore copiato direttamente
act, event_name	security_result.summary	Valore da act se non è vuoto, altrimenti da event_name
destinationServiceName	target.application	Valore da destinationServiceName se event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
shost	target.hostname	Valore copiato direttamente
src, dst	target.ip	Valore da src o dst se event_id == "APPLIANCE_CONNECTIVITY_FAILURE"
suser	target.user.userid	Valore copiato direttamente
vendor	metadata.vendor_name	Valore da vendor se non è vuoto, altrimenti impostato su "PreemptSecurity"
product	metadata.product_name	Valore da product se non è vuoto, altrimenti impostato su "PBF"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.