Preempt ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane エージェントを使用して Preempt ログを Google Security Operations に取り込む方法について説明します。

Preempt Security は、ID 脅威の検出と対応のプラットフォームです。異常な認証動作、権限昇格、ラテラル ムーブメントなど、Active Directory の脅威に関するセキュリティ アラートを生成します。ログは CEF(Common Event Format)形式で syslog 経由でエクスポートされます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • Bindplane エージェントと Preempt サーバー間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
  • 管理者権限で Preempt 管理コンソールにアクセスできる

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。

  4. Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。

  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows へのインストール

  1. 管理者としてコマンド プロンプト または PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまでお待ちください。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

    サービスは RUNNING と表示されます。

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまでお待ちください。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

    サービスは active (running) と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

  • Linux:

    sudo nano /opt/observiq-otel-collector/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集する

  • config.yaml の内容を次の構成に置き換えます。

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/preempt:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: <REGION_ENDPOINT>
        log_type: PREEMPT
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/preempt_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/preempt

構成パラメータ

各プレースホルダを次のように置き換えます。

  • レシーバーの構成:

    • tcplog: TCP 経由で syslog を受信します。Preempt デプロイで UDP 経由で転送する場合は、udplog を使用します。
    • 0.0.0.0:514: ポート 514 のすべてのインターフェースでリッスンします。必要に応じてポートを変更します(root 以外の Linux の場合は 1514 など)。

  • エクスポータの構成:

    • <CREDS_FILE_PATH>: 取り込み認証ファイルのフルパス:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • <CUSTOMER_ID>: Google SecOps のお客様 ID を取得する 手順で取得したお客様 ID。
    • <REGION_ENDPOINT>: リージョン エンドポイント URL:
      • 米国: malachiteingestion-pa.googleapis.com
      • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
      • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 完全なリストについては、リージョン エンドポイントをご覧ください。

構成ファイルを保存する

  • 編集後、ファイルを保存します。
    • Linux: Ctrl+OEnterCtrl+X を押します。
    • Windows: [File > Save] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

      sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

      sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R を押して services.msc と入力し、Enter キーを押します。
      2. [observIQ OpenTelemetry Collector] を探します。
      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Preempt syslog 転送を構成する

  1. Preempt 管理コンソール にログインします。
  2. [Settings] > [SIEM Integration] に移動します。
  3. syslog 転送を有効にします。
  4. 次の構成情報を提供してください。
    • プロトコル: [TCP] を選択します(Bindplane エージェント レシーバーの構成と一致する必要があります)。
    • 形式: [CEF] を選択します。
    • Syslog サーバー アドレス: Bindplane エージェント ホストの IP アドレスを入力します(例: 192.168.1.100)。
    • ポート: 514 と入力します(Bindplane エージェント レシーバー ポートと一致する必要があります)。
  5. 転送するイベントタイプを選択します。
    • アラート
    • ポリシー違反
    • 異常な認証イベント
  6. [保存] または [適用] をクリックします。
  7. Bindplane エージェントのログを確認して、ログが送信されていることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
event_id, _target metadata.event_type _target が空でなく、event_id == "SUSPICIOUS_DOMAIN_ACTIVITY" の場合は "SCAN_NETWORK" に設定します。_target が空でなく、event_id が ["UNUSUAL_ENDPOINT_ACCESS", "UNUSUAL_ACTIVITY", "UNUSUAL_ENDPOINT_USE"] のいずれかである場合は "USER_UNCATEGORIZED" に設定します。event_id == "APPLIANCE_CONNECTIVITY_FAILURE" の場合は "NETWORK_UNCATEGORIZED" に設定します。それ以外の場合は "GENERIC_EVENT" に設定します。
event_id metadata.product_event_type 値を直接コピーしました
version metadata.product_version 値を直接コピーしました
cs1 metadata.url_back_to_product cs1Label == "incidentLink" の場合は cs1 の値
network.ip_protocol event_id == "APPLIANCE_CONNECTIVITY_FAILURE" の場合は "TCP" に設定します。
dhost, host principal.hostname dhost が空でなく、IP でない場合は dhost の値。それ以外の場合は、host が空でなく、IP でない場合は host の値。
dhost, host principal.ip dhost が IP の場合は dhost の値。それ以外の場合は、host が IP の場合は host の値。
description, event_name, act, cs5, cs2, externalId, cn2 security_result.description description が空でない場合は、description の値。それ以外の場合は、event_name、act、cs5Label == "status" の場合は cs5 のステータス、cs2Label == "status" の場合は cs2 のステータス、externalId の IncidentID、cn2 の CompromisedEntities を連結します。
cs1 security_result.rule_name cs1Label == "ruleName" の場合は cs1 の値
severity security_result.severity 整数から変換: > 7 の場合は HIGH、> 4 の場合は MEDIUM、> 2 の場合は LOW、> 0 の場合は INFORMATIONAL、それ以外の場合は UNKNOWN_SEVERITY。または、cat == "Policy Log" で severity == "INFO" の場合は LOW に設定します。
severity security_result.severity_details 値を直接コピーしました
act, event_name security_result.summary 空でない場合は act の値。それ以外の場合は event_name の値。
destinationServiceName target.application event_id == "APPLIANCE_CONNECTIVITY_FAILURE" の場合は destinationServiceName の値
shost target.hostname 値を直接コピーしました
src, dst target.ip src の値。または、event_id == "APPLIANCE_CONNECTIVITY_FAILURE" の場合は dst の値。
suser target.user.userid 値を直接コピーしました
vendor metadata.vendor_name 空でない場合は vendor の値。それ以外の場合は "PreemptSecurity" に設定します。
product metadata.product_name 空でない場合は product の値。それ以外の場合は "PBF" に設定します。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。