Preempt 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Preempt 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Preempt Security는 이상 인증 동작, 권한 에스컬레이션, 측면 이동을 비롯한 Active Directory 위협에 대한 보안 알림을 생성하는 ID 위협 탐지 및 대응 플랫폼입니다. syslog를 통해 CEF (Common Event Format) 형식으로 로그를 내보냅니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 있는 Linux 호스트 - Bindplane 에이전트와 Preempt 서버 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- 관리자 권한으로 Preempt 관리 콘솔에 대한 권한 있는 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트 로 이동합니다.
- 수집 인증 파일 을 다운로드합니다.
Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필 로 이동합니다.
조직 세부정보 섹션에서 고객 ID 를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 관리자 권한으로 명령 프롬프트 또는 PowerShell 을 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 RUNNING 으로 표시됩니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running) 으로 표시됩니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참조하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 콘텐츠를 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/preempt: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: PREEMPT raw_log_field: body ingestion_labels: env: production service: pipelines: logs/preempt_to_chronicle: receivers: - tcplog exporters: - chronicle/preempt
구성 매개변수
다음 자리표시자를 바꿉니다.
수신 도구 구성:
tcplog: TCP를 통해 syslog를 수신합니다. Preempt 배포가 UDP를 통해 전달되는 경우udplog를 사용합니다.0.0.0.0:514: 포트 514의 모든 인터페이스에서 수신 대기합니다. 필요한 경우 포트를 변경합니다 (예: 루트가 아닌 Linux의 경우1514).
내보내기 구성:
<CREDS_FILE_PATH>: 수집 인증 파일의 전체 경로:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: Google SecOps 고객 ID 가져오기 단계의 고객 ID입니다.<REGION_ENDPOINT>: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참조하세요.
- 미국:
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O를 누른 다음Enter를 누르고Ctrl+X를 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R을 누르고services.msc를 입력한 후 Enter를 누릅니다.- observIQ OpenTelemetry Collector 를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작 을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Preempt syslog 전달 구성
- Preempt 관리 콘솔 에 로그인합니다.
- 설정 > SIEM 통합으로 이동합니다.
- syslog 전달을 사용 설정합니다.
- 다음 구성 세부정보를 제공합니다.
- 프로토콜: TCP를 선택합니다 (Bindplane 에이전트 수신 도구 구성과 일치해야 함).
- 형식: CEF를 선택합니다.
- 시스템로그 서버 주소: Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예:
192.168.1.100). - 포트:
514를 입력합니다 (Bindplane 에이전트 수신 도구 포트와 일치해야 함).
- 전달할 이벤트 유형을 선택합니다.
- 알림
- 정책 위반
- 이상 인증 이벤트
- 저장 또는 적용 을 클릭합니다.
- Bindplane 에이전트 로그를 확인하여 로그가 전송되는지 확인합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| event_id, _target | metadata.event_type | _target이 비어 있지 않고 event_id == 'SUSPICIOUS_DOMAIN_ACTIVITY'인 경우 'SCAN_NETWORK'로 설정합니다. _target이 비어 있지 않고 event_id가 ['UNUSUAL_ENDPOINT_ACCESS', 'UNUSUAL_ACTIVITY', 'UNUSUAL_ENDPOINT_USE']에 있는 경우 'USER_UNCATEGORIZED'로 설정합니다. event_id == 'APPLIANCE_CONNECTIVITY_FAILURE'인 경우 'NETWORK_UNCATEGORIZED'로 설정합니다. 그렇지 않으면 'GENERIC_EVENT'로 설정합니다. |
| event_id | metadata.product_event_type | 값이 직접 복사됨 |
| version | metadata.product_version | 값이 직접 복사됨 |
| cs1 | metadata.url_back_to_product | cs1Label == 'incidentLink'인 경우 cs1의 값 |
| network.ip_protocol | event_id == 'APPLIANCE_CONNECTIVITY_FAILURE'인 경우 'TCP'로 설정 | |
| dhost, host | principal.hostname | dhost가 비어 있지 않고 IP가 아닌 경우 dhost의 값, 그렇지 않으면 host가 비어 있지 않고 IP가 아닌 경우 host의 값 |
| dhost, host | principal.ip | dhost가 IP인 경우 dhost의 값, 그렇지 않으면 host가 IP인 경우 host의 값 |
| description, event_name, act, cs5, cs2, externalId, cn2 | security_result.description | description이 비어 있지 않은 경우 description의 값, 그렇지 않으면 event_name, act, cs5Label == 'status'인 경우 cs5의 상태 또는 cs2Label == 'status'인 경우 cs2의 상태, externalId의 IncidentID, cn2의 CompromisedEntities에서 연결됨 |
| cs1 | security_result.rule_name | cs1Label == 'ruleName'인 경우 cs1의 값 |
| severity | security_result.severity | 정수에서 변환됨: 7보다 크면 HIGH, 4보다 크면 MEDIUM, 2보다 크면 LOW, 0보다 크면 INFORMATIONAL, 그렇지 않으면 UNKNOWN_SEVERITY 또는 cat == 'Policy Log'이고 severity == 'INFO'인 경우 LOW로 설정 |
| severity | security_result.severity_details | 값이 직접 복사됨 |
| act, event_name | security_result.summary | act가 비어 있지 않은 경우 act의 값, 그렇지 않으면 event_name의 값 |
| destinationServiceName | target.application | event_id == 'APPLIANCE_CONNECTIVITY_FAILURE'인 경우 destinationServiceName의 값 |
| shost | target.hostname | 값이 직접 복사됨 |
| src, dst | target.ip | src의 값 또는 event_id == 'APPLIANCE_CONNECTIVITY_FAILURE'인 경우 dst의 값 |
| suser | target.user.userid | 값이 직접 복사됨 |
| vendor | metadata.vendor_name | vendor가 비어 있지 않은 경우 vendor의 값, 그렇지 않으면 'PreemptSecurity'로 설정 |
| product | metadata.product_name | product가 비어 있지 않은 경우 product의 값, 그렇지 않으면 'PBF'로 설정 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.