Mengumpulkan log Ivanti Connect Secure (Pulse Secure)

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Ivanti Connect Secure (Pulse Secure) ke Google Security Operations menggunakan Bindplane.

Ivanti Connect Secure (sebelumnya Pulse Secure) adalah solusi SSL VPN yang menyediakan akses jarak jauh yang aman ke aplikasi, resource, dan jaringan perusahaan. Solusi ini mendukung autentikasi multi-faktor, pemeriksaan kepatuhan endpoint, dan kebijakan akses terperinci untuk pekerja jarak jauh dan partner. Catatan: Pulse Secure diakuisisi oleh Ivanti pada tahun 2020. Parser mengekstrak kolom dari log yang diformat syslog Pulse Secure VPN. Proses ini menggunakan grok untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol admin Ivanti Connect Secure (Pulse Secure)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PULSE_SECURE_VPN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

Ganti placeholder berikut:
- Konfigurasi penerima:
  - udplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
  - 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
  - 514: Nomor port yang akan diproses (port syslog standar)
- Konfigurasi eksportir:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Jenis log persis seperti yang muncul di Chronicle (PULSE_SECURE_VPN)

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

  sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

  sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan Syslog di Ivanti Connect Secure (Pulse Secure)

Login ke konsol admin Ivanti Connect Secure (sebelumnya Pulse Secure).
Buka System > Log/Monitoring > Syslog Servers.
Klik Server Baru untuk menambahkan server syslog.
Berikan detail konfigurasi berikut:
- Nama/IP server: Masukkan alamat IP host agen Bindplane.
- Server Port: Masukkan 514.
- Fasilitas: Pilih LOCAL0 (atau fasilitas pilihan Anda).
- Jenis: Pilih UDP.
Di bagian Filter Peristiwa, pilih jenis peristiwa yang akan diteruskan:
- Standard: Untuk format syslog standar
Pilih kategori log:
- Peristiwa: Pilih Log Akses Pengguna, Log Admin, Peristiwa Sensor.
- Tingkat keparahan: Pilih Info dan yang lebih tinggi untuk pencatatan log yang komprehensif.
Klik Simpan Perubahan.
Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
tindakan	security_result.action_details	Dipetakan langsung dari kolom tindakan.
application	principal.application	Dipetakan langsung dari kolom aplikasi.
bytes_read	network.received_bytes	Dipetakan langsung dari kolom bytes_read dan dikonversi menjadi bilangan bulat tidak bertanda.
bytes_written	network.sent_bytes	Dipetakan langsung dari kolom bytes_written dan dikonversi menjadi bilangan bulat tidak bertanda.
client_host	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom client_host.
cmd	principal.process.command_line	Dipetakan langsung dari kolom cmd.
connection_status	security_result.detection_fields.value.string_value	Dipetakan langsung dari kolom connection_status.
data_time	metadata.event_timestamp.seconds	Diuraikan dari kolom data_time menggunakan berbagai format stempel waktu (MM-dd-yyyy HH:mm:ss Z, RFC 3339, ISO8601, MMM d HH:mm:ss, MMM d HH:mm:ss).
devname	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom devname.
dstip	target.ip, target.asset.ip	Dipetakan langsung dari kolom dstip.
dstport	target.port	Dipetakan langsung dari kolom dstport dan dikonversi menjadi bilangan bulat.
dstcountry	target.location.country_or_region	Dipetakan langsung dari kolom dstcountry jika bukan "Reserved" atau kosong.
durasi	network.session_duration.seconds	Dipetakan langsung dari kolom durasi dan dikonversi menjadi bilangan bulat.
dvc	intermediary.hostname atau intermediary.ip	Jika kolom dvc dapat dikonversi menjadi alamat IP, kolom tersebut dipetakan ke intermediary.ip. Jika tidak, nilai ini dipetakan ke intermediary.hostname.
dvc_hostname	intermediary.hostname, principal.hostname, principal.asset.hostname atau intermediary.ip, principal.ip, principal.asset.ip	Jika kolom dvc_hostname dapat dikonversi menjadi alamat IP, kolom tersebut dipetakan ke kolom IP masing-masing. Jika tidak, kolom ini dipetakan ke kolom nama host masing-masing.
event_type	metadata.product_event_type	Dipetakan langsung dari kolom event_type.
failure_reason	security_result.description	Dipetakan langsung dari kolom failure_reason. Jika pesan berisi "karena penyelenggara", teks "penyelenggara" ditambahkan di depan alasan kegagalan.
has_principal	event.idm.read_only_udm.principal (presence)	Ditetapkan ke "true" jika ada kolom utama yang diisi, "false" jika tidak. Diperoleh dari logika parser.
has_target	event.idm.read_only_udm.target (presence)	Ditetapkan ke "true" jika ada kolom target yang diisi, "false" jika tidak. Diperoleh dari logika parser.
has_target_user	event.idm.read_only_udm.target.user.userid (kehadiran)	Setel ke "true" jika target.user.userid diisi, "false" jika tidak. Diperoleh dari logika parser.
host_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom host_ip.
host_mac	principal.mac	Dipetakan langsung dari kolom host_mac, mengganti tanda hubung dengan titik dua.
http_method	network.http.method	Dipetakan langsung dari kolom http_method.
http_response	network.http.response_code	Dipetakan langsung dari kolom http_response dan dikonversi menjadi bilangan bulat.
info_desc	about.labels.value	Dipetakan langsung dari kolom info_desc.
ip_new	target.ip, target.asset.ip	Dipetakan langsung dari kolom ip_new.
level	security_result.severity, security_result.severity_details	security_result.severity berasal dari kolom level ("error"/"warning" -> TINGGI, "notice" -> SEDANG, "information"/"info" -> RENDAH). Nilai mentah level juga dipetakan ke security_result.severity_details.
logid	metadata.product_log_id	Dipetakan langsung dari kolom logid.
locip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom locip.
pesan	metadata.description	Digunakan untuk mengekstrak berbagai kolom menggunakan filter grok dan kv. Jika pesan berisi "EventID", pesan tersebut akan diproses sebagai log aktivitas Windows.
message_info	metadata.description	Dipetakan langsung ke metadata.description jika tidak digunakan dalam pola grok yang lebih spesifik.
msg	metadata.product_event_type, metadata.description	Jika kolom msg ada, jenis produk akan diekstrak dan dipetakan ke metadata.product_event_type, dan pesan yang tersisa akan dipetakan ke metadata.description.
msg_hostname	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom msg_hostname.
msg_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom msg_ip.
msg_user_agent	network.http.user_agent, network.http.parsed_user_agent, metadata.product_version	String agen pengguna dipetakan ke network.http.user_agent, agen pengguna yang diuraikan dipetakan ke network.http.parsed_user_agent, dan versi produk (jika ada) dipetakan ke metadata.product_version.
network_duration	network.session_duration.seconds	Dipetakan langsung dari kolom network_duration dan dikonversi menjadi bilangan bulat.
policyid	security_result.rule_id	Dipetakan langsung dari kolom policyid.
policyname	security_result.rule_name	Dipetakan langsung dari kolom policyname.
policytype	security_result.rule_type	Dipetakan langsung dari kolom policytype.
priority_code	about.labels.value	Dipetakan langsung dari kolom priority_code dan juga digunakan untuk mendapatkan about.labels.value untuk kunci "Severity" (lihat Logika).
prod_name	metadata.product_name	Dipetakan langsung dari kolom prod_name.
product_type	metadata.product_event_type	Dipetakan langsung dari kolom product_type.
product_version	metadata.product_version	Dipetakan langsung dari kolom product_version.
proto	network.ip_protocol	Dipetakan ke network.ip_protocol setelah dikonversi menjadi nama protokol IP menggunakan pencarian.
pwd	principal.process.file.full_path	Dipetakan langsung dari kolom pwd.
realm	principal.group.attribute.labels.value	Dipetakan langsung dari kolom realm.
rcvdbyte	network.received_bytes	Dipetakan langsung dari kolom rcvdbyte dan dikonversi menjadi bilangan bulat tidak bertanda.
remip	target.ip	Dipetakan langsung dari kolom remip.
resource_name	target.resource.name	Dipetakan langsung dari kolom resource_name setelah menghapus spasi kosong di awal/akhir dan tanda hubung.
resource_status	security_result.description	Dipetakan langsung dari kolom resource_status.
resource_user_group	principal.user.group_identifiers	Dipetakan langsung dari kolom resource_user_group.
resource_user_name	principal.user.userid	Dipetakan langsung dari kolom resource_user_name.
roles	principal.user.group_identifiers	Dipetakan langsung dari kolom peran.
sentbyte	network.sent_bytes	Dipetakan langsung dari kolom sentbyte dan dikonversi menjadi bilangan bulat tidak bertanda.
session_id	network.session_id	Dipetakan langsung dari kolom session_id.
sessionid	network.session_id	Dipetakan langsung dari kolom sessionid.
srcip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom srcip.
srcport	principal.port	Dipetakan langsung dari kolom srcport dan dikonversi menjadi bilangan bulat.
srccountry	principal.location.country_or_region	Dipetakan langsung dari kolom srccountry jika bukan "Reserved" atau kosong.
subtype	metadata.product_event_type	Digunakan bersama dengan jenis untuk membentuk metadata.product_event_type.
target_file	target.file.full_path	Dipetakan langsung dari kolom target_file.
target_host	target.hostname, target.asset.hostname	Dipetakan langsung dari kolom target_host.
target_ip	target.ip, target.asset.ip	Dipetakan langsung dari kolom target_ip.
target_port	target.port	Dipetakan langsung dari kolom target_port dan dikonversi menjadi bilangan bulat.
target_url	target.url	Dipetakan langsung dari kolom target_url.
waktu	metadata.event_timestamp.seconds	Diuraikan dari kolom waktu menggunakan format "yyyy-MM-dd HH:mm:ss".
jenis	metadata.product_event_type	Digunakan bersama dengan subjenis untuk membentuk metadata.product_event_type.
u_event_source_ip	principal.ip, principal.asset.ip, atau target.ip	Jika target_ip atau target_host ada, u_event_source_ip dipetakan ke principal.ip dan principal.asset.ip. Jika tidak, jika target_ip, target_host, dan target_url semuanya kosong, u_event_source_ip akan dipetakan ke target.ip.
u_observer_ip	observer.ip	Dipetakan langsung dari kolom u_observer_ip.
u_prin_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom u_prin_ip.
pengguna	target.user.userid	Dipetakan langsung dari kolom pengguna.
user_agent	network.http.user_agent, network.http.parsed_user_agent	String agen pengguna dipetakan ke network.http.user_agent, dan agen pengguna yang diuraikan dipetakan ke network.http.parsed_user_agent.
user_group_identifier	target.user.group_identifiers atau principal.user.group_identifiers	Dipetakan ke target.user.group_identifiers dalam sebagian besar kasus. Dipetakan ke principal.user.group_identifiers dalam peristiwa perubahan IP (USER_UNCATEGORIZED) dan pembatasan Realm.
user_ip	principal.ip, principal.asset.ip	Dipetakan langsung dari kolom user_ip. Jika kosong dan u_event_source_ip tidak kosong, kolom ini akan mengambil nilai u_event_source_ip.
nama pengguna	principal.user.userid atau target.user.userid	Dipetakan ke principal.user.userid dalam sebagian besar kasus. Dipetakan ke target.user.userid dalam beberapa skenario tertentu (misalnya, saat detect_user_logout_failed adalah salah (false) dan detect_policy_change_failed adalah salah (false)).
username_removed	target.user.userid	Dipetakan langsung dari kolom username_removed.
vd	principal.administrative_domain	Dipetakan langsung dari kolom vd.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.