收集 Ivanti Connect Secure (Pulse Secure) 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Ivanti Connect Secure (Pulse Secure) 記錄檔擷取至 Google Security Operations。

Ivanti Connect Secure (前身為 Pulse Secure) 是 SSL VPN 解決方案，可安全地遠端存取企業應用程式、資源和網路。這項服務支援多重驗證、端點合規性檢查，以及適用於遠端工作者和合作夥伴的精細存取權政策。注意：Ivanti 於 2020 年收購了 Pulse Secure。剖析器會從 Pulse Secure VPN syslog 格式的記錄檔中擷取欄位。它會使用 grok 剖析記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Ivanti Connect Secure (Pulse Secure) 管理控制台的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PULSE_SECURE_VPN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

替換下列預留位置：
- 接收器設定：
  - udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
  - 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
  - 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：記錄類型，與 Chronicle 中顯示的完全相同 (PULSE_SECURE_VPN)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

  sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

  sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Ivanti Connect Secure (Pulse Secure) 上設定系統記錄轉送

登入 Ivanti Connect Secure (舊稱 Pulse Secure) 管理控制台。
依序前往「System」>「Log/Monitoring」>「Syslog Servers」。
按一下「新增伺服器」即可新增系統記錄伺服器。
請提供下列設定詳細資料：
- 伺服器名稱/IP：輸入 Bindplane 代理程式主機的 IP 位址。
- 伺服器通訊埠：輸入 514。
- 設施：選取 LOCAL0 (或偏好的設施)。
- 類型：選取「UDP」。
在「事件篩選器」部分，選取要轉送的事件類型：
- 標準：適用於標準系統記錄格式
選取記錄類別：
- 事件：選取「使用者存取記錄」、「管理員記錄」或「感應器事件」。
- 嚴重程度等級：選取「資訊」以上等級，即可進行全面記錄。
按一下 [儲存變更]。
檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
動作	security_result.action_details	直接從動作欄位對應。
調度應用程式資源	principal.application	直接從應用程式欄位對應。
bytes_read	network.received_bytes	直接從 bytes_read 欄位對應，並轉換為不帶正負號的整數。
bytes_written	network.sent_bytes	直接從 bytes_written 欄位對應，並轉換為不帶正負號的整數。
client_host	principal.hostname、principal.asset.hostname	直接從 client_host 欄位對應。
cmd	principal.process.command_line	直接從 cmd 欄位對應。
connection_status	security_result.detection_fields.value.string_value	直接從 connection_status 欄位對應。
data_time	metadata.event_timestamp.seconds	使用各種時間戳記格式 (MM-dd-yyyy HH:mm:ss Z、RFC 3339、ISO8601、MMM d HH:mm:ss、MMM d HH:mm:ss) 從 data_time 欄位剖析。
devname	principal.hostname、principal.asset.hostname	直接從 devname 欄位對應。
dstip	target.ip、target.asset.ip	直接從 dstip 欄位對應。
dstport	target.port	直接從 dstport 欄位對應，並轉換為整數。
dstcountry	target.location.country_or_region	如果 dstcountry 欄位不是「保留」或空白，則直接對應。
持續時間	network.session_duration.seconds	直接從時間長度欄位對應，並轉換為整數。
dvc	intermediary.hostname 或 intermediary.ip	如果 dvc 欄位可以轉換為 IP 位址，則會對應至 intermediary.ip。否則會對應至 intermediary.hostname。
dvc_hostname	intermediary.hostname、principal.hostname、principal.asset.hostname 或 intermediary.ip、principal.ip、principal.asset.ip	如果 dvc_hostname 欄位可以轉換為 IP 位址，系統會將其對應至相應的 IP 欄位。否則會對應至相應的主機名稱欄位。
event_type	metadata.product_event_type	直接從 event_type 欄位對應。
failure_reason	security_result.description	直接從 failure_reason 欄位對應。如果訊息包含「因為主機」，失敗原因會加上「主機」前置字串。
has_principal	event.idm.read_only_udm.principal (presence)	如果填入任何主體欄位，則設為「true」，否則設為「false」。由剖析器邏輯衍生。
has_target	event.idm.read_only_udm.target (presence)	如果已填入任何目標欄位，則設為「true」，否則設為「false」。由剖析器邏輯衍生。
has_target_user	event.idm.read_only_udm.target.user.userid (presence)	如果已填入 target.user.userid，請設為「true」，否則設為「false」。由剖析器邏輯衍生。
host_ip	principal.ip、principal.asset.ip	直接從 host_ip 欄位對應。
host_mac	principal.mac	直接從 host_mac 欄位對應，並以半形冒號取代連字號。
http_method	network.http.method	直接從 http_method 欄位對應。
http_response	network.http.response_code	直接從 http_response 欄位對應，並轉換為整數。
info_desc	about.labels.value	直接從 info_desc 欄位對應。
ip_new	target.ip、target.asset.ip	直接從 ip_new 欄位對應。
level	security_result.severity、security_result.severity_details	security_result.severity 是從 level 欄位衍生而來 (「error」/「warning」-> HIGH、「notice」-> MEDIUM、「information」/「info」-> LOW)。等級的原始值也會對應至 security_result.severity_details。
logid	metadata.product_log_id	直接從 logid 欄位對應。
locip	principal.ip、principal.asset.ip	直接從 locip 欄位對應。
訊息	metadata.description	用於使用 grok 和 kv 篩選器擷取各種欄位。如果訊息包含「EventID」，系統會將其視為 Windows 事件記錄檔。
message_info	metadata.description	如果未在更具體的 grok 模式中使用，則直接對應至 metadata.description。
msg	metadata.product_event_type、metadata.description	如果存在 msg 欄位，系統會擷取產品類型並對應至 metadata.product_event_type，其餘訊息則會對應至 metadata.description。
msg_hostname	principal.hostname、principal.asset.hostname	直接從 msg_hostname 欄位對應。
msg_ip	principal.ip、principal.asset.ip	直接從 msg_ip 欄位對應。
msg_user_agent	network.http.user_agent、network.http.parsed_user_agent、metadata.product_version	使用者代理程式字串會對應至 network.http.user_agent，剖析後的使用者代理程式會對應至 network.http.parsed_user_agent，產品版本 (如有) 則會對應至 metadata.product_version。
network_duration	network.session_duration.seconds	直接從 network_duration 欄位對應，並轉換為整數。
policyid	security_result.rule_id	直接從 policyid 欄位對應。
policyname	security_result.rule_name	直接從 policyname 欄位對應。
policytype	security_result.rule_type	直接從 policytype 欄位對應。
priority_code	about.labels.value	直接從 priority_code 欄位對應，也用於衍生「嚴重程度」鍵的 about.labels.value (請參閱「邏輯」)。
prod_name	metadata.product_name	直接從 prod_name 欄位對應。
product_type	metadata.product_event_type	直接從 product_type 欄位對應。
product_version	metadata.product_version	直接從 product_version 欄位對應。
proto	network.ip_protocol	轉換為 IP 通訊協定名稱後，會對應至 network.ip_protocol。
pwd	principal.process.file.full_path	直接從 pwd 欄位對應。
運作範圍	principal.group.attribute.labels.value	直接從領域欄位對應。
rcvdbyte	network.received_bytes	直接從 rcvdbyte 欄位對應，並轉換為不帶正負號的整數。
remip	target.ip	直接從 remip 欄位對應。
資源名稱	target.resource.name	直接從 resource_name 欄位對應，並移除開頭/結尾的空白字元和連字號。
resource_status	security_result.description	直接從 resource_status 欄位對應。
resource_user_group	principal.user.group_identifiers	直接從 resource_user_group 欄位對應。
resource_user_name	principal.user.userid	直接從 resource_user_name 欄位對應。
角色	principal.user.group_identifiers	直接從「角色」欄位對應。
sentbyte	network.sent_bytes	直接從 sentbyte 欄位對應，並轉換為不帶正負號的整數。
session_id	network.session_id	直接從 session_id 欄位對應。
sessionid	network.session_id	直接從 sessionid 欄位對應。
srcip	principal.ip、principal.asset.ip	直接從 srcip 欄位對應。
srcport	principal.port	直接從 srcport 欄位對應，並轉換為整數。
srccountry	principal.location.country_or_region	如果 srccountry 欄位不是「保留」或空白，則直接對應。
子類型	metadata.product_event_type	與類型搭配使用，可形成 metadata.product_event_type。
target_file	target.file.full_path	直接從 target_file 欄位對應。
target_host	target.hostname、target.asset.hostname	直接從 target_host 欄位對應。
target_ip	target.ip、target.asset.ip	直接從 target_ip 欄位對應。
target_port	target.port	直接從 target_port 欄位對應，並轉換為整數。
target_url	target.url	直接從 target_url 欄位對應。
時間	metadata.event_timestamp.seconds	使用「yyyy-MM-dd HH:mm:ss」格式從時間欄位剖析。
類型	metadata.product_event_type	與子類型搭配使用，可形成 metadata.product_event_type。
u_event_source_ip	principal.ip、principal.asset.ip 或 target.ip	如果存在 target_ip 或 target_host，u_event_source_ip 會對應至 principal.ip 和 principal.asset.ip。否則，如果 target_ip、target_host 和 target_url 皆為空白，u_event_source_ip 會對應至 target.ip。
u_observer_ip	observer.ip	直接從 u_observer_ip 欄位對應。
u_prin_ip	principal.ip、principal.asset.ip	直接從 u_prin_ip 欄位對應。
使用者	target.user.userid	直接從使用者欄位對應。
user_agent	network.http.user_agent、network.http.parsed_user_agent	使用者代理程式字串會對應至 network.http.user_agent，而剖析後的使用者代理程式則會對應至 network.http.parsed_user_agent。
user_group_identifier	target.user.group_identifiers 或 principal.user.group_identifiers	在大多數情況下，會對應至 target.user.group_identifiers。對應至 IP 變更 (USER_UNCATEGORIZED) 和領域限制事件中的 principal.user.group_identifiers。
user_ip	principal.ip、principal.asset.ip	直接從 user_ip 欄位對應。如果為空白，且 u_event_source_ip 不為空白，則會採用 u_event_source_ip 的值。
使用者名稱	principal.user.userid 或 target.user.userid	在大多數情況下，會對應至 principal.user.userid。在某些特定情境中 (例如 detect_user_logout_failed 為 false 且 detect_policy_change_failed 為 false 時)，會對應至 target.user.userid。
username_removed	target.user.userid	直接從 username_removed 欄位對應。
vd	principal.administrative_domain	直接從 vd 欄位對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。