Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Semperis DSP-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Semperis Directory Services Protector (DSP)-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Semperis Directory Services Protector (DSP) ist eine Plattform zur Erkennung und Reaktion auf Bedrohungen in Active Directory, die AD-Änderungen und -Angriffe überwacht und Echtzeitbenachrichtigungen sowie automatisierte Abhilfemaßnahmen bietet. Der Parser extrahiert Felder aus DSP-Logeinträgen und ordnet sie dem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Dabei werden Änderungen an AD-Objekten, Authentifizierungsereignisse, DNS-Änderungen und Sicherheitsergebnisse erfasst.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem Semperis DSP-Server
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Semperis DSP-Verwaltungskonsole mit Administratorberechtigungen

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Hinweis: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

**Hinweis**: Die Kundennummer ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/semperis_dsp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SEMPERIS_DSP
        raw_log_field: body

service:
    pipelines:
        logs/semperis_dsp:
            receivers:
                - tcplog
            exporters:
                - chronicle/semperis_dsp

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- tcplog: Der Empfängertyp basiert auf dem Protokoll:
  - udplog für UDP-Syslog
  - tcplog für TCP-Syslog
  - syslog für RFC 3164/5424-Syslog
- 0.0.0.0: IP-Adresse, die überwacht werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Bestimmte IP-Adresse, um eine Schnittstelle zu überwachen
- 514: Portnummer, die überwacht werden soll (z. B. 514, 1514, 6514)
Exporterkonfiguration :
- <customer_id>: Kundennummer aus dem vorherigen Schritt
- malachiteingestion-pa.googleapis.com: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Die vollständige Liste finden Sie unter Regionale Endpunkte.
- Passen Sie creds_file_path je nach Plattform an:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Semperis DSP-Syslog-Weiterleitung konfigurieren

Melden Sie sich in der Verwaltungskonsole von Semperis DSP an.
Rufen Sie Einstellungen > SIEM-Integration auf.
Aktivieren Sie die Syslog -Weiterleitung.
Geben Sie die folgenden Konfigurationsdetails an:
- Host: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
- Port: Geben Sie 514 ein (muss mit dem Bindplane-Empfängerport übereinstimmen).
- Protokoll: Wählen Sie TCP aus (muss mit dem Bindplane-Empfängertyp übereinstimmen).
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
event_type	extensions.auth.type	Auf „SSO“ setzen, wenn ObjectModificationType == „LoginADSM“
host	intermediary.hostname	Wert direkt kopiert
ObjectModificationType	metadata.description	Wert direkt kopiert
event_type	metadata.event_type	Auf RESOURCE_CREATION setzen, wenn ObjectModificationType == „CreateObject“ und OriginatingUsers != ""; RESOURCE_WRITTEN, wenn ObjectModificationType == „ModifyObject“ und OriginatingUsers != "" und AttributeName „Password“ enthält; RESOURCE_WRITTEN, wenn ObjectModificationType == „ModifyObject“ und OriginatingUsers != ""; RESOURCE_DELETION, wenn ObjectModificationType == „DeleteObject“ und OriginatingUsers != ""; USER_LOGIN, wenn ObjectModificationType == „LoginADSM“ und OriginatingUsers != ""; RESOURCE_WRITTEN, wenn ObjectModificationType == „OperationRequest“ und OriginatingUsers != ""; STATUS_UPDATE, wenn principal_present == „true“; USER_UNCATEGORIZED, wenn principal_user_present == „true“; andernfalls GENERIC_EVENT
	metadata.product_name	Auf „SEMPERIS_DSP“ setzen
	metadata.vendor_name	Auf „SEMPERIS“ setzen
StringValueFrom	network.dns.answers.data	Wert nach der Bereinigung direkt kopiert
NameNode	network.dns.answers.name	Wert direkt kopiert
Ttl	network.dns.answers.ttl	Wert direkt kopiert, in uinteger konvertiert
Type	network.dns.answers.type	Auf „1“ setzen, wenn Type =~ „DNS_TYPE_A“; „12“, wenn Type =~ „DNS_TYPE_PTR“, in uinteger konvertiert
OriginatingServer	principal.asset.hostname	Wert direkt kopiert
ip	principal.asset.ip	Wert nach der Validierung und Bereinigung direkt kopiert
OriginatingServer	principal.hostname	Wert direkt kopiert
ip	principal.ip	Wert nach der Validierung und Bereinigung direkt kopiert
DistinguishedName	principal.user.group_identifiers	Wert direkt zusammengeführt
ForestId	principal.user.product_object_id	Wert direkt kopiert
OriginatingUsers	principal.user.userid	Wert direkt kopiert, wenn OperationType != „LoginADSM“
security_action	security_result.action	Wert direkt kopiert
RequestedAction	security_result.summary	Wert direkt kopiert, wenn OperationResult =~ „Granted“ oder „Denied“
AttributeName	target.resource.name	Wert direkt kopiert, wenn AttributeName != "" und AttributeName != „isDeleted“
ClassName	target.resource.resource_subtype	Wert direkt kopiert
OriginatingUsers	target.user.userid	Wert direkt kopiert, wenn OperationType == „LoginADSM“

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten