Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Semperis DSP

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Semperis Directory Services Protector (DSP) dans Google Security Operations à l'aide de l'agent Bindplane.

Semperis Directory Services Protector (DSP) est une plate-forme de détection et de réponse aux menaces Active Directory qui surveille les modifications et les attaques AD, en fournissant des alertes en temps réel et une correction automatisée. L'analyseur extrait les champs des entrées de journaux DSP et les mappe au modèle de données unifié (UDM), en capturant les modifications d'objets AD, les événements d'authentification, les modifications DNS et les résultats de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur DSP Semperis
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console de gestion Semperis DSP avec des droits d'administrateur

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/semperis_dsp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SEMPERIS_DSP
        raw_log_field: body

service:
    pipelines:
        logs/semperis_dsp:
            receivers:
                - tcplog
            exporters:
                - chronicle/semperis_dsp

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- tcplog : type de récepteur basé sur le protocole :
  - udplog pour le syslog UDP
  - tcplog pour le syslog TCP
  - syslog pour le syslog RFC 3164/5424
- 0.0.0.0 : adresse IP à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Adresse IP spécifique à écouter sur une interface
- 514 : numéro de port à écouter (par exemple, 514, 1514, 6514)
Configuration de l'exportateur :
- <customer_id> : ID client de l'étape précédente
- malachiteingestion-pa.googleapis.com : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- Ajustez creds_file_path en fonction de la plate-forme :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez le collecteur observIQ OpenTelemetry.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert Syslog Semperis DSP

Connectez-vous à la console de gestion Semperis DSP.
Accédez à Paramètres > Intégration SIEM.
Activez le transfert Syslog.
Fournissez les informations de configuration suivantes :
- Hôte : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- Port : saisissez 514 (doit correspondre au port du récepteur Bindplane).
- Protocole : sélectionnez TCP (doit correspondre au type de récepteur Bindplane).
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
event_type	extensions.auth.type	Définissez sur "SSO" si ObjectModificationType == "LoginADSM"
hôte	intermediary.hostname	Valeur copiée directement
ObjectModificationType	metadata.description	Valeur copiée directement
event_type	metadata.event_type	RESOURCE_CREATION si ObjectModificationType == "CreateObject" et OriginatingUsers != "" ; RESOURCE_WRITTEN si ObjectModificationType == "ModifyObject" et OriginatingUsers != "" et AttributeName contient "Password" ; RESOURCE_WRITTEN si ObjectModificationType == "ModifyObject" et OriginatingUsers != "" ; RESOURCE_DELETION si ObjectModificationType == "DeleteObject" et OriginatingUsers != "" ; USER_LOGIN si ObjectModificationType == "LoginADSM" et OriginatingUsers != "" ; RESOURCE_WRITTEN si ObjectModificationType == "OperationRequest" et OriginatingUsers != "" ; STATUS_UPDATE si principal_present == "true" ; USER_UNCATEGORIZED si principal_user_present == "true" ; sinon GENERIC_EVENT
	metadata.product_name	Définissez-le sur "SEMPERIS_DSP".
	metadata.vendor_name	Défini sur "SEMPERIS"
StringValueFrom	network.dns.answers.data	Valeur copiée directement après le nettoyage
Le composant NameNode	network.dns.answers.name	Valeur copiée directement
Ttl	network.dns.answers.ttl	Valeur copiée directement, convertie en uinteger
Type	network.dns.answers.type	Définissez sur "1" si Type =~ "DNS_TYPE_A", "12" si Type =~ "DNS_TYPE_PTR", converti en uinteger
OriginatingServer	principal.asset.hostname	Valeur copiée directement
ip	principal.asset.ip	Valeur copiée directement après la validation et le nettoyage
OriginatingServer	principal.hostname	Valeur copiée directement
ip	principal.ip	Valeur copiée directement après la validation et le nettoyage
DistinguishedName	principal.user.group_identifiers	Valeur fusionnée directement
ForestId	principal.user.product_object_id	Valeur copiée directement
OriginatingUsers	principal.user.userid	Valeur copiée directement si OperationType != "LoginADSM"
security_action	security_result.action	Valeur copiée directement
RequestedAction	security_result.summary	Valeur copiée directement si OperationResult =~ "Granted" ou "Denied"
AttributeName	target.resource.name	Valeur copiée directement si AttributeName != "" et AttributeName != "isDeleted"
ClassName	target.resource.resource_subtype	Valeur copiée directement
OriginatingUsers	target.user.userid	La valeur est copiée directement si OperationType == "LoginADSM".

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.