Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log DSP di Semperis

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Semperis Directory Services Protector (DSP) in Google Security Operations utilizzando l'agente Bindplane.

Semperis Directory Services Protector (DSP) è una piattaforma di rilevamento e risposta alle minacce di Active Directory che monitora le modifiche e gli attacchi ad AD, fornendo avvisi in tempo reale e correzione automatizzata. Il parser estrae i campi dalle voci di log DSP e li mappa al modello di dati unificato (UDM), acquisendo modifiche agli oggetti AD, eventi di autenticazione, modifiche DNS e risultati di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Semperis DSP
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla console di gestione Semperis DSP con autorizzazioni di amministratore

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/semperis_dsp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SEMPERIS_DSP
        raw_log_field: body

service:
    pipelines:
        logs/semperis_dsp:
            receivers:
                - tcplog
            exporters:
                - chronicle/semperis_dsp

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- tcplog: Il tipo di ricevitore in base al protocollo:
  - udplog per UDP Syslog
  - tcplog per TCP syslog
  - syslog per syslog RFC 3164/5424
- 0.0.0.0: indirizzo IP su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - Indirizzo IP specifico da ascoltare su un'interfaccia
- 514: numero di porta su cui ascoltare (ad esempio, 514, 1514, 6514)
Configurazione dell'esportatore:
- <customer_id>: l'ID cliente del passaggio precedente
- malachiteingestion-pa.googleapis.com: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, vedi Endpoint regionali.
- Modifica creds_file_path a seconda della piattaforma:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog DSP di Semperis

Accedi alla console di gestione Semperis DSP.
Vai a Impostazioni > Integrazione SIEM.
Attiva l'inoltro di Syslog.
Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci 514 (deve corrispondere alla porta del ricevitore Bindplane).
- Protocollo: seleziona TCP (deve corrispondere al tipo di ricevitore Bindplane).
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
event_type	extensions.auth.type	Imposta su "SSO" se ObjectModificationType == "LoginADSM"
host	intermediary.hostname	Valore copiato direttamente
ObjectModificationType	metadata.description	Valore copiato direttamente
event_type	metadata.event_type	Impostato su RESOURCE_CREATION se ObjectModificationType == "CreateObject" e OriginatingUsers != ""; RESOURCE_WRITTEN se ObjectModificationType == "ModifyObject" e OriginatingUsers != "" e AttributeName contiene "Password"; RESOURCE_WRITTEN se ObjectModificationType == "ModifyObject" e OriginatingUsers != ""; RESOURCE_DELETION se ObjectModificationType == "DeleteObject" e OriginatingUsers != ""; USER_LOGIN se ObjectModificationType == "LoginADSM" e OriginatingUsers != ""; RESOURCE_WRITTEN se ObjectModificationType == "OperationRequest" e OriginatingUsers != ""; STATUS_UPDATE se principal_present == "true"; USER_UNCATEGORIZED se principal_user_present == "true"; altrimenti GENERIC_EVENT
	metadata.product_name	Imposta il valore su "SEMPERIS_DSP"
	metadata.vendor_name	Impostato su "SEMPERIS"
StringValueFrom	network.dns.answers.data	Valore copiato subito dopo la pulizia
NameNode	network.dns.answers.name	Valore copiato direttamente
Ttl	network.dns.answers.ttl	Valore copiato direttamente, convertito in uinteger
Tipo	network.dns.answers.type	Impostato su "1" se Type =~ "DNS_TYPE_A"; "12" se Type =~ "DNS_TYPE_PTR", convertito in uinteger
OriginatingServer	principal.asset.hostname	Valore copiato direttamente
ip	principal.asset.ip	Valore copiato direttamente dopo la convalida e la pulizia
OriginatingServer	principal.hostname	Valore copiato direttamente
ip	principal.ip	Valore copiato direttamente dopo la convalida e la pulizia
DistinguishedName	principal.user.group_identifiers	Valore unito direttamente
ForestId	principal.user.product_object_id	Valore copiato direttamente
OriginatingUsers	principal.user.userid	Valore copiato direttamente se OperationType != "LoginADSM"
security_action	security_result.action	Valore copiato direttamente
RequestedAction	security_result.summary	Valore copiato direttamente se OperationResult =~ "Granted" o "Denied"
AttributeName	target.resource.name	Valore copiato direttamente se AttributeName != "" e AttributeName != "isDeleted"
ClassName	target.resource.resource_subtype	Valore copiato direttamente
OriginatingUsers	target.user.userid	Valore copiato direttamente se OperationType == "LoginADSM"

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.