Semperis DSP のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane エージェントを使用して Semperis Directory Services Protector(DSP)ログを Google Security Operations に取り込む方法について説明します。

Semperis Directory Services Protector(DSP)は、Active Directory の脅威検出および対応プラットフォームです。AD の変更と攻撃をモニタリングし、リアルタイムのアラートと自動修復を提供します。パーサーは、DSP ログエントリからフィールドを抽出し、統合データモデル(UDM)にマッピングして、AD オブジェクトの変更、認証イベント、DNS の変更、セキュリティ結果をキャプチャします。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • Bindplane エージェントと Semperis DSP サーバー間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
  • 管理者権限で Semperis DSP 管理コンソールにアクセスできる

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. 取り込み認証ファイル をダウンロードします。

  4. Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。

  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows へのインストール

  1. 管理者としてコマンド プロンプト または PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまでお待ちください。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

    サービスは RUNNING と表示されます。

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまでお待ちください。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

    サービスは active (running) と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

  • Linux:

    sudo nano /opt/observiq-otel-collector/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集する

  • config.yaml の内容を次の構成に置き換えます。

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/semperis_dsp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SEMPERIS_DSP
        raw_log_field: body

service:
    pipelines:
        logs/semperis_dsp:
            receivers:
                - tcplog
            exporters:
                - chronicle/semperis_dsp

構成パラメータ

各プレースホルダを次のように置き換えます。

  • レシーバーの構成:

    • tcplog: プロトコルに基づくレシーバーのタイプ:
      • UDP syslog の場合は udplog
      • TCP syslog の場合は tcplog
      • RFC 3164/5424 syslog の場合は syslog
    • 0.0.0.0: リッスンする IP アドレス:
      • すべてのインターフェースでリッスンする場合は 0.0.0.0(推奨)
      • 1 つのインターフェースでリッスンする特定の IP アドレス
    • 514: リッスンするポート番号(51415146514 など)

  • エクスポータの構成:

    • <customer_id>: 前の手順のお客様 ID
    • malachiteingestion-pa.googleapis.com: リージョン エンドポイント URL:
      • 米国: malachiteingestion-pa.googleapis.com
      • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
      • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 完全なリストについては、リージョン エンドポイントをご覧ください。
    • プラットフォームに応じて creds_file_path を調整します。
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

構成ファイルを保存する

  • 編集後、ファイルを保存します。
    • Linux: Ctrl+OEnterCtrl+X を押します。
    • Windows: [File > Save] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

      sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

      sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を実行する:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R を押して services.msc と入力し、Enter キーを押します。
      2. [observIQ OpenTelemetry Collector] を探します。
      3. 右クリックして [Restart] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Semperis DSP syslog 転送を構成する

  1. Semperis DSP 管理コンソールにログインします。
  2. [Settings] > [SIEM Integration] に移動します。
  3. [Syslog] 転送を有効にします。
  4. 次の構成情報を提供してください。
    • ホスト: Bindplane エージェント ホストの IP アドレス(192.168.1.100 など)を入力します。
    • ポート: 514 と入力します(Bindplane レシーバー ポートと一致する必要があります)。
    • Protocol: [TCP] を選択します(Bindplane レシーバー タイプと一致する必要があります)。
  5. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
event_type extensions.auth.type ObjectModificationType == "LoginADSM" の場合は「SSO」に設定
ホスト intermediary.hostname 値を直接コピー
ObjectModificationType metadata.description 値を直接コピー
event_type metadata.event_type ObjectModificationType == "CreateObject" かつ OriginatingUsers != "" の場合は RESOURCE_CREATION に設定。ObjectModificationType == "ModifyObject" かつ OriginatingUsers != "" かつ AttributeName に「Password」が含まれている場合は RESOURCE_WRITTEN に設定。ObjectModificationType == "ModifyObject" かつ OriginatingUsers != "" の場合は RESOURCE_WRITTEN に設定。ObjectModificationType == "DeleteObject" かつ OriginatingUsers != "" の場合は RESOURCE_DELETION に設定。ObjectModificationType == "LoginADSM" かつ OriginatingUsers != "" の場合は USER_LOGIN に設定。ObjectModificationType == "OperationRequest" かつ OriginatingUsers != "" の場合は RESOURCE_WRITTEN に設定。principal_present == "true" の場合は STATUS_UPDATE に設定。principal_user_present == "true" の場合は USER_UNCATEGORIZED に設定。それ以外の場合は GENERIC_EVENT に設定
metadata.product_name 「SEMPERIS_DSP」に設定
metadata.vendor_name 「SEMPERIS」に設定
StringValueFrom network.dns.answers.data クリーンアップ後に値を直接コピー
NameNode network.dns.answers.name 値を直接コピー
Ttl network.dns.answers.ttl 値を直接コピーして uinteger に変換
タイプ network.dns.answers.type Type =~ "DNS_TYPE_A" の場合は「1」に設定。Type =~ "DNS_TYPE_PTR" の場合は「12」に設定して uinteger に変換
OriginatingServer principal.asset.hostname 値を直接コピー
ip principal.asset.ip 検証とクリーンアップ後に値を直接コピー
OriginatingServer principal.hostname 値を直接コピー
ip principal.ip 検証とクリーンアップ後に値を直接コピー
DistinguishedName principal.user.group_identifiers 値を直接マージ
ForestId principal.user.product_object_id 値を直接コピー
OriginatingUsers principal.user.userid OperationType != "LoginADSM" の場合は値を直接コピー
security_action security_result.action 値を直接コピー
RequestedAction security_result.summary OperationResult =~ "Granted" または "Denied" の場合は値を直接コピー
AttributeName target.resource.name AttributeName != "" かつ AttributeName != "isDeleted" の場合は値を直接コピー
ClassName target.resource.resource_subtype 値を直接コピー
OriginatingUsers target.user.userid OperationType == "LoginADSM" の場合は値を直接コピー

変更履歴

このパーサーの変更履歴を表示する

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。