Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Symantec VIP Enterprise Gateway 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 代理将 Symantec VIP Enterprise Gateway 日志注入到 Google Security Operations。

Symantec VIP（验证和身份保护）企业网关是一种多重身份验证解决方案，可为身份验证事件、凭据验证、LDAP 同步和健康检查活动生成 syslog 消息。解析器会从 JSON 格式和 syslog 格式的日志中提取字段，并将这些字段映射到统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
Bindplane 代理与 Symantec VIP 网关之间的网络连接
如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
对 Symantec VIP Gateway 网页界面的管理员访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 的系统上。

注意：此 JSON 文件包含用于向 Google SecOps 验证 Bindplane 代理身份的凭据。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

注意：配置 Bindplane 代理导出器时需要客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令，验证安装是否成功：
```
sc query observiq-otel-collector
```
该服务应显示为 RUNNING。

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。
运行以下命令，验证安装是否成功：
```
sudo systemctl status observiq-otel-collector
```
该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/symantec_vip:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SYMANTEC_VIP
        raw_log_field: body

service:
    pipelines:
        logs/symantec_vip_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/symantec_vip

配置参数

替换以下占位符：

接收器配置：
- listen_address：要监听的 IP 地址和端口：
  - 0.0.0.0 侦听所有接口（推荐）
  - 端口 514 是标准 syslog 端口（在 Linux 上需要 root 权限；对于非 root 用户，请使用 1514）
导出器配置：
- creds_file_path：提取身份验证文件的完整路径：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：从 Google SecOps 控制台复制的客户 ID
- endpoint：区域端点网址：
  - 美国：malachiteingestion-pa.googleapis.com
  - 欧洲：europe-malachiteingestion-pa.googleapis.com
  - 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需查看完整列表，请参阅区域级端点

保存配置文件

修改后，保存文件：
- Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
- Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

sudo systemctl restart observiq-otel-collector

验证服务是否正在运行：

sudo systemctl status observiq-otel-collector

检查日志是否存在错误：

sudo journalctl -u observiq-otel-collector -f

如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：
- 以管理员身份运行命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服务控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。
  4. 验证服务是否正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志是否存在错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Symantec VIP Enterprise Gateway 中配置 syslog

登录 Symantec VIP Gateway 网页界面。
依次前往日志 > Syslog 配置。
如果这是您首次配置 Syslog，请在系统提示时选择是。如果已配置，请点击修改。
提供以下配置详细信息：
- Syslog Facility：选择 LOG_LOCAL0。
- Syslog 主机：输入 Bindplane 代理 IP 地址。
- Syslog 端口：输入 Bindplane 代理端口号（例如，UDP 为 514）。
点击保存。
依次前往设置 > 控制台设置。
提供以下配置详细信息：
- 日志记录级别：选择信息。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。
前往设置 > 健康检查设置。
选择是以启用健康检查服务。
提供以下配置详细信息：
- 日志记录级别：选择信息。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。
前往用户存储区 > LDAP 目录同步。
修改以下配置详细信息：
- 日志级别：选择 Info。
- Enable Syslog（启用 Syslog）：选择 Yes（是）。
点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
应用	read_only_udm.principal.application	从 json 过滤器提取的 `application` 字段中获取的值。
命令	read_only_udm.target.process.command_line	从 grok 模式提取的 `command` 字段中获取的值。
credentialType		此字段未直接映射到 UDM。它用于派生 read_only_udm.extensions.auth.mechanism 的值。
数据		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
data2		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
日期时间	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	从 `datetime` 字段中提取的自纪元以来的秒数和纳秒数。
降序	read_only_udm.metadata.description	从 json 过滤器提取的 `desc` 字段中获取的值。
说明	read_only_udm.security_result.description	从 json 过滤器提取的 `description` 字段中获取的值。
filename	read_only_udm.target.process.file.full_path	从 grok 模式提取的 `filename` 字段中获取的值。
主机名	read_only_udm.principal.hostname	从 json 过滤器提取的 `hostname` 字段中获取的值。
host_name	read_only_udm.intermediary.hostname	从 json 过滤器提取的 `host_name` 字段中获取的值。
log_level		此字段未直接映射到 UDM。用于派生 read_only_udm.security_result.severity 的值。
log_type	read_only_udm.metadata.product_event_type	从 json 过滤器提取的 `log_type` 字段中获取的值。
msg		此字段未直接映射到 UDM。系统会解析该字段以提取其他字段。
操作	read_only_udm.security_result.summary	从 grok 模式提取的 `operation` 字段中获取的值。
processid	read_only_udm.target.process.pid	从 grok 模式提取的 `processid` 字段中获取的值。
产品	read_only_udm.metadata.product_name	从 json 过滤器提取的 `product` 字段中获取的值。
reason	read_only_udm.metadata.description	从 grok 模式提取的 `reason` 字段中获取的值。
request_id	read_only_udm.target.resource.id	从 grok 模式提取的 `request_id` 字段中获取的值。
src_ip	read_only_udm.principal.ip	从 grok 模式提取的 `src_ip` 字段中获取的值。
状态	read_only_udm.metadata.description	从 grok 模式提取的 `status` 字段中获取的值。
摘要	read_only_udm.security_result.summary	从 json 过滤器提取的 `summary` 字段中获取的值。
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	自原始日志时间戳以来的纳秒数。
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	与原始日志时间戳相差的秒数。
时间		此字段未直接映射到 UDM。它用于派生 read_only_udm.metadata.event_timestamp.seconds 和 read_only_udm.metadata.event_timestamp.nanos 的值。
用户	read_only_udm.target.user.userid	从由 JSON 过滤器或 Grok 模式提取的 `user` 字段中获取的值。
vendor	read_only_udm.metadata.vendor_name	从 json 过滤器提取的 `vendor` 字段中获取的值。
	read_only_udm.extensions.auth.mechanism	由 `credentialType` 字段确定。如果 `credentialType` 为 `SMS_OTP` 或 `STANDARD_OTP`，则使用 `OTP`。如果 `credentialType` 与正则表达式 `PASSWORD` 匹配，则使用 `USERNAME_PASSWORD`。
	read_only_udm.extensions.auth.type	如果 `reason` 字段与正则表达式 `LDAP` 匹配，则使用 `SSO`。否则，使用 `AUTHTYPE_UNSPECIFIED`。
	read_only_udm.metadata.event_type	由是否存在某些字段决定。如果 `user` 或 `processid` 不为空，则使用 `USER_LOGIN`。如果 `user` 为空，且 `src_ip` 不为空或为 `0.0.0.0`，则使用 `STATUS_UPDATE`。否则，使用 `GENERIC_EVENT`。
	read_only_udm.metadata.log_type	硬编码为 `SYMANTEC_VIP`。
	read_only_udm.security_result.action	由 `status` 字段确定。如果 `status` 为 `Authentication Success`、`GRANTED`、`Authentication Completed`、`After Services Authenticate call` 或 `CHALLENGED`，则使用 `ALLOW`。如果 `status` 为 `DENIED`、`Acces-Reject`、`Unknown Error`、`Service Unavailable` 或 `FAILED`，则使用 `BLOCK`。如果 `status` 为 `PUSH request sent for user` 或 `Trying to fetch attribute`，则使用 `QUARANTINE`。
	read_only_udm.security_result.severity	由 `log_level` 字段确定。如果 `log_level` 为 `DEBUG`、`INFO` 或 `AUDIT`，则使用 `INFORMATIONAL`。如果 `log_level` 为 `ERROR`，则使用 `ERROR`。如果 `log_level` 为 `WARNING`，则使用 `MEDIUM`。