Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

uberAgent-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie uberAgent-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

uberAgent ist eine Plattform für die Endpunktsicherheitsanalyse und die Überwachung der Nutzererfahrung für Windows und macOS. Sie erfasst Telemetriedaten, einschließlich Prozessereignissen, Anmeldeereignissen, Netzwerkverbindungen und Anwendungsnutzung auf überwachten Endpunkten.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und den uberAgent-Endpunkten
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agent geöffnet sein.
Privilegierter Zugriff auf die uberAgent-Verwaltungskonsole oder die Endpunkte, auf denen uberAgent installiert ist

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

**Hinweis**: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agent bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

**Hinweis**: Die Kundennummer ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie im Installationsleitfaden für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Logs aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    filelog:
        include:
            - 'C:\uberAgent\logs\*.log'
            - 'C:\uberAgent\logs\*.csv'
        start_at: beginning
        poll_interval: 5s

exporters:
    chronicle/uberagent:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: UBERAGENT
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/uberagent_to_chronicle:
            receivers:
                - filelog
            exporters:
                - chronicle/uberagent

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- include: Pfade zu uberAgent-Logdateien:
  - Windows (lokal): C:\uberAgent\logs\*.log und C:\uberAgent\logs\*.csv
  - Windows (Dateifreigabe): \\SERVER\Share\uberagent-logs\*.log
  - Passen Sie den Pfad entsprechend Ihrer Konfiguration der uberAgent-Dateiausgabe an.
- start_at: Legen Sie beginning fest, um vorhandene Logs zu lesen, oder end, um nur neue Einträge zu lesen.
- poll_interval: Wie oft nach neuen Logdaten gesucht werden soll (Standard: 5s)
Exporter-Konfiguration :
- uberagent: Beschreibender Name für den Exporter
- creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: Kundennummer aus dem vorherigen Schritt
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Vollständige Liste unter Regionale Endpunkte
- UBERAGENT: Logtyp genau so, wie er in Chronicle angezeigt wird
- ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production)
Pipelinekonfiguration :
- uberagent_to_chronicle: Beschreibender Name für die Pipeline

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienste-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

uberAgent-Dateiausgabe konfigurieren

uberAgent unterstützt mehrere Ausgabebackends. So exportieren Sie Daten als Dateien zur Erfassung durch den Bindplane-Agent:

Öffnen Sie die uberAgent-Konfigurationsdatei (uberAgent.conf) auf dem Endpunkt oder über die Gruppenrichtlinie.
Konfigurieren Sie einen dateibasierten Ausgabempfänger:
```
[Receiver]
Name = FileOutput
Type = File
Path = C:\uberAgent\logs\
```
Hinweis: Ersetzen Sie C:\uberAgent\logs\` with the desired output path. For centralized collection, use a network file share path such as\SERVER\Share\uberagent-logs`. uberAgent gibt Daten standardmäßig im CSV-Format aus.
Konfigurieren Sie die zu exportierenden Messwerte und Quelltypen:
- Prozess: Prozessstart-/stopp-Ereignisse, Ressourcennutzung.
- Anmeldung: Ereignisse zur Nutzeranmeldung und ‑abmeldung.
- Netzwerk: Ereignisse zur Netzwerkverbindung.
- Anwendung: Anwendungsnutzung und ‑fehler.
Speichern Sie die Konfiguration und starten Sie den uberAgent-Dienst neu.
Prüfen Sie, ob im konfigurierten Ausgabeverzeichnis Logdateien erstellt werden.
Achten Sie darauf, dass der Bindplane-Agent Leseberechtigungen für das Logverzeichnis und die Logdateien hat.

Hinweis: Detaillierte Konfigurationsoptionen finden Sie in der uberAgent-Dokumentation.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
SessionRpLatencyMs2, SessionHRes, SessionVRes, SessionColorDepth, SessionClientPlatform, SessionClientVersion, SessionClientOsLanguage, SessionPublishedName, SessionPublishedAppsCtx, SessionAppStateCtx, SessionEncryptionCtx, SessionClientTypeCtx, SessionBrokerDnsVmw, SessionBrokerUrlVmw, SessionBrokerTunneledVmw, SessionBrokerTunnelUrlVmw, SessionBrokerRemoteIpVmw, SessionBrokerUserVmw, SessionBrokerDomainVmw, SessionClientTimezoneVmw, SessionClientIdVmw, SessionTypeVmw, SessionBrokerType, SessionFgAppId, SessionFgAppVersion, SessionFgProcessName, SessionFgProcessId, SessionFgBrowserType, SessionFgBrowserActiveTabHost, SessionFgWindowTitle, SessionClientHwIdCtx2, SessionRoundTripTimeMs, SessionFps, SessionTransportProtocols, SessionProcessCount, SessionIOMB, SessionCPUTimeMs, SessionConnectionState, SessionUser, SessionIOCount, SessionNetKBPS, SessionWorkingSetMB, SessionCPUUsagePercent, SessionIOPS, SessionClientName, SessionIOLatencyMs, PowerSupportsS3, IsBatteryPresent, PowerSupportsS1, PowerSupportsS2, PowerSupportsS5, CPUMaxMhz, BaseboardSerial, CtxMachineCatalogName, AdDomainDns, HwHypervisorVendor, OsBuild, HwBiosVersion, PowerSupportsS4, HwIsVirtualMachine, IsUpsPresent, PowerSupportsConnectedStandby, OsInstallDate, Sourcetype, uberagent_index_name, data_stream.namespace, data_stream.dataset, data_stream.type, data_stream.subset, CPUCoresLogical, AdOu, AdDomainNetBios, logstash_pipeline, AdSite, CtxFarmName, CPUSockets, OsSpName, OsName, OsType, OsUpdateBuildRevision, ComputerNameCanonical, ComputerNameDn, CtxDeliveryGroupName, tags, user_agent.original	additional.fields	Aus den aufgeführten Feldern als Schlüssel/Wert-Paare zusammengeführt
	metadata.event_type	Auf STATUS_UPDATE festgelegt, wenn has_principal „true“ und has_target „false“ ist, auf NETWORK_CONNECTION, wenn beides „true“ ist, und andernfalls auf GENERIC_EVENT
SessionGUID	metadata.product_log_id	Wert direkt kopiert
user_agent.original	network.http.parsed_user_agent	In geparsten User-Agent konvertiert
user_agent.original	network.http.user_agent	Wert direkt kopiert
SessionTransportProtocols	network.ip_protocol	Auf UDP festgelegt, wenn (?i)udp übereinstimmt, auf TCP, wenn (?i)tcp übereinstimmt
SessionID	network.session_id	Wert direkt kopiert
SessionClientUserDomain	principal.administrative_domain	Wert direkt kopiert
CPUCoresPhysical, RAMSizeGB, CPUName, HwManufacturer, OsArchitecture, BIOSSerial, HwModel	principal.asset.hardware	In Hardwareobjekt zusammengeführt
SessionClientDomain, host	principal.asset.hostname	Wert aus SessionClientDomain, wenn nicht leer, andernfalls Host
prin_ip, SessionClientIp, system_ip	principal.asset.ip	Wert aus prin_ip, wenn nicht leer, andernfalls SessionClientIp, andernfalls system_ip
SessionClientDomain, host	principal.hostname	Wert aus SessionClientDomain, wenn nicht leer, andernfalls Host
prin_ip, SessionClientIp, system_ip	principal.ip	Wert aus prin_ip, wenn nicht leer, andernfalls SessionClientIp, andernfalls system_ip
SessionClientMac	principal.mac	Wert aus SessionClientMac, wobei „-“ durch „:“ ersetzt und kleingeschrieben wird
SessionClientPlatform	principal.platform	Auf WINDOWS festgelegt, wenn (?i)windows übereinstimmt
SessionClientVersion	principal.platform_version	Auf Wert festgelegt, wenn (?i)windows übereinstimmt
SessionUser, SessionClientUser	principal.user.user_display_name	Wert aus SessionUser, wenn nicht leer, andernfalls SessionClientUser
SessionBrokerRemoteIpVmw	target.ip	Wert direkt kopiert
SessionBrokerUserVmw	target.user.user_display_name	Wert direkt kopiert
SessionClientIdVmw	target.user.userid	Wert direkt kopiert
	metadata.product_name	Auf „UBERAGENT“ festgelegt
	metadata.vendor_name	Auf „UBERAGENT“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten