收集 Vectra Detect 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Vectra Detect 日志注入到 Google Security Operations。解析器会将 SYSLOG、JSON 和 CEF 格式的日志转换为统一数据模型 (UDM)。它首先通过移除不必要的字符和字段来对数据进行归一化处理,然后使用 grok 模式从不同的日志格式中提取信息,最后将提取的字段映射到相应的 UDM 属性。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 搭载 systemd 的 Windows 2016 或更高版本或 Linux 主机
  • 如果通过代理运行,请确保防火墙端口已根据 BindPlane 代理要求打开
  • 对 Vectra 界面的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 个人资料
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'VECTRA_DETECT'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 根据您的基础架构需要替换端口和 IP 地址。
    • <CUSTOMER_ID> 替换为实际的客户 ID。
    • /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Vectra Detect 以发送 Syslog

  1. 登录 Vectra Detect 界面。
  2. 依次前往设置> 通知
  3. 前往 Syslog 部分。
  4. 点击修改可添加或修改 Syslog 配置。
    • 目的地:输入 Bindplane 代理 IP 地址。
    • 端口:输入 Bindplane 代理端口号。
    • 协议:根据实际的 Bindplane 代理配置,选择 UDPTCP
    • 格式:选择 JSON
    • 日志类型:选择要发送到 Google SecOps 的日志。
    • 选中包含增强型详细信息复选框。
  5. 在右侧,您会看到三个用于进行其他配置的切换按钮:
    • 包含已分诊的检测结果:关闭此设置后,系统不会在创建或更新已分诊的检测结果时发送 syslog 消息。
    • 在“信息”类别中包含检测结果:关闭此设置后,当创建或更新“信息”类别中的检测结果时,系统不会发送 syslog 消息。
    • 包括主机/账号得分降低:如果关闭,当威胁得分和确定性得分均降低和/或保持不变时,系统不会发送 syslog 消息。
  6. 点击保存
  7. 点击测试以测试配置。

UDM 映射表

日志字段 UDM 映射 逻辑
操作 read_only_udm.security_result.action 如果审核事件中的 [result] 为“true”或“failure”,则取自“action”字段的值。
类别 read_only_udm.security_result.category_details 值取自“category”字段。
确定性 read_only_udm.security_result.confidence 如果 [certainty] 介于 0 到 35 之间,则设置为“LOW_CONFIDENCE”。如果 [certainty] 介于 35 和 70 之间,则设置为“MEDIUM_CONFIDENCE”。如果 [certainty] 介于 70 到 100 之间,则设置为“HIGH_CONFIDENCE”。
dd_bytes_rcvd read_only_udm.network.received_bytes 值取自“dd_bytes_rcvd”字段。
dd_bytes_sent read_only_udm.network.sent_bytes 从“dd_bytes_sent”字段中获取的值。
dd_dst_dns read_only_udm.target.hostname 值取自“dd_dst_dns”字段。
dd_dst_dns read_only_udm.target.asset.hostname 值取自“dd_dst_dns”字段。
dd_dst_ip read_only_udm.target.asset.ip 值取自“dd_dst_ip”字段。
dd_dst_ip read_only_udm.target.ip 值取自“dd_dst_ip”字段。
dd_dst_port read_only_udm.target.port 取自“dd_dst_port”字段的值。
detection_id read_only_udm.metadata.product_log_id 值取自“detection_id”字段。
detection_profile.name read_only_udm.security_result.detection_fields 键为“检测配置文件名称”,值取自“detection_profile.name”字段。
detection_profile.scoringDetections read_only_udm.security_result.detection_fields 键为“detectionprofile scoringDetections{index}”,值取自“detection_profile.scoringDetections”数组中的每个元素。
detection_profile.vname read_only_udm.security_result.detection_fields 键为“detection_profile vname”,值取自“detection_profile.vname”字段。
dest_ip read_only_udm.target.asset.ip 从广告系列事件的“dest_ip”字段中获取的值。
dest_ip read_only_udm.target.ip 从广告系列事件的“dest_ip”字段中获取的值。
dest_name read_only_udm.target.asset.hostname 从广告系列事件的“dest_name”字段中获取的值。
dest_name read_only_udm.target.hostname 从广告系列事件的“dest_name”字段中获取的值。
d_type read_only_udm.additional.fields 键为“d_type”,值取自“d_type”字段。
d_type_vname read_only_udm.additional.fields 键为“d_type_vname”,值取自“d_type_vname”字段。
dvchost read_only_udm.observer.hostname 从“dvchost”字段中获取的值。
dvchost read_only_udm.principal.asset.hostname 如果 HOST 事件中的 [host_name] 为空,则取自“dvchost”字段的值。
dvchost read_only_udm.principal.hostname 如果 HOST 事件中的 [host_name] 为空,则取自“dvchost”字段的值。
headend_addr read_only_udm.observer.ip 值取自“headend_addr”字段。
headend_addr read_only_udm.principal.asset.ip 如果检测事件中的 [host_ip] 为空,则取自“headend_addr”字段。
headend_addr read_only_udm.principal.ip 如果检测事件中的 [host_ip] 为空,则取自“headend_addr”字段。
href read_only_udm.target.url 值取自“href”字段。
host_id read_only_udm.target.asset_id 在主机事件中,值为“VectraAI.DETECT:{host_id}”。
host_ip read_only_udm.principal.asset.ip 从主机和检测事件的“host_ip”字段中获取的值。
host_ip read_only_udm.principal.ip 从主机和检测事件的“host_ip”字段中获取的值。
host_name read_only_udm.principal.asset.hostname 值取自“host_name”字段。
host_name read_only_udm.principal.hostname 值取自“host_name”字段。
msg_data read_only_udm.security_result.summary 从“审核和健康状况事件”中的“msg_data”字段获取的值。
象限 read_only_udm.security_result.priority_details 值取自“quadrant”字段。
结果 read_only_udm.security_result.action 如果 [结果] 为“true”,则设置为“ALLOW”。如果 [result] 为“failure”,则在审核事件中设置为“BLOCK”。
结果 read_only_udm.security_result.detection_fields 键为“result”,值取自审核和健康状况事件中的“result”字段。
角色 read_only_udm.target.user.attribute.roles.name 从审核事件的“角色”字段中获取的值。
和程度上减少 read_only_udm.security_result.severity 如果 [威胁] 介于 0 到 20 之间,则设置为“信息”。如果 [威胁] 介于 20 到 40 之间,则设置为“低”。如果 [威胁] 介于 40 到 60 之间,则设置为“中”。如果 [威胁] 介于 60 到 80 之间,则设置为“高”。如果 [威胁] 介于 80 到 100 之间,则设置为“严重”。
和程度上减少 read_only_udm.security_result.severity_details 值取自“严重程度”字段。
source_ip read_only_udm.principal.asset.ip 从审核和健康状况事件中的“source_ip”字段获取的值。
source_ip read_only_udm.principal.ip 从审核和健康状况事件中的“source_ip”字段获取的值。
src read_only_udm.principal.asset.ip 从 CEF 事件的“src”字段中获取的值。
src read_only_udm.principal.ip 从 CEF 事件的“src”字段中获取的值。
src_ip read_only_udm.principal.asset.ip 从广告系列事件的“src_ip”字段中获取的值。
src_ip read_only_udm.principal.ip 从广告系列事件的“src_ip”字段中获取的值。
src_name read_only_udm.principal.asset.hostname 如果 [host_name] 和 [dvchost] 为空,则取自“src_name”字段的值。
src_name read_only_udm.principal.hostname 如果 [host_name] 和 [dvchost] 为空,则取自“src_name”字段的值。
威胁 read_only_udm.security_result.severity 如果 [威胁] 介于 0 到 20 之间,则设置为“信息”。如果 [威胁] 介于 20 到 40 之间,则设置为“低”。如果 [威胁] 介于 40 到 60 之间,则设置为“中”。如果 [威胁] 介于 60 到 80 之间,则设置为“高”。如果 [威胁] 介于 80 到 100 之间,则设置为“严重”。
已分类 read_only_udm.additional.fields 键为“triaged”,值取自“triaged”字段。
类型 read_only_udm.metadata.product_event_type 从健康事件的“type”字段中获取的值。
用户 read_only_udm.target.user.userid 从审核事件的“user”字段中获取的值。
vectra_timestamp read_only_udm.metadata.event_timestamp 从“vectra_timestamp”字段中获取的值。
版本 read_only_udm.metadata.product_version 从“version”字段中获取的值。
read_only_udm.metadata.event_type 如果 [msg_data] 包含“log in”,且 [user] 在审核事件中不为空,则设置为“USER_LOGIN”。
read_only_udm.metadata.event_type 在主机事件中设置为“SCAN_HOST”。
read_only_udm.metadata.event_type 如果检测事件中的 [host_ip] 不为空、[principal_present] 为 true 且 [target_present] 为 true,则设置为“NETWORK_HTTP”。
read_only_udm.metadata.event_type 如果检测事件中的 [principal_present] 为 true,则设置为“STATUS_UPDATE”。
read_only_udm.metadata.event_type 如果检测事件中的 [principal_present] 为 true 且 [target_present] 为 true,则设置为“NETWORK_CONNECTION”。
read_only_udm.metadata.event_type 如果 [event_type] 为“GENERIC_EVENT”,[principal_present] 为 true,且 [target_present] 为 true,则设置为“NETWORK_CONNECTION”。
read_only_udm.metadata.event_type 如果 [event_type] 为“GENERIC_EVENT”且 [principal_present] 为 true,则设置为“STATUS_UPDATE”。
read_only_udm.metadata.log_type 设置为“VECTRA_DETECT”。
read_only_udm.metadata.vendor_name 设置为“Vectra.AI”。
read_only_udm.metadata.product_name 设置为“DETECT”。
read_only_udm.network.application_protocol 如果 [dd_dst_port] 为 80,则设置为“HTTP”。
read_only_udm.network.application_protocol 如果 [dd_dst_port] 为 443,则设置为“HTTPS”。
read_only_udm.network.application_protocol 如果检测事件中的 [principal_present] 为 true 且 [target_present] 为 true,则设置为“UNKNOWN_APPLICATION_PROTOCOL”。
read_only_udm.network.http.method 设置为“METHOD_OTHER”。
read_only_udm.extensions.auth.type 如果 [msg_data] 在审核事件中包含“登录”,则设置为“AUTHTYPE_UNSPECIFIED”。
is_alert 如果 [triaged] 为 true,则设置为“true”。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。