Vectra Stream-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Vectra Stream-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Schlüssel/Wert-Paare aus Vectra Stream-Logs, normalisiert verschiedene Felder in ein einheitliches Datenmodell (Unified Data Model, UDM) und ordnet Logtypen bestimmten UDM-Ereignistypen zu. Es werden sowohl JSON- als auch Syslog-formatierte Logs verarbeitet. Dabei werden fehlerhafte Nachrichten verworfen und die Daten werden anhand bestimmter Feldwerte mit zusätzlichem Kontext angereichert.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Ein Windows 2016- oder höher- oder Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Vectra-Benutzeroberfläche
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'VECTRA_STREAM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<CUSTOMER_ID>durch die tatsächliche Kunden-ID. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Vectra Stream für das Senden von Syslog konfigurieren
- Melden Sie sich in der Vectra-UI (Brain) an.
- Rufen Sie die Einstellungen > Benachrichtigungen auf.
- Gehen Sie zum Abschnitt Syslog.
- Klicken Sie auf Bearbeiten, um die Syslog-Konfiguration hinzuzufügen oder zu bearbeiten.
- Geben Sie die folgenden Konfigurationsdetails an:
- Ziel: Geben Sie die IP-Adresse des BindPlane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein.
- Protokoll: Wählen Sie UDP oder TCP entsprechend Ihrer tatsächlichen Bindplane-Agent-Konfiguration aus.
- Format: Wählen Sie JSON aus.
- Log-Typen: Wählen Sie die Logs aus, die Sie an Google SecOps senden möchten.
- Klicken Sie auf Speichern.
- Klicken Sie auf Testen, um die Konfiguration zu testen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AA | network.dns.authoritative | Aus Stringwert in booleschen Wert konvertiert. |
| account_session_id | network.session_id | Direkte Zuordnung |
| account_session_time | network.session_duration | In einen Zeitstempel aus UNIX-Sekunden konvertiert. |
| Antworten | network.dns.answers.data | Direkte Zuordnung |
| assigned_ip | network.dhcp.yiaddr | Direkte Zuordnung |
| beacon_type | metadata.description | Direkte Zuordnung |
| beacon_uid | network.session_id | Direkte Zuordnung |
| calling_station_id | intermediary.asset.product_object_id | Direkte Zuordnung |
| certificate.issuer | network.tls.client.certificate.issuer | Direkte Zuordnung |
| certificate.not_valid_after | network.tls.client.certificate.not_after | Je nach Format in einen Zeitstempel aus UNIX oder UNIX_MS konvertiert. |
| certificate.not_valid_before | network.tls.client.certificate.not_before | Je nach Format in einen Zeitstempel aus UNIX oder UNIX_MS konvertiert. |
| certificate.serial | network.tls.client.certificate.serial | Direkte Zuordnung |
| certificate.subject | network.tls.client.certificate.subject | Direkte Zuordnung |
| certificate.version | network.tls.client.certificate.version | Direkte Zuordnung |
| Chiffre | network.tls.cipher | Direkte Zuordnung |
| cipher_alg | network.tls.cipher | Direkte Zuordnung |
| Client | principal.application | Direkte Zuordnung |
| client_cipher | network.tls.client.supported_ciphers | Direkte Zuordnung |
| community_id | network.community_id | Direkte Zuordnung |
| compression_alg | additional.fields.value.string_value | Wird zusätzlichen Feldern mit dem Schlüssel „compression_alg“ hinzugefügt. |
| connect_info | security_result.description | Direkte Zuordnung |
| conn_state | metadata.description | Wird basierend auf dem Wert von „conn_state“ einer Beschreibung zugeordnet. |
| Keks | target.user.userid | Direkte Zuordnung |
| Kurve | network.tls.curve | Direkte Zuordnung |
| dhcp_server_ip | network.dhcp.giaddr | Direkte Zuordnung |
| dns_server_ips | principal.ip | Jede IP-Adresse im Array wird dem Array „principal.ip“ hinzugefügt. |
| Domain | target.domain.name | Direkte Zuordnung |
| dst_display_name | target.hostname, target.asset.hostname | Direkte Zuordnung |
| dst_luid | target.asset.product_object_id | Direkte Zuordnung |
| Dauer | network.session_duration.seconds | Aus dem Stringwert in eine Ganzzahl konvertiert. |
| endpoint | principal.application | Direkte Zuordnung |
| etabliert | network.tls.established | Aus Stringwert in booleschen Wert konvertiert. |
| Host | target.hostname, target.asset.hostname | Der Hostname wurde aus dem Feld „host“ extrahiert. |
| host_key | additional.fields.value.string_value | Wurde zusätzlichen Feldern mit dem Schlüssel „host_key“ hinzugefügt. |
| host_key_alg | additional.fields.value.string_value | Wurde zusätzlichen Feldern mit dem Schlüssel „host_key_alg“ hinzugefügt. |
| host_multihomed | additional.fields.value.string_value | Wird zusätzlichen Feldern mit dem Schlüssel „host_multihomed“ und dem Wert „subnet %{host_multihomed}“ hinzugefügt. |
| Hostname | target.hostname, target.asset.hostname | Direkte Zuordnung |
| id.orig_h | principal.ip | Direkte Zuordnung |
| id.orig_p | principal.port | Aus dem Stringwert in eine Ganzzahl konvertiert. |
| id.resp_h | target.ip, target.asset.ip | Direkte Zuordnung |
| id.resp_p | target.port | Aus dem Stringwert in eine Ganzzahl konvertiert. |
| issuer | network.tls.client.certificate.issuer | Direkte Zuordnung |
| ja3 | network.tls.client.ja3 | Direkte Zuordnung |
| ja3s | network.tls.server.ja3s | Direkte Zuordnung |
| kex_alg | additional.fields.value.string_value | Wird zusätzlichen Feldern mit dem Schlüssel „kex_alg“ hinzugefügt. |
| lease_time | network.dhcp.lease_time_seconds | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| log_type | metadata.log_type | Direkte Zuordnung |
| mac | principal.mac | Direkte Zuordnung |
| mac_alg | additional.fields.value.string_value | Wird zusätzlichen Feldern mit dem Schlüssel „mac_alg“ hinzugefügt. |
| mail_from | network.email.from | Direkte Zuordnung |
| metadata_type | metadata.product_event_type | Direkte Zuordnung |
| Methode | network.http.method | Direkte Zuordnung |
| Name | target.file.full_path | Direkte Zuordnung |
| nas_identifier | target.user.attribute.roles.name | Direkte Zuordnung |
| next_protocol | network.tls.next_protocol | Direkte Zuordnung |
| orig_hostname | principal.hostname | Direkte Zuordnung |
| orig_ip_bytes | network.sent_bytes | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| orig_sluid | principal.hostname | Direkte Zuordnung |
| Pfad | target.file.full_path | Direkte Zuordnung |
| Proto | network.ip_protocol | Wird anhand des numerischen Werts dem Namen des IP-Protokolls zugeordnet. |
| per Proxy | principal.ip | Wenn der Wert eine IP-Adresse ist, wird er dem Array „principal.ip“ hinzugefügt. |
| qclass | network.dns.questions.class | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| qclass_name | network.dns.questions.name | Direkte Zuordnung |
| Abfrage | network.dns.questions.name, principal.process.command_line | Direkte Zuordnung |
| qtype | network.dns.questions.type | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| RA | network.dns.recursion_available | Aus Stringwert in booleschen Wert konvertiert. |
| radius_type | metadata.description | Direkte Zuordnung |
| rcode | network.dns.response_code | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| RD | network.dns.recursion_desired | Aus Stringwert in booleschen Wert konvertiert. |
| rcpt_to | network.email.reply_to, network.email.to | Die erste E-Mail-Adresse wird „reply_to“ zugeordnet, die restlichen werden dem Array „to“ hinzugefügt. |
| referrer | network.http.referral_url | Direkte Zuordnung |
| resp_domain | target.domain.name | Direkte Zuordnung |
| resp_hostname | target.hostname, target.asset.hostname | Direkte Zuordnung |
| resp_ip_bytes | network.received_bytes | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| resp_mime_types | target.file.mime_type | Direkte Zuordnung |
| Ergebnis | security_result.description | Direkte Zuordnung |
| result_code | security_result.action_details | Direkte Zuordnung |
| rtt | network.session_duration.seconds | Aus dem Stringwert in eine Ganzzahl konvertiert. |
| security_result | security_result | Mit einem vorhandenen security_result-Objekt zusammengeführt. |
| sensor_uid | observer.asset_id | Formatiert als „Sensor_UID:%{sensor_uid}“. |
| Server | target.application | Direkte Zuordnung |
| server_name | network.tls.client.server_name | Direkte Zuordnung |
| Dienst | target.application | Direkte Zuordnung |
| src_display_name | principal.hostname | Direkte Zuordnung |
| src_luid | principal.asset.product_object_id | Direkte Zuordnung |
| Status | security_result.summary | Direkte Zuordnung |
| status_code | network.http.response_code | Aus dem Stringwert in eine Ganzzahl konvertiert. |
| status_msg | security_result.summary | Direkte Zuordnung |
| subject | network.email.subject | Direkte Zuordnung |
| Erfolgreich | security_result.action | Wird bei „true“ auf „ALLOW“ und bei „false“ auf „BLOCK“ abgebildet. |
| TC | network.dns.truncated | Aus Stringwert in booleschen Wert konvertiert. |
| trans_id | network.dhcp.transaction_id, network.dns.id | Aus dem Stringwert in eine vorzeichenlose Ganzzahl konvertiert. |
| ts | metadata.event_timestamp | In Zeitstempel aus verschiedenen Formaten konvertiert. |
| uid | metadata.product_log_id | Direkte Zuordnung |
| uri | target.url | Direkte Zuordnung |
| user_agent | network.http.user_agent | Direkte Zuordnung |
| Nutzername | principal.user.userid | Direkte Zuordnung |
| Version | network.tls.version, principal.platform_version | Direkte Zuordnung |
| version_num | network.tls.version_protocol | Direkte Zuordnung |
| metadata.event_type | Wird durch die Parserlogik basierend auf den Log- und Metadatentypen bestimmt. | |
| metadata.vendor_name | Fest codierter Wert: „Vectra“. | |
| metadata.product_name | Fest codierter Wert: „Vectra Stream“. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten