Vectra Stream のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Vectra Stream ログを Google Security Operations に取り込む方法について説明します。パーサーは、Vectra Stream ログから Key-Value ペアを抽出し、さまざまなフィールドを統合データモデル(UDM)に正規化し、ログタイプを特定の UDM イベントタイプにマッピングします。JSON 形式と syslog 形式の両方のログを処理し、形式が正しくないメッセージを削除して、特定のフィールド値に基づいて追加のコンテキストでデータを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Vectra UI への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'VECTRA_STREAM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<CUSTOMER_ID>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog を送信するように Vectra Stream を構成する
- Vectra(brain)UI にログインします。
- [Settings] > [Notifications] に移動します。
- [Syslog] セクションに移動します。
- [編集] をクリックして、Syslog 構成を追加または編集します。
- 次の構成の詳細を指定します。
- 宛先: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します。
- プロトコル: 実際の Bindplane エージェントの構成に基づいて、[UDP] または [TCP] を選択します。
- 形式: [JSON] を選択します。
- ログタイプ: Google SecOps に送信するログを選択します。
- [保存] をクリックします。
- [テスト] をクリックして構成をテストします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| AA | network.dns.authoritative | 文字列値からブール値に変換されます。 |
| account_session_id | network.session_id | 直接マッピング。 |
| account_session_time | network.session_duration | UNIX 秒からタイムスタンプに変換されます。 |
| 回答 | network.dns.answers.data | 直接マッピング。 |
| assigned_ip | network.dhcp.yiaddr | 直接マッピング。 |
| beacon_type | metadata.description | 直接マッピング。 |
| beacon_uid | network.session_id | 直接マッピング。 |
| calling_station_id | intermediary.asset.product_object_id | 直接マッピング。 |
| certificate.issuer | network.tls.client.certificate.issuer | 直接マッピング。 |
| certificate.not_valid_after | network.tls.client.certificate.not_after | 形式に応じて UNIX または UNIX_MS からタイムスタンプに変換されます。 |
| certificate.not_valid_before | network.tls.client.certificate.not_before | 形式に応じて UNIX または UNIX_MS からタイムスタンプに変換されます。 |
| certificate.serial | network.tls.client.certificate.serial | 直接マッピング。 |
| certificate.subject | network.tls.client.certificate.subject | 直接マッピング。 |
| certificate.version | network.tls.client.certificate.version | 直接マッピング。 |
| 暗号 | network.tls.cipher | 直接マッピング。 |
| cipher_alg | network.tls.cipher | 直接マッピング。 |
| クライアント | principal.application | 直接マッピング。 |
| client_cipher | network.tls.client.supported_ciphers | 直接マッピング。 |
| community_id | network.community_id | 直接マッピング。 |
| compression_alg | additional.fields.value.string_value | キー「compression_alg」の追加フィールドに追加されます。 |
| connect_info | security_result.description | 直接マッピング。 |
| conn_state | metadata.description | conn_state の値に基づいて説明にマッピングされます。 |
| クッキー | target.user.userid | 直接マッピング。 |
| 曲線 | network.tls.curve | 直接マッピング。 |
| dhcp_server_ip | network.dhcp.giaddr | 直接マッピング。 |
| dns_server_ips | principal.ip | 配列内の各 IP が principal.ip 配列に追加されます。 |
| ドメイン | target.domain.name | 直接マッピング。 |
| dst_display_name | target.hostname、target.asset.hostname | 直接マッピング。 |
| dst_luid | target.asset.product_object_id | 直接マッピング。 |
| duration | network.session_duration.seconds | 文字列値から整数に変換されました。 |
| endpoint | principal.application | 直接マッピング。 |
| 確立済み | network.tls.established | 文字列値からブール値に変換されます。 |
| ホスト | target.hostname、target.asset.hostname | 「host」フィールドからホスト名を抽出しました。 |
| host_key | additional.fields.value.string_value | キーが「host_key」の追加フィールドに追加されます。 |
| host_key_alg | additional.fields.value.string_value | キーが「host_key_alg」の追加フィールドに追加されます。 |
| host_multihomed | additional.fields.value.string_value | キーが「host_multihomed」、値が「subnet %{host_multihomed}」の追加フィールドに追加されます。 |
| hostname | target.hostname、target.asset.hostname | 直接マッピング。 |
| id.orig_h | principal.ip | 直接マッピング。 |
| id.orig_p | principal.port | 文字列値から整数に変換されました。 |
| id.resp_h | target.ip、target.asset.ip | 直接マッピング。 |
| id.resp_p | target.port | 文字列値から整数に変換されました。 |
| issuer | network.tls.client.certificate.issuer | 直接マッピング。 |
| ja3 | network.tls.client.ja3 | 直接マッピング。 |
| ja3s | network.tls.server.ja3s | 直接マッピング。 |
| kex_alg | additional.fields.value.string_value | キー「kex_alg」の追加フィールドに追加されます。 |
| lease_time | network.dhcp.lease_time_seconds | 文字列値から符号なし整数に変換されます。 |
| log_type | metadata.log_type | 直接マッピング。 |
| mac | principal.mac | 直接マッピング。 |
| mac_alg | additional.fields.value.string_value | キー「mac_alg」の追加フィールドに追加されます。 |
| mail_from | network.email.from | 直接マッピング。 |
| metadata_type | metadata.product_event_type | 直接マッピング。 |
| method | network.http.method | 直接マッピング。 |
| name | target.file.full_path | 直接マッピング。 |
| nas_identifier | target.user.attribute.roles.name | 直接マッピング。 |
| next_protocol | network.tls.next_protocol | 直接マッピング。 |
| orig_hostname | principal.hostname | 直接マッピング。 |
| orig_ip_bytes | network.sent_bytes | 文字列値から符号なし整数に変換されます。 |
| orig_sluid | principal.hostname | 直接マッピング。 |
| パス | target.file.full_path | 直接マッピング。 |
| proto | network.ip_protocol | 数値に基づいて IP プロトコル名にマッピングされます。 |
| プロキシあり | principal.ip | 値が IP アドレスの場合、principal.ip 配列に追加されます。 |
| qclass | network.dns.questions.class | 文字列値から符号なし整数に変換されます。 |
| qclass_name | network.dns.questions.name | 直接マッピング。 |
| クエリ | network.dns.questions.name、principal.process.command_line | 直接マッピング。 |
| qtype | network.dns.questions.type | 文字列値から符号なし整数に変換されます。 |
| RA | network.dns.recursion_available | 文字列値からブール値に変換されます。 |
| radius_type | metadata.description | 直接マッピング。 |
| rcode | network.dns.response_code | 文字列値から符号なし整数に変換されます。 |
| RD | network.dns.recursion_desired | 文字列値からブール値に変換されます。 |
| rcpt_to | network.email.reply_to, network.email.to | 最初のメールアドレスは reply_to にマッピングされ、残りは to 配列に追加されます。 |
| referrer | network.http.referral_url | 直接マッピング。 |
| resp_domain | target.domain.name | 直接マッピング。 |
| resp_hostname | target.hostname、target.asset.hostname | 直接マッピング。 |
| resp_ip_bytes | network.received_bytes | 文字列値から符号なし整数に変換されます。 |
| resp_mime_types | target.file.mime_type | 直接マッピング。 |
| 結果 | security_result.description | 直接マッピング。 |
| result_code | security_result.action_details | 直接マッピング。 |
| rtt | network.session_duration.seconds | 文字列値から整数に変換されました。 |
| security_result | security_result | 既存の security_result オブジェクトと統合されます。 |
| sensor_uid | observer.asset_id | 「Sensor_UID:%{sensor_uid}」の形式でフォーマットされます。 |
| サーバー | target.application | 直接マッピング。 |
| server_name | network.tls.client.server_name | 直接マッピング。 |
| サービス | target.application | 直接マッピング。 |
| src_display_name | principal.hostname | 直接マッピング。 |
| src_luid | principal.asset.product_object_id | 直接マッピング。 |
| ステータス | security_result.summary | 直接マッピング。 |
| status_code | network.http.response_code | 文字列値から整数に変換されました。 |
| status_msg | security_result.summary | 直接マッピング。 |
| 件名 | network.email.subject | 直接マッピング。 |
| 成功 | security_result.action | true の場合は「ALLOW」、false の場合は「BLOCK」にマッピングされます。 |
| TC | network.dns.truncated | 文字列値からブール値に変換されます。 |
| trans_id | network.dhcp.transaction_id、network.dns.id | 文字列値から符号なし整数に変換されます。 |
| ts | metadata.event_timestamp | さまざまな形式からタイムスタンプに変換されます。 |
| uid | metadata.product_log_id | 直接マッピング。 |
| uri | target.url | 直接マッピング。 |
| user_agent | network.http.user_agent | 直接マッピング。 |
| ユーザー名 | principal.user.userid | 直接マッピング。 |
| version | network.tls.version、principal.platform_version | 直接マッピング。 |
| version_num | network.tls.version_protocol | 直接マッピング。 |
| metadata.event_type | ログとメタデータのタイプに基づいて、パーサーのロジックによって決定されます。 | |
| metadata.vendor_name | ハードコードされた値: 「Vectra」。 | |
| metadata.product_name | ハードコードされた値: 「Vectra Stream」。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。