Vectra Stream 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane을 사용하여 Vectra Stream 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 Vectra Stream 로그에서 키-값 쌍을 추출하고, 다양한 필드를 통합 데이터 모델 (UDM)로 정규화하고, 로그 유형을 특정 UDM 이벤트 유형에 매핑합니다. JSON 및 syslog 형식 로그를 모두 처리하여 형식이 잘못된 메시지를 삭제하고 특정 필드 값을 기반으로 추가 컨텍스트를 사용하여 데이터를 보강합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
systemd이 설치된 Windows 2016 이상 또는 Linux 호스트
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Vectra UI에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'VECTRA_STREAM'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<CUSTOMER_ID>를 실제 고객 ID로 바꿉니다.
Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog를 전송하도록 Vectra Stream 구성

Vectra (브레인) UI에 로그인합니다.
설정 > 알림으로 이동합니다.
Syslog 섹션으로 이동합니다.
수정을 클릭하여 Syslog 구성을 추가하거나 수정합니다.
다음 구성 세부정보를 제공합니다.
- 대상: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: Bindplane 에이전트 포트 번호를 입력합니다.
- 프로토콜: 실제 Bindplane 에이전트 구성에 따라 UDP 또는 TCP를 선택합니다.
- 형식: JSON을 선택합니다.
- 로그 유형: Google SecOps로 전송할 로그를 선택합니다.
저장을 클릭합니다.
테스트를 클릭하여 구성을 테스트합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
AA	network.dns.authoritative	문자열 값에서 불리언으로 변환됩니다.
account_session_id	network.session_id	직접 매핑
account_session_time	network.session_duration	UNIX 초에서 타임스탬프로 변환되었습니다.
답변	network.dns.answers.data	직접 매핑
assigned_ip	network.dhcp.yiaddr	직접 매핑
beacon_type	metadata.description	직접 매핑
beacon_uid	network.session_id	직접 매핑
calling_station_id	intermediary.asset.product_object_id	직접 매핑
certificate.issuer	network.tls.client.certificate.issuer	직접 매핑
certificate.not_valid_after	network.tls.client.certificate.not_after	형식에 따라 UNIX 또는 UNIX_MS에서 타임스탬프로 변환됩니다.
certificate.not_valid_before	network.tls.client.certificate.not_before	형식에 따라 UNIX 또는 UNIX_MS에서 타임스탬프로 변환됩니다.
certificate.serial	network.tls.client.certificate.serial	직접 매핑
certificate.subject	network.tls.client.certificate.subject	직접 매핑
certificate.version	network.tls.client.certificate.version	직접 매핑
암호	network.tls.cipher	직접 매핑
cipher_alg	network.tls.cipher	직접 매핑
클라이언트	principal.application	직접 매핑
client_cipher	network.tls.client.supported_ciphers	직접 매핑
community_id	network.community_id	직접 매핑
compression_alg	additional.fields.value.string_value	'compression_alg' 키가 있는 추가 필드에 추가되었습니다.
connect_info	security_result.description	직접 매핑
conn_state	metadata.description	conn_state 값을 기반으로 설명에 매핑됩니다.
쿠키	target.user.userid	직접 매핑
곡선	network.tls.curve	직접 매핑
dhcp_server_ip	network.dhcp.giaddr	직접 매핑
dns_server_ips	principal.ip	배열의 각 IP가 principal.ip 배열에 추가됩니다.
도메인	target.domain.name	직접 매핑
dst_display_name	target.hostname, target.asset.hostname	직접 매핑
dst_luid	target.asset.product_object_id	직접 매핑
기간	network.session_duration.seconds	문자열 값에서 정수로 변환됩니다.
endpoint	principal.application	직접 매핑
설정됨	network.tls.established	문자열 값에서 불리언으로 변환됩니다.
호스트	target.hostname, target.asset.hostname	'host' 필드에서 호스트 이름을 추출했습니다.
host_key	additional.fields.value.string_value	'host_key' 키가 있는 추가 필드에 추가되었습니다.
host_key_alg	additional.fields.value.string_value	'host_key_alg' 키가 있는 추가 필드에 추가됩니다.
host_multihomed	additional.fields.value.string_value	키가 'host_multihomed'이고 값이 'subnet %{host_multihomed}'인 추가 필드에 추가되었습니다.
호스트 이름	target.hostname, target.asset.hostname	직접 매핑
id.orig_h	principal.ip	직접 매핑
id.orig_p	principal.port	문자열 값에서 정수로 변환됩니다.
id.resp_h	target.ip, target.asset.ip	직접 매핑
id.resp_p	target.port	문자열 값에서 정수로 변환됩니다.
issuer	network.tls.client.certificate.issuer	직접 매핑
ja3	network.tls.client.ja3	직접 매핑
ja3s	network.tls.server.ja3s	직접 매핑
kex_alg	additional.fields.value.string_value	키가 'kex_alg'인 추가 필드에 추가되었습니다.
lease_time	network.dhcp.lease_time_seconds	문자열 값에서 부호 없는 정수로 변환됩니다.
log_type	metadata.log_type	직접 매핑
mac	principal.mac	직접 매핑
mac_alg	additional.fields.value.string_value	키가 'mac_alg'인 추가 필드에 추가되었습니다.
mail_from	network.email.from	직접 매핑
metadata_type	metadata.product_event_type	직접 매핑
method	network.http.method	직접 매핑
name	target.file.full_path	직접 매핑
nas_identifier	target.user.attribute.roles.name	직접 매핑
next_protocol	network.tls.next_protocol	직접 매핑
orig_hostname	principal.hostname	직접 매핑
orig_ip_bytes	network.sent_bytes	문자열 값에서 부호 없는 정수로 변환됩니다.
orig_sluid	principal.hostname	직접 매핑
경로	target.file.full_path	직접 매핑
proto	network.ip_protocol	숫자 값을 기반으로 IP 프로토콜 이름에 매핑됩니다.
프록시 처리됨	principal.ip	값이 IP 주소인 경우 principal.ip 배열에 추가됩니다.
qclass	network.dns.questions.class	문자열 값에서 부호 없는 정수로 변환됩니다.
qclass_name	network.dns.questions.name	직접 매핑
query	network.dns.questions.name, principal.process.command_line	직접 매핑
qtype	network.dns.questions.type	문자열 값에서 부호 없는 정수로 변환됩니다.
RA	network.dns.recursion_available	문자열 값에서 불리언으로 변환됩니다.
radius_type	metadata.description	직접 매핑
rcode	network.dns.response_code	문자열 값에서 부호 없는 정수로 변환됩니다.
RD	network.dns.recursion_desired	문자열 값에서 불리언으로 변환됩니다.
rcpt_to	network.email.reply_to, network.email.to	첫 번째 이메일 주소는 reply_to에 매핑되고 나머지는 to 배열에 추가됩니다.
referrer	network.http.referral_url	직접 매핑
resp_domain	target.domain.name	직접 매핑
resp_hostname	target.hostname, target.asset.hostname	직접 매핑
resp_ip_bytes	network.received_bytes	문자열 값에서 부호 없는 정수로 변환됩니다.
resp_mime_types	target.file.mime_type	직접 매핑
결과	security_result.description	직접 매핑
result_code	security_result.action_details	직접 매핑
rtt	network.session_duration.seconds	문자열 값에서 정수로 변환됩니다.
security_result	security_result	기존 security_result 객체와 병합되었습니다.
sensor_uid	observer.asset_id	'Sensor_UID:%{sensor_uid}'로 형식이 지정됩니다.
서버	target.application	직접 매핑
server_name	network.tls.client.server_name	직접 매핑
서비스	target.application	직접 매핑
src_display_name	principal.hostname	직접 매핑
src_luid	principal.asset.product_object_id	직접 매핑
상태	security_result.summary	직접 매핑
status_code	network.http.response_code	문자열 값에서 정수로 변환됩니다.
status_msg	security_result.summary	직접 매핑
subject	network.email.subject	직접 매핑
성공	security_result.action	true인 경우 'ALLOW'에, false인 경우 'BLOCK'에 매핑됩니다.
TC	network.dns.truncated	문자열 값에서 불리언으로 변환됩니다.
trans_id	network.dhcp.transaction_id, network.dns.id	문자열 값에서 부호 없는 정수로 변환됩니다.
ts	metadata.event_timestamp	다양한 형식에서 타임스탬프로 변환되었습니다.
uid	metadata.product_log_id	직접 매핑
uri	target.url	직접 매핑
user_agent	network.http.user_agent	직접 매핑
사용자 이름	principal.user.userid	직접 매핑
version	network.tls.version, principal.platform_version	직접 매핑
version_num	network.tls.version_protocol	직접 매핑
	metadata.event_type	로그 및 메타데이터 유형에 따라 파서 로직에 의해 결정됩니다.
	metadata.vendor_name	하드코딩된 값: 'Vectra'
	metadata.product_name	하드코딩된 값: 'Vectra Stream'

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.