Raccogliere i log di tensione
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log di Voltage SecureMail in Google Security Operations utilizzando l'agente Bindplane.
Voltage SecureMail è una piattaforma di crittografia delle email che genera messaggi syslog per eventi di crittografia/decrittografia delle email, applicazione dei criteri e azioni amministrative.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server Voltage SecureMail
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso privilegiato alla console di gestione di Voltage SecureMail
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/voltage: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VOLTAGE raw_log_field: body service: pipelines: logs/voltage_to_chronicle: receivers: - udplog exporters: - chronicle/voltage
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: Indirizzo IP e porta da ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- La porta
514è la porta syslog standard (richiede l'accesso root su Linux; utilizza1514per l'accesso non root)
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente copiato dalla console Google SecOpsendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configurare Syslog in Voltage SecureMail
- Accedi alla console di gestione di Voltage SecureMail.
- Vai a Sistema > Impostazioni Syslog.
- Fornisci i seguenti dettagli di configurazione:
- Indirizzo server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci
514. - Protocollo: seleziona UDP.
- Struttura: seleziona la struttura syslog appropriata.
- Livello di log: seleziona il livello di log che preferisci.
- Fai clic su Salva.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
attemptedAuthMethods_label |
additional.fields |
Unita |
authTokens_label |
additional.fields |
Unita |
elapsedTimeMillis_label |
additional.fields |
Unita |
isUserPassSet_label |
additional.fields |
Unita |
keyId_label |
additional.fields |
Unita |
leadingDigits_label |
additional.fields |
Unita |
masked_label |
additional.fields |
Unita |
merchantId_label |
additional.fields |
Unita |
out_label |
additional.fields |
Unita |
phaseBit_label |
additional.fields |
Unita |
proxyType_label |
additional.fields |
Unita |
rollover_label |
additional.fields |
Unita |
trailingDigits_label |
additional.fields |
Unita |
AuthenticationMethod |
extensions.auth.mechanism |
Mappato: USER_PASSWORD → mechanism |
mechanism |
extensions.auth.mechanism |
Unita |
has_principal |
extensions.auth.type |
Mappato: true → AUTHTYPE_UNSPECIFIED |
proxyConnectionIp |
intermediary.asset.ip |
Unita |
inter_hostname |
intermediary.hostname |
Mappato direttamente |
proxyConnectionIp |
intermediary.ip |
Unita |
description |
metadata.description |
Mappato direttamente |
has_principal |
metadata.event_type |
Mappato: true → USER_LOGIN, true → NETWORK_CONNECTION, true → STATUS_UPDATE |
has_user |
metadata.event_type |
Mappato: true → USER_UNCATEGORIZED |
prod_event_name |
metadata.product_event_type |
Mappato direttamente |
event_id |
metadata.product_log_id |
Mappato direttamente |
cef_product |
metadata.product_name |
Mappato direttamente |
version |
metadata.product_version |
Mappato direttamente |
request |
network.http.referral_url |
Mappato direttamente |
length |
network.received_bytes |
Mappato direttamente |
requestTimeMillis |
network.session_duration.nanos |
Mappato direttamente |
timeMillis |
network.session_duration.seconds |
Mappato direttamente |
sessionid |
network.session_id |
Mappato direttamente |
cvProduct |
observer.application |
Mappato direttamente |
cvapi_label |
observer.labels |
Unita |
cvdevice_label |
observer.labels |
Unita |
cvframework_label |
observer.labels |
Unita |
cvos |
observer.platform |
Mappato: Li → LINUX, Win → WINDOWS |
requestClientApplication |
principal.application |
Mappato direttamente |
src_hostname |
principal.asset.hostname |
Mappato direttamente |
ip |
principal.asset.ip |
Unita |
src_ip |
principal.asset.ip |
Unita |
src_hostname |
principal.hostname |
Mappato direttamente |
ip |
principal.ip |
Unita |
src_ip |
principal.ip |
Unita |
src_port |
principal.port |
Rinominate/mappate |
identity |
principal.user.email_addresses |
Mappato: (.*)@(.*) → identity |
user |
principal.user.userid |
Mappato direttamente |
username |
principal.user.userid |
Mappato direttamente |
sec_action |
security_result.action |
Unita |
msg |
security_result.description |
Mappato direttamente |
CachedAuthentication_label |
security_result.detection_fields |
Unita |
acceptBadData_label |
security_result.detection_fields |
Unita |
algorithm_label |
security_result.detection_fields |
Unita |
authMethodName_label |
security_result.detection_fields |
Unita |
authTimeMillis_label |
security_result.detection_fields |
Unita |
authType_label |
security_result.detection_fields |
Unita |
format_label |
security_result.detection_fields |
Unita |
fullIdentity_label |
security_result.detection_fields |
Unita |
hsmEnabled_label |
security_result.detection_fields |
Unita |
returnEncryptedKeyOption_label |
security_result.detection_fields |
Unita |
returnFullIdentity_label |
security_result.detection_fields |
Unita |
wrappedMode_label |
security_result.detection_fields |
Unita |
severity |
security_result.severity |
Mappato: "0", "1", "2" → INFORMATIONAL, "3", "4" → LOW, "5", "6" → MEDIUM, `"7", ... |
severity |
security_result.severity_details |
Mappato direttamente |
district |
target.administrative_domain |
Mappato direttamente |
shost |
target.asset.hostname |
Mappato direttamente |
dst_ip |
target.asset.ip |
Unita |
shost |
target.hostname |
Mappato direttamente |
dst_ip |
target.ip |
Unita |
cmd_line |
target.process.command_line |
Mappato direttamente |
pid |
target.process.pid |
Mappato direttamente |
path |
target.resource.name |
Mappato direttamente |
tar_user |
target.user.userid |
Mappato direttamente |
| N/D | extensions.auth.type |
Costante: AUTHTYPE_UNSPECIFIED |
| N/D | metadata.event_type |
Costante: USER_LOGIN |
| N/D | metadata.product_name |
Costante: VOLTAGE |
| N/D | metadata.vendor_name |
Costante: VOLTAGE |
| N/D | observer.platform |
Costante: LINUX |
| N/D | security_result.severity |
Costante: INFORMATIONAL |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.