Voltage ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Voltage SecureMail ログを Google Security Operations に取り込む方法について説明します。
Voltage SecureMail は、メールの暗号化/復号イベント、ポリシーの適用、管理アクションの syslog メッセージを生成するメール暗号化プラットフォームです。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Voltage SecureMail サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- Voltage SecureMail Management Console への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [active (running)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/voltage: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VOLTAGE raw_log_field: body service: pipelines: logs/voltage_to_chronicle: receivers: - udplog exporters: - chronicle/voltage
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要。root 以外の場合は1514を使用)
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Voltage SecureMail で syslog を構成する
- Voltage SecureMail 管理コンソールにログインします。
- [System] > [Syslog Settings] に移動します。
- 次の構成の詳細を入力します。
- サーバー アドレス: Bindplane エージェントの IP アドレスを入力します。
- ポート: 「
514」と入力します。 - Protocol: [UDP] を選択します。
- Facility: 該当する syslog 機能を選択します。
- ログレベル: 目的のログレベルを選択します。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
attemptedAuthMethods_label |
additional.fields |
統合済み |
authTokens_label |
additional.fields |
統合済み |
elapsedTimeMillis_label |
additional.fields |
統合済み |
isUserPassSet_label |
additional.fields |
統合済み |
keyId_label |
additional.fields |
統合済み |
leadingDigits_label |
additional.fields |
統合済み |
masked_label |
additional.fields |
統合済み |
merchantId_label |
additional.fields |
統合済み |
out_label |
additional.fields |
統合済み |
phaseBit_label |
additional.fields |
統合済み |
proxyType_label |
additional.fields |
統合済み |
rollover_label |
additional.fields |
統合済み |
trailingDigits_label |
additional.fields |
統合済み |
AuthenticationMethod |
extensions.auth.mechanism |
マッピング: USER_PASSWORD → mechanism |
mechanism |
extensions.auth.mechanism |
統合済み |
has_principal |
extensions.auth.type |
マッピング: true → AUTHTYPE_UNSPECIFIED |
proxyConnectionIp |
intermediary.asset.ip |
統合済み |
inter_hostname |
intermediary.hostname |
直接マッピングされます。 |
proxyConnectionIp |
intermediary.ip |
統合済み |
description |
metadata.description |
直接マッピングされます。 |
has_principal |
metadata.event_type |
マッピング: true → USER_LOGIN、true → NETWORK_CONNECTION、true → STATUS_UPDATE |
has_user |
metadata.event_type |
マッピング: true → USER_UNCATEGORIZED |
prod_event_name |
metadata.product_event_type |
直接マッピングされます。 |
event_id |
metadata.product_log_id |
直接マッピングされます。 |
cef_product |
metadata.product_name |
直接マッピングされます。 |
version |
metadata.product_version |
直接マッピングされます。 |
request |
network.http.referral_url |
直接マッピングされます。 |
length |
network.received_bytes |
直接マッピングされます。 |
requestTimeMillis |
network.session_duration.nanos |
直接マッピングされます。 |
timeMillis |
network.session_duration.seconds |
直接マッピングされます。 |
sessionid |
network.session_id |
直接マッピングされます。 |
cvProduct |
observer.application |
直接マッピングされます。 |
cvapi_label |
observer.labels |
統合済み |
cvdevice_label |
observer.labels |
統合済み |
cvframework_label |
observer.labels |
統合済み |
cvos |
observer.platform |
マッピング: Li → LINUX、Win → WINDOWS |
requestClientApplication |
principal.application |
直接マッピングされます。 |
src_hostname |
principal.asset.hostname |
直接マッピングされます。 |
ip |
principal.asset.ip |
統合済み |
src_ip |
principal.asset.ip |
統合済み |
src_hostname |
principal.hostname |
直接マッピングされます。 |
ip |
principal.ip |
統合済み |
src_ip |
principal.ip |
統合済み |
src_port |
principal.port |
名前変更/マッピング済み |
identity |
principal.user.email_addresses |
マッピング: (.*)@(.*) → identity |
user |
principal.user.userid |
直接マッピングされます。 |
username |
principal.user.userid |
直接マッピングされます。 |
sec_action |
security_result.action |
統合済み |
msg |
security_result.description |
直接マッピングされます。 |
CachedAuthentication_label |
security_result.detection_fields |
統合済み |
acceptBadData_label |
security_result.detection_fields |
統合済み |
algorithm_label |
security_result.detection_fields |
統合済み |
authMethodName_label |
security_result.detection_fields |
統合済み |
authTimeMillis_label |
security_result.detection_fields |
統合済み |
authType_label |
security_result.detection_fields |
統合済み |
format_label |
security_result.detection_fields |
統合済み |
fullIdentity_label |
security_result.detection_fields |
統合済み |
hsmEnabled_label |
security_result.detection_fields |
統合済み |
returnEncryptedKeyOption_label |
security_result.detection_fields |
統合済み |
returnFullIdentity_label |
security_result.detection_fields |
統合済み |
wrappedMode_label |
security_result.detection_fields |
統合済み |
severity |
security_result.severity |
マッピング: "0", "1", "2" → INFORMATIONAL、"3", "4" → LOW、"5", "6" → MEDIUM、`"7"、... |
severity |
security_result.severity_details |
直接マッピングされます。 |
district |
target.administrative_domain |
直接マッピングされます。 |
shost |
target.asset.hostname |
直接マッピングされます。 |
dst_ip |
target.asset.ip |
統合済み |
shost |
target.hostname |
直接マッピングされます。 |
dst_ip |
target.ip |
統合済み |
cmd_line |
target.process.command_line |
直接マッピングされます。 |
pid |
target.process.pid |
直接マッピングされます。 |
path |
target.resource.name |
直接マッピングされます。 |
tar_user |
target.user.userid |
直接マッピングされます。 |
| なし | extensions.auth.type |
定数: AUTHTYPE_UNSPECIFIED |
| なし | metadata.event_type |
定数: USER_LOGIN |
| なし | metadata.product_name |
定数: VOLTAGE |
| なし | metadata.vendor_name |
定数: VOLTAGE |
| なし | observer.platform |
定数: LINUX |
| なし | security_result.severity |
定数: INFORMATIONAL |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。