Raccogliere i log eventi di Windows

Supportato in:

Questo documento spiega come importare i log eventi di Windows in Google Security Operations utilizzando Bindplane.

I log eventi di Windows sono il meccanismo di logging principale nei sistemi operativi Microsoft Windows che registrano eventi di sistema, sicurezza, applicazione e personalizzati. Forniscono dati di controllo critici, tra cui accesso/disconnessione degli utenti, creazione di processi, modifiche alle norme e informazioni sullo stato del sistema per il monitoraggio della sicurezza e la conformità. L'agente Bindplane utilizza il ricevitore windowseventlog per raccogliere in modo nativo i log eventi di Windows senza richiedere l'inoltro di syslog. Il parser supporta i formati JSON, XML, SYSLOG+KV, SYSLOG+JSON e SYSLOG+XML e mappa i campi estratti nel modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2012 R2 o versioni successive oppure client Windows 10/11
  • Accesso amministratore al sistema Windows
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per raccogliere i log di Windows Sysmon e inviarli a Google SecOps

Individua il file di configurazione

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    windowseventlog/application:
        channel: Application
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/security:
        channel: Security
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/system:
        channel: System
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'WINEVTLOG'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/application
                - windowseventlog/security
                - windowseventlog/system
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

  • Sostituisci i seguenti segnaposto:

    • Configurazione dell'esportatore:
      • creds_file_path: percorso completo del file di autenticazione dell'importazione (impostazione predefinita: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
      • YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

  • Dopo la modifica, salva il file:
    • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare la raccolta dei log eventi di Windows

Poiché l'agente Bindplane raccoglie i log eventi di Windows in modo nativo utilizzando il ricevitore windowseventlog, non è necessaria alcuna configurazione di inoltro syslog. Assicurati invece che i canali del Registro eventi di Windows desiderati siano attivi e generino eventi.

Verificare che i canali di eventi siano attivi

  1. Vai al Visualizzatore eventi di Windows per verificare che i canali eventi desiderati siano attivi.
  2. Per attivare canali di eventi aggiuntivi:
    1. Apri Visualizzatore eventi (premi Win+R, digita eventvwr.msc, premi Invio).
    2. Vai a Registri di applicazioni e servizi.
    3. Per ogni canale che ti interessa, fai clic con il tasto destro del mouse e seleziona Enable Log (Attiva log).
  3. Canali chiave da raccogliere:
    • Applicazione: errori, avvisi e informazioni sull'applicazione
    • Sicurezza: eventi di accesso, utilizzo dei privilegi, modifiche alle policy (richiede la configurazione dei criteri di controllo)
    • Sistema: eventi dei componenti di sistema, errori dei driver, modifiche del servizio

Configura le policy di audit per la raccolta degli eventi di sicurezza

  1. Apri Policy di sicurezza locale (premi Win+R, digita secpol.msc, premi Invio).
  2. Vai a Impostazioni di sicurezza > Criteri locali > Criteri di controllo.
  3. Attiva le categorie di controllo che preferisci:
    • Controlla gli eventi di accesso all'account: Successo, Errore
    • Controlla eventi di accesso: Successo, Errore
    • Audit object access: Success, Failure
    • Modifica della policy di controllo: riuscita, non riuscita
    • Utilizzo dei privilegi di controllo: Successo, Errore
    • Monitoraggio della procedura di controllo: operazione riuscita, operazione non riuscita

Tabella di mappatura UDM

Campo NXLog Campo UDM
EventTime metadata.event_timestamp
Nome host principal.hostname
EventID product_event_type è impostato su "%{EventID}", security_result.rule_name è impostato su "EventID: %{EventID}"
SourceName metadata.product_name è impostato su "%25%7BSourceName}", , metadata.vendor_name è impostato su "Microsoft"
Categoria about.labels.key/value additional.fields.key additional.fields.value.string_value
Canale about.labels.key/value additional.fields.key additional.fields.value.string_value
Gravità Valori mappati al campo security_result.severity come segue: il valore originale 0 (Nessuno) è impostato su UNKNOWN_SEVERITY, il valore originale 1 (Critico) è impostato su INFORMATIONAL, il valore originale 2 (Errore) è impostato su ERROR, il valore originale 3 (Avviso) è impostato su ERROR, il valore originale 4 (Informativo) è impostato su INFORMATIONAL, il valore originale 5 (Dettagliato) è impostato su INFORMATIONAL
UserID principal.user.windows_sid
ExecutionProcessID principal.process.pid
ProcessID principal.process.pid
ProviderGuid metadata.product_deployment_id
RecordNumber metadata.product_log_id
SourceModuleName observer.labels.key/value additional.fields.key additional.fields.value.string_value
SourceModuleType observer.application
Opcode about.labels.key/value additional.fields.key additional.fields.value.string_value
Parole chiave additional.fields.key additional.fields.value.string_value
ActivityID security_result.detection_fields.key/value
Messaggio additional.fields.key additional.fields.value.string_value
HostIP intermediary.ip

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.