Windows-Ereignisprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Windows-Ereignislogs mit Bindplane in Google Security Operations aufnehmen.

Windows-Ereignisprotokolle sind der primäre Protokollierungsmechanismus in Microsoft Windows-Betriebssystemen, in denen System-, Sicherheits-, Anwendungs- und benutzerdefinierte Ereignisse aufgezeichnet werden. Sie liefern wichtige Audit-Daten, darunter Informationen zu Nutzeranmeldungen und ‑abmeldungen, zur Erstellung von Prozessen, zu Richtlinienänderungen und zum Systemstatus für die Sicherheitsüberwachung und Compliance. Der Bindplane-Agent verwendet den windowseventlog-Empfänger, um Windows-Ereignisprotokolle nativ zu erfassen, ohne dass Syslog-Weiterleitung erforderlich ist. Der Parser unterstützt die Formate JSON, XML, SYSLOG+KV, SYSLOG+JSON und SYSLOG+XML und ordnet die extrahierten Felder dem einheitlichen Datenmodell (Unified Data Model, UDM) zu.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2012 R2 oder höher oder Windows 10/11-Client
  • Administratorzugriff auf das Windows-System
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows-Betriebssystem.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten so konfigurieren, dass Windows Sysmon-Logs erfasst und an Google SecOps gesendet werden

Konfigurationsdatei suchen

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    windowseventlog/application:
        channel: Application
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/security:
        channel: Security
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/system:
        channel: System
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'WINEVTLOG'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/application
                - windowseventlog/security
                - windowseventlog/system
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Exporter-Konfiguration:
      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme (Standardeinstellung: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Erfassung von Windows-Ereignisprotokollen konfigurieren

Da der Bindplane-Agent Windows-Ereignislogs nativ mit dem windowseventlog-Empfänger erfasst, ist keine Syslog-Weiterleitungskonfiguration erforderlich. Achten Sie stattdessen darauf, dass die gewünschten Windows-Ereignislogkanäle aktiv sind und Ereignisse generieren.

Prüfen, ob Ereignis-Channels aktiv sind

  1. Prüfen Sie in der Windows-Ereignisanzeige, ob die gewünschten Ereigniskanäle aktiv sind.
  2. So aktivieren Sie zusätzliche Ereigniskanäle:
    1. Öffnen Sie die Ereignisanzeige (drücken Sie Win+R, geben Sie eventvwr.msc ein und drücken Sie die Eingabetaste).
    2. Rufen Sie Anwendungs- und Dienstprotokolle auf.
    3. Klicken Sie mit der rechten Maustaste auf jeden gewünschten Channel und wählen Sie Log aktivieren aus.
  3. Wichtige Channels für die Erhebung:
    • Anwendung: Anwendungsfehler, Warnungen und Informationen
    • Sicherheit: Anmeldeereignisse, Verwendung von Berechtigungen, Richtlinienänderungen (erfordert die Konfiguration der Audit-Richtlinie)
    • System: Ereignisse zu Systemkomponenten, Treiberfehler, Dienständerungen

Audit-Richtlinien für die Erfassung von Sicherheitsereignissen konfigurieren

  1. Öffnen Sie die Lokale Sicherheitsrichtlinie (drücken Sie Win+R, geben Sie secpol.msc ein und drücken Sie die Eingabetaste).
  2. Gehen Sie zu Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
  3. Aktivieren Sie die gewünschten Audit-Kategorien:
    • Anmeldeereignisse für das Konto prüfen: Erfolg, Fehler
    • Anmeldeereignisse prüfen: Erfolg, Fehler
    • Objektzugriff prüfen: Erfolg, Fehler
    • Änderung der Audit-Richtlinie: Erfolg, Fehler
    • Berechtigungsnutzung prüfen: Erfolg, Fehler
    • Prüfungsprozess verfolgen: Erfolg, Fehler

UDM-Zuordnungstabelle

NXLog-Feld UDM-Feld
EventTime metadata.event_timestamp
Hostname principal.hostname
EventID product_event_type ist auf „%{EventID}“ festgelegt, security_result.rule_name ist auf „EventID: %{EventID}“ festgelegt.
SourceName metadata.product_name ist auf „%25%7BSourceName}“ und metadata.vendor_name auf „Microsoft“ festgelegt.
Kategorie about.labels.key/value additional.fields.key additional.fields.value.string_value
Kanal about.labels.key/value additional.fields.key additional.fields.value.string_value
Schweregrad Werte, die dem Feld „security_result.severity“ zugeordnet sind:, Der ursprüngliche Wert 0 (None) wird auf UNKNOWN_SEVERITY festgelegt. Der ursprüngliche Wert 1 (Critical) wird auf INFORMATIONAL festgelegt. Der ursprüngliche Wert 2 (Error) wird auf ERROR festgelegt. Der ursprüngliche Wert 3 (Warning) wird auf ERROR festgelegt. Der ursprüngliche Wert 4 (Informational) wird auf INFORMATIONAL festgelegt. Der ursprüngliche Wert 5 (Verbose) wird auf INFORMATIONAL festgelegt.
UserID principal.user.windows_sid
ExecutionProcessID principal.process.pid
ProcessID principal.process.pid
ProviderGuid metadata.product_deployment_id
RecordNumber metadata.product_log_id
SourceModuleName observer.labels.key/value additional.fields.key additional.fields.value.string_value
SourceModuleType observer.application
Opcode about.labels.key/value additional.fields.key additional.fields.value.string_value
Keywords additional.fields.key additional.fields.value.string_value
ActivityID security_result.detection_fields.key/value
Nachricht additional.fields.key additional.fields.value.string_value
HostIP intermediary.ip

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten