Collecter les journaux d'événements Windows

Compatible avec :

Ce document explique comment ingérer des journaux d'événements Windows dans Google Security Operations à l'aide de Bindplane.

Les journaux d'événements Windows sont le principal mécanisme de journalisation des systèmes d'exploitation Microsoft Windows. Ils enregistrent les événements système, de sécurité, d'application et personnalisés. Ils fournissent des données d'audit essentielles, y compris les informations de connexion/déconnexion des utilisateurs, la création de processus, les modifications des règles et les informations sur l'état du système pour la surveillance de la sécurité et la conformité. L'agent Bindplane utilise le récepteur windowseventlog pour collecter nativement les journaux d'événements Windows sans nécessiter le transfert syslog. L'analyseur est compatible avec les formats JSON, XML, SYSLOG+KV, SYSLOG+JSON et SYSLOG+XML, et mappe les champs extraits au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2012 R2 ou version ultérieure, ou client Windows 10/11
  • Accès administrateur au système Windows
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour collecter les journaux Windows Sysmon et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    windowseventlog/application:
        channel: Application
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/security:
        channel: Security
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/system:
        channel: System
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'WINEVTLOG'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/application
                - windowseventlog/security
                - windowseventlog/system
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration de l'exportateur :
      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion (par défaut : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer la collecte du journal des événements Windows

Étant donné que l'agent Bindplane collecte les journaux d'événements Windows de manière native à l'aide du récepteur windowseventlog, aucune configuration de transfert Syslog n'est requise. Assurez-vous plutôt que les canaux du journal des événements Windows souhaités sont actifs et génèrent des événements.

Vérifier que les canaux d'événements sont actifs

  1. Accédez à l'Observateur d'événements Windows pour vérifier que les canaux d'événements souhaités sont actifs.
  2. Pour activer d'autres canaux d'événements :
    1. Ouvrez l'Observateur d'événements (appuyez sur Win+R, saisissez eventvwr.msc, puis appuyez sur Entrée).
    2. Accédez à Journaux des applications et des services.
    3. Pour chaque canal souhaité, effectuez un clic droit et sélectionnez Activer le journal.
  3. Principaux canaux à collecter :
    • Application : erreurs, avertissements et informations concernant l'application
    • Sécurité : événements de connexion, utilisation des privilèges, modifications des règles (nécessite la configuration de la stratégie d'audit)
    • Système : événements liés aux composants du système, défaillances des pilotes, modifications des services

Configurer des règles d'audit pour la collecte d'événements de sécurité

  1. Ouvrez Stratégie de sécurité locale (appuyez sur Win+R, saisissez secpol.msc, puis appuyez sur Entrée).
  2. Accédez à Paramètres de sécurité> Stratégies locales> Stratégie d'audit.
  3. Activez les catégories d'audit souhaitées :
    • Auditer les événements de connexion au compte : succès, échec
    • Auditer les événements de connexion : succès, échec
    • Auditer l'accès aux objets : "Succès", "Échec"
    • Modification de la règle d'audit : succès, échec
    • Auditer l'utilisation des droits d'accès : succès, échec
    • Suivi du processus d'audit : succès, échec

Table de mappage UDM

Champ NXLog Champ UDM
EventTime metadata.event_timestamp
Nom d'hôte principal.hostname
EventID product_event_type est défini sur "%{EventID}", security_result.rule_name est défini sur "EventID : %{EventID}"
SourceName metadata.product_name est défini sur "%25%7BSourceName}", metadata.vendor_name est défini sur "Microsoft"
Catégorie about.labels.key/value additional.fields.key additional.fields.value.string_value
Canal about.labels.key/value additional.fields.key additional.fields.value.string_value
Gravité Les valeurs sont mappées au champ security_result.severity comme suit : la valeur d'origine 0 (Aucune) est définie sur UNKNOWN_SEVERITY, la valeur d'origine 1 (Critique) est définie sur INFORMATIONAL, la valeur d'origine 2 (Erreur) est définie sur ERROR, la valeur d'origine 3 (Avertissement) est définie sur ERROR, la valeur d'origine 4 (Informationnel) est définie sur INFORMATIONAL, la valeur d'origine 5 (Verbose) est définie sur INFORMATIONAL.
UserID principal.user.windows_sid
ExecutionProcessID principal.process.pid
ProcessID principal.process.pid
ProviderGuid metadata.product_deployment_id
RecordNumber metadata.product_log_id
SourceModuleName observer.labels.key/value additional.fields.key additional.fields.value.string_value
SourceModuleType observer.application
Opcode about.labels.key/value additional.fields.key additional.fields.value.string_value
Mots clés additional.fields.key additional.fields.value.string_value
ActivityID security_result.detection_fields.key/value
Message additional.fields.key additional.fields.value.string_value
HostIP intermediary.ip

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.