Mengumpulkan log Peristiwa Windows
Dokumen ini menjelaskan cara menyerap log Peristiwa Windows ke Google Security Operations menggunakan Bindplane.
Log Peristiwa Windows adalah mekanisme pencatatan log utama di sistem operasi Microsoft Windows yang mencatat peristiwa sistem, keamanan, aplikasi, dan kustom. Log ini menyediakan data audit penting, termasuk login/logout pengguna, pembuatan proses, perubahan kebijakan, dan informasi kesehatan sistem untuk pemantauan dan kepatuhan keamanan. Agen Bindplane menggunakan penerima windowseventlog untuk mengumpulkan Log Peristiwa Windows secara native tanpa memerlukan penerusan syslog. Parser mendukung format JSON, XML, SYSLOG+KV, SYSLOG+JSON, dan SYSLOG+XML, serta memetakan kolom yang diekstrak ke Model Data Terpadu (UDM).
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2012 R2 atau yang lebih baru, atau klien Windows 10/11
- Akses administrator ke sistem Windows
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows Anda.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collector
Layanan akan ditampilkan sebagai RUNNING.
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk mengumpulkan log Windows Sysmon dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: windowseventlog/application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/security: channel: Security raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'WINEVTLOG' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - windowseventlog/application - windowseventlog/security - windowseventlog/system exporters: - chronicle/chronicle_w_labels
Parameter konfigurasi
Ganti placeholder berikut:
- Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan (default:C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelangganendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
- Konfigurasi eksportir:
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi Pengumpulan Log Peristiwa Windows
Karena agen Bindplane mengumpulkan Log Peristiwa Windows secara native menggunakan penerima windowseventlog, tidak diperlukan konfigurasi penerusan syslog. Sebagai gantinya, pastikan saluran Windows Event Log yang diinginkan aktif dan menghasilkan peristiwa.
Memastikan Saluran Peristiwa Aktif
- Buka Windows Event Viewer untuk memverifikasi bahwa saluran peristiwa yang diinginkan sudah aktif.
- Untuk mengaktifkan saluran peristiwa tambahan:
- Buka Event Viewer (tekan
Win+R, ketikeventvwr.msc, tekan Enter). - Buka Log Aplikasi dan Layanan.
- Untuk setiap channel yang diinginkan, klik kanan, lalu pilih Aktifkan Log.
- Buka Event Viewer (tekan
- Channel utama yang akan dikumpulkan:
- Aplikasi: Error, peringatan, dan informasi aplikasi
- Keamanan: Peristiwa login, penggunaan hak istimewa, perubahan kebijakan (memerlukan konfigurasi Kebijakan Audit)
- Sistem: Peristiwa komponen sistem, kegagalan driver, perubahan layanan
Mengonfigurasi Kebijakan Audit untuk Pengumpulan Peristiwa Keamanan
- Buka Local Security Policy (tekan
Win+R, ketiksecpol.msc, tekan Enter). - Buka Security Settings > Local Policies > Audit Policy.
- Aktifkan kategori audit yang diinginkan:
- Audit peristiwa login akun: Berhasil, Gagal
- Audit peristiwa login: Berhasil, Gagal
- Audit akses objek: Berhasil, Gagal
- Perubahan kebijakan audit: Berhasil, Gagal
- Penggunaan hak istimewa audit: Berhasil, Gagal
- Pelacakan proses audit: Berhasil, Gagal
Tabel pemetaan UDM
| Kolom NXLog | Kolom UDM |
|---|---|
| EventTime | metadata.event_timestamp |
| Hostname | principal.hostname |
| EventID | product_event_type ditetapkan ke "%{EventID}", security_result.rule_name ditetapkan ke "EventID: %{EventID}" |
| SourceName | metadata.product_name ditetapkan ke "%25%7BSourceName}", metadata.vendor_name ditetapkan ke "Microsoft" |
| Kategori | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| Saluran | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| Keparahan | Nilai yang dipetakan ke kolom security_result.severity sebagai berikut:, Nilai asli 0 (Tidak Ada), ditetapkan ke UNKNOWN_SEVERITY, Nilai asli 1 (Kritis) ditetapkan ke INFORMATIONAL, Nilai asli 2 (Error) ditetapkan ke ERROR, Nilai asli 3 (Peringatan) ditetapkan ke ERROR, Nilai asli 4 (Informasi) ditetapkan ke INFORMATIONAL, Nilai asli 5 (Verbose) ditetapkan ke INFORMATIONAL |
| UserID | principal.user.windows_sid |
| ExecutionProcessID | principal.process.pid |
| ProcessID | principal.process.pid |
| ProviderGuid | metadata.product_deployment_id |
| RecordNumber | metadata.product_log_id |
| SourceModuleName | observer.labels.key/value additional.fields.key additional.fields.value.string_value |
| SourceModuleType | observer.application |
| Kode operasi | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| Kata kunci | additional.fields.key additional.fields.value.string_value |
| ActivityID | security_result.detection_fields.key/value |
| Pesan | additional.fields.key additional.fields.value.string_value |
| HostIP | intermediary.ip |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.