Windows イベントログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Windows イベントログを Google Security Operations に取り込む方法について説明します。
Windows イベントログは、システム、セキュリティ、アプリケーション、カスタム イベントを記録する Microsoft Windows オペレーティング システムの主要なロギング メカニズムです。セキュリティ モニタリングとコンプライアンスのために、ユーザーのログオン/ログオフ、プロセスの作成、ポリシーの変更、システム健全性情報などの重要な監査データを提供します。Bindplane エージェントは、windowseventlog レシーバを使用して、syslog 転送を必要とせずに Windows イベントログをネイティブに収集します。パーサーは JSON、XML、SYSLOG+KV、SYSLOG+JSON、SYSLOG+XML の形式をサポートし、抽出されたフィールドを統合データモデル(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2012 R2 以降、または Windows 10/11 クライアント
- Windows システムに対する管理者権限
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Windows Sysmon ログを収集して Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: windowseventlog/application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/security: channel: Security raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'WINEVTLOG' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - windowseventlog/application - windowseventlog/security - windowseventlog/system exporters: - chronicle/chronicle_w_labels
構成パラメータ
各プレースホルダを次のように置き換えます。
- エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス(デフォルト:C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
- エクスポータの構成:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Windows イベントログの収集を構成する
Bindplane エージェントは windowseventlog レシーバーを使用して Windows イベントログをネイティブに収集するため、syslog 転送構成は必要ありません。代わりに、目的の Windows イベント ログチャネルがアクティブで、イベントを生成していることを確認します。
イベント チャネルがアクティブであることを確認する
- Windows イベント ビューアに移動して、目的のイベント チャネルがアクティブであることを確認します。
- 追加のイベント チャンネルを有効にするには:
- イベント ビューアーを開きます(
Win+Rキーを押してeventvwr.mscと入力し、Enter キーを押します)。 - [アプリケーションとサービス ログ] に移動します。
- 必要なチャンネルごとに右クリックして、[ログを有効にする] を選択します。
- イベント ビューアーを開きます(
- 収集する主なチャネル:
- アプリケーション: アプリケーションのエラー、警告、情報
- セキュリティ: ログオン イベント、権限の使用、ポリシーの変更(監査ポリシーの構成が必要)
- システム: システム コンポーネントのイベント、ドライバの障害、サービスの変更
セキュリティ イベント収集の監査ポリシーを構成する
- ローカル セキュリティ ポリシーを開きます(
Win+Rキーを押して「secpol.msc」と入力し、Enter キーを押します)。 - [セキュリティの設定] > [ローカル ポリシー] > [監査ポリシー] に移動します。
- 必要な監査カテゴリを有効にします。
- アカウント ログオン イベントを監査する: 成功、失敗
- ログオン イベントの監査: 成功、失敗
- オブジェクト アクセスの監査: 成功、失敗
- 監査ポリシーの変更: 成功、失敗
- 権限の使用を監査する: 成功、失敗
- 監査プロセスのトラッキング: 成功、失敗
UDM マッピング テーブル
| NXLog フィールド | UDM フィールド |
|---|---|
| EventTime | metadata.event_timestamp |
| ホスト名 | principal.hostname |
| EventID | product_event_type が「%{EventID}」に設定され、security_result.rule_name が「EventID: %{EventID}」に設定されている |
| SourceName | metadata.product_name は「%25%7BSourceName}&」に設定され、metadata.vendor_name は「Microsoft」に設定されます |
| カテゴリ | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| チャネル | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| 重大度 | 値は security_result.severity フィールドに次のようにマッピングされます。元の値 0(なし)は UNKNOWN_SEVERITY に設定されます。元の値 1(重大)は INFORMATIONAL に設定されます。元の値 2(エラー)は ERROR に設定されます。元の値 3(警告)は ERROR に設定されます。元の値 4(情報)は INFORMATIONAL に設定されます。元の値 5(詳細)は INFORMATIONAL に設定されます。 |
| UserID | principal.user.windows_sid |
| ExecutionProcessID | principal.process.pid |
| ProcessID | principal.process.pid |
| ProviderGuid | metadata.product_deployment_id |
| RecordNumber | metadata.product_log_id |
| SourceModuleName | observer.labels.key/value additional.fields.key additional.fields.value.string_value |
| SourceModuleType | observer.application |
| オペコード | about.labels.key/value additional.fields.key additional.fields.value.string_value |
| キーワード | additional.fields.key additional.fields.value.string_value |
| ActivityID | security_result.detection_fields.key/value |
| メッセージ | additional.fields.key additional.fields.value.string_value |
| HostIP | intermediary.ip |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。