Coletar logs de eventos do Windows

Compatível com:

Este documento explica como ingerir registros de eventos do Windows no Google Security Operations usando o Bindplane.

Os logs de eventos do Windows são o principal mecanismo de registro em sistemas operacionais Microsoft Windows que registram eventos de sistema, segurança, aplicativos e personalizados. Eles fornecem dados de auditoria importantes, incluindo login/logout do usuário, criação de processos, mudanças de política e informações de integridade do sistema para monitoramento e conformidade de segurança. O agente do Bindplane usa o receptor windowseventlog para coletar registros de eventos do Windows de forma nativa sem exigir o encaminhamento do syslog. O analisador é compatível com os formatos JSON, XML, SYSLOG+KV, SYSLOG+JSON e SYSLOG+XML, além de mapear os campos extraídos para o Modelo Unificado de Dados (UDM, na sigla em inglês).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2012 R2 ou posterior ou cliente Windows 10/11
  • Acesso de administrador ao sistema Windows
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para coletar registros do Sysmon do Windows e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    windowseventlog/application:
        channel: Application
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/security:
        channel: Security
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/system:
        channel: System
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'WINEVTLOG'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/application
                - windowseventlog/security
                - windowseventlog/system
            exporters:
                - chronicle/chronicle_w_labels

Parâmetros de configuração

  • Substitua os seguintes marcadores de posição:

    • Configuração do exportador:
      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão (padrão: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json)
      • YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"
      • endpoint: URL do endpoint regional:
        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

  • Depois de editar, salve o arquivo:
    • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar a coleta de registros de eventos do Windows

Como o agente do Bindplane coleta logs de eventos do Windows de forma nativa usando o receptor windowseventlog, não é necessário fazer nenhuma configuração de encaminhamento do syslog. Em vez disso, verifique se os canais desejados do log de eventos do Windows estão ativos e gerando eventos.

Verificar se os canais de eventos estão ativos

  1. Acesse o Visualizador de Eventos do Windows para verificar se os canais de eventos desejados estão ativos.
  2. Para ativar outros canais de eventos:
    1. Abra o Visualizador de eventos (pressione Win+R, digite eventvwr.msc e pressione Enter).
    2. Acesse Registros dos serviços e aplicativos.
    3. Para cada canal desejado, clique com o botão direito do mouse e selecione Ativar registro.
  3. Principais canais para coletar:
    • Aplicativo: erros, avisos e informações do aplicativo
    • Segurança: eventos de logon, uso de privilégios, mudanças de política (requer configuração da política de auditoria)
    • Sistema: eventos de componentes do sistema, falhas de driver, mudanças de serviço

Configurar políticas de auditoria para coleta de eventos de segurança

  1. Abra Política de segurança local (pressione Win+R, digite secpol.msc e pressione Enter).
  2. Acesse Configurações de segurança > Políticas locais > Política de auditoria.
  3. Ative as categorias de auditoria desejadas:
    • Auditar eventos de logon da conta: sucesso, falha
    • Auditar eventos de logon: sucesso, falha
    • Auditar acesso a objetos: sucesso, falha
    • Mudança na política de auditoria: sucesso, falha
    • Auditar o uso de privilégios: sucesso, falha
    • Rastreamento do processo de auditoria: sucesso, falha

Tabela de mapeamento do UDM

Campo NXLog Campo do UDM
EventTime metadata.event_timestamp
Nome do host principal.hostname
EventID product_event_type é definido como "%{EventID}", security_result.rule_name é definido como "EventID: %{EventID}"
SourceName metadata.product_name é definido como "%25%7BSourceName}", metadata.vendor_name é definido como "Microsoft"
Categoria about.labels.key/value additional.fields.key additional.fields.value.string_value
Canal about.labels.key/value additional.fields.key additional.fields.value.string_value
Gravidade Valores mapeados para o campo "security_result.severity" da seguinte forma: valor original 0 (Nenhum) definido como UNKNOWN_SEVERITY, valor original 1 (Crítico) definido como INFORMATIONAL, valor original 2 (Erro) definido como ERROR, valor original 3 (Aviso) definido como ERROR, valor original 4 (Informativo) definido como INFORMATIONAL, valor original 5 (Detalhado) definido como INFORMATIONAL.
UserID principal.user.windows_sid
ExecutionProcessID principal.process.pid
ProcessID principal.process.pid
ProviderGuid metadata.product_deployment_id
RecordNumber metadata.product_log_id
SourceModuleName observer.labels.key/value additional.fields.key additional.fields.value.string_value
SourceModuleType observer.application
Opcode about.labels.key/value additional.fields.key additional.fields.value.string_value
Palavras-chave additional.fields.key additional.fields.value.string_value
ActivityID security_result.detection_fields.key/value
Mensagem additional.fields.key additional.fields.value.string_value
HostIP intermediary.ip

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.