收集 Windows 事件日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Windows 事件日志注入到 Google Security Operations。

Windows 事件日志是 Microsoft Windows 操作系统中的主要日志记录机制,用于记录系统、安全、应用和自定义事件。它们提供关键的审核数据,包括用户登录/退出、进程创建、政策更改和系统健康状况信息,以用于安全监控和合规性。Bindplane 代理使用 windowseventlog 接收器以原生方式收集 Windows 事件日志,而无需转发 syslog。解析器支持 JSON、XML、SYSLOG+KV、SYSLOG+JSON 和 SYSLOG+XML 格式,并将提取的字段映射到统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows Server 2012 R2 或更高版本,或者 Windows 10/11 客户端
  • 对 Windows 系统的管理员访问权限
  • 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

在 Windows 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安装完成。

  4. 运行以下命令来验证安装:

    sc query observiq-otel-collector

该服务应显示为 RUNNING

其他安装资源

如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南

配置 Bindplane 代理以收集 Windows Sysmon 日志并将其发送到 Google SecOps

找到配置文件

  • Windows

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

  • config.yaml 的全部内容替换为以下配置:

    receivers:
    windowseventlog/application:
        channel: Application
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/security:
        channel: Security
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

    windowseventlog/system:
        channel: System
        raw: true
        max_reads: 100
        poll_interval: 5s
        start_at: end

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'WINEVTLOG'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/application
                - windowseventlog/security
                - windowseventlog/system
            exporters:
                - chronicle/chronicle_w_labels

配置参数

  • 替换以下占位符:

    • 导出器配置
      • creds_file_path:提取身份验证文件的完整路径(默认值:C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 ID
      • endpoint:区域端点网址:
        • 美国malachiteingestion-pa.googleapis.com
        • 欧洲europe-malachiteingestion-pa.googleapis.com
        • 亚洲asia-southeast1-malachiteingestion-pa.googleapis.com
        • 如需查看完整列表,请参阅区域级端点

保存配置文件

  • 修改后,保存文件:
    • Windows:依次点击文件 > 保存

重启 Bindplane 代理以应用更改

  • 如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:

    • 以管理员身份运行命令提示符或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 服务控制台:

      1. Win+R,输入 services.msc,然后按 Enter 键。
      2. 找到 observIQ OpenTelemetry 收集器

      3. 右键点击并选择重新启动

      4. 验证服务是否正在运行:

        sc query observiq-otel-collector

      5. 检查日志是否存在错误:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

配置 Windows 事件日志收集

由于 Bindplane 代理使用 windowseventlog 接收器以原生方式收集 Windows 事件日志,因此无需进行 syslog 转发配置。请改为确保所需的 Windows 事件日志渠道处于活跃状态并生成事件。

验证事件渠道是否处于有效状态

  1. 前往 Windows 事件查看器,验证所需的事件渠道是否处于活动状态。
  2. 如需启用其他活动渠道,请执行以下操作:
    1. 打开事件查看器(按 Win+R,输入 eventvwr.msc,按 Enter 键)。
    2. 前往应用程序和服务日志
    3. 对于每个所需渠道,右键点击并选择启用日志
  3. 要收集的关键渠道:
    • 应用:应用错误、警告和信息
    • 安全性:登录事件、权限使用、政策更改(需要配置审核政策)
    • 系统:系统组件事件、驱动程序故障、服务变更

配置审核政策以收集安全事件

  1. 打开本地安全策略(按 Win+R,输入 secpol.msc,按 Enter 键)。
  2. 依次前往安全设置 > 本地策略 > 审核策略
  3. 启用所需的审核类别:
    • 审核账号登录事件:成功、失败
    • 审核登录事件:成功、失败
    • 审核对象访问:成功、失败
    • 审核政策变更:成功、失败
    • 审核权限使用情况:成功、失败
    • 审核流程跟踪:成功、失败

UDM 映射表

NXLog 字段 UDM 字段
EventTime metadata.event_timestamp
主机名 principal.hostname
EventID product_event_type 设置为“%{EventID}”,security_result.rule_name 设置为“EventID: %{EventID}”
SourceName metadata.product_name 设置为“%25%7BSourceName}”,metadata.vendor_name 设置为“Microsoft”
类别 about.labels.key/value additional.fields.key additional.fields.value.string_value
渠道 about.labels.key/value additional.fields.key additional.fields.value.string_value
严重程度 值映射到 security_result.severity 字段,如下所示:原始值 0(无)设置为 UNKNOWN_SEVERITY;原始值 1(严重)设置为 INFORMATIONAL;原始值 2(错误)设置为 ERROR;原始值 3(警告)设置为 ERROR;原始值 4(信息)设置为 INFORMATIONAL;原始值 5(详细)设置为 INFORMATIONAL
UserID principal.user.windows_sid
ExecutionProcessID principal.process.pid
ProcessID principal.process.pid
ProviderGuid metadata.product_deployment_id
RecordNumber metadata.product_log_id
SourceModuleName observer.labels.key/value additional.fields.key additional.fields.value.string_value
SourceModuleType observer.application
操作码 about.labels.key/value additional.fields.key additional.fields.value.string_value
关键字 additional.fields.key additional.fields.value.string_value
ActivityID security_result.detection_fields.key/value
消息 additional.fields.key additional.fields.value.string_value
HostIP intermediary.ip

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。