Mengumpulkan log Deep Instinct EDR

Didukung di:

Dokumen ini menjelaskan cara menyerap log EDR Deep Instinct ke Google Security Operations menggunakan BindPlane. Parser mengekstrak kolom dari log berformat LEEF Deep Instinct EDR. Proses ini menggunakan grok untuk mengurai pesan log, kv untuk memisahkan pasangan nilai kunci, lalu memetakan nilai ini ke UDM, menangani berbagai transformasi data dan logika kondisional untuk kolom tertentu di sepanjang proses. Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru atau host Linux dengan systemd
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka
  • Akses istimewa ke Konsol Pengelolaan Deep Instinct

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:
    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).
  2. Edit file config.yaml sebagai berikut: yaml receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'DEEP_INSTINCT_EDR' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
  • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog untuk Deep Instinct EDR

  1. Login ke Deep Instinct Management Console.
  2. Buka Setelan > Integrasi.
  3. Klik tombol + Tambahkan.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Google SecOps Bindplane).
    • Host: Masukkan alamat IP Bindplane Agent.
    • Port: Masukkan nomor port Bindplane Agent.
    • Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi Bindplane Agent Anda yang sebenarnya.
    • Format: Pilih LEEF.
    • Zona waktu: Pilih zona waktu UTC agar konsisten di seluruh sistem.
    • Buka bagian Peristiwa, lalu pilih semua.
  5. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
act security_result.action_details Dipetakan langsung dari kolom act.
app principal.application Dipetakan langsung dari kolom app.
devTime metadata.event_timestamp Dipetakan langsung dari kolom devTime.
deviceGroup principal.group.group_display_name Dipetakan langsung dari kolom deviceGroup.
eventExternalId metadata.product_log_id Dipetakan langsung dari kolom eventExternalId.
eventType metadata.product_event_type Dipetakan langsung dari kolom eventType.
filePath principal.process.file.full_path Dipetakan langsung dari kolom filePath.
fileType principal.process.file.file_type Dipetakan dari kolom fileType. Jika fileType adalah "POWERSHELL_INTERACTIVE", nilai UDM akan ditetapkan ke "FILE_TYPE_POWERSHELL".
host principal.hostname Dipetakan langsung dari kolom host.
identHostName target.hostname Dipetakan langsung dari kolom identHostName.
identSrc target.ip Dipetakan langsung dari kolom identSrc.
LoggedInUsers principal.user.userid Dipetakan dari kolom LoggedInUsers setelah menghapus "REGISGROUP" dan semua garis miring terbalik.
log_type metadata.log_type Dipetakan langsung dari kolom log_type.
OSName principal.asset.platform_software.platform Dipetakan dari kolom OSName, dikonversi menjadi huruf besar.
OSVersion principal.asset.platform_software.platform_version Dipetakan langsung dari kolom OSVersion.
sev security_result.severity_details Dipetakan langsung dari kolom sev. Di-hardcode ke "STATUS_UPDATE" di parser. Di-hardcode ke "Deep Instinct EDR" di parser. Dipetakan langsung dari kolom vendor_name yang diekstrak oleh grok. Dipetakan langsung dari kolom srcMAC. Dipetakan langsung dari kolom usrName. Di-hardcode ke "MEDIUM" di parser.
srcMAC principal.mac Dipetakan langsung dari kolom srcMAC.
usrName principal.user.user_display_name Dipetakan langsung dari kolom usrName.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.