IBM Security Verify Access のログを収集する

以下でサポートされています。

このドキュメントでは、IBM Security Verify Access のログを収集する方法について説明します。パーサーは、Grok パターンを使用して、タイムスタンプ、ホスト名、説明などの一般的なフィールドを抽出します。次に、XML 解析を利用して、説明フィールドに埋め込まれた詳細なイベント情報を取得し、最終的に抽出されたデータを統合データモデル(UDM)にマッピングして、標準化されたセキュリティ イベントを表します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • IBM Security Verify Access(ISVA)への管理者権限があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane エージェントをインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

  1. 構成ファイルにアクセスします。

    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: ibm_security_verify
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane Agent を再起動して変更を適用する

  • Linux で Bindplane Agent を再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane Agent を再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

ログ形式をカスタマイズする

  1. WebSEAL 構成ファイルを編集するには、アプライアンスのローカル管理インターフェース(LMI)を使用します。
  2. LMI で [Reverse Proxy Management] に移動します。
  3. [管理] > [構成] > [構成ファイルを編集] をクリックします(エディタを使用して WebSEAL 構成ファイルを直接編集できます)。
  4. logging[stanza] に移動し、syntax requests = {yes|no} を探して [はい] をクリックします。
  5. gmt-time パラメータに移動し、gmt-time = yes のように編集します。

  6. request-log-format を次のように置き換えます。

    request-log-format = ibmsva: %h %l "%u" %t "%r" %s %b %T %j %{X-Forwarded-For}i %a %A %H %p %m %U %v %d %q

  7. 各ディレクティブの説明は次のとおりです。

    • ibmsva: SVA デバイスからのログを識別します
    • %h: リモートホスト
    • %l: リモート ログ名
    • %u: リモート ユーザー
    • %t: CLF 形式の時刻と日付
    • %r: リクエストの最初の行
    • %s: レスポンス ステータス
    • %b: レスポンスのバイト数(HTTP ヘッダーを除く)
    • %T: リクエストの処理時間(秒)
    • %j: ジャンクション名
    • %X-Forwarded-For: 転送元 IP アドレス
    • %a: リモート IP アドレス
    • %A: ローカル IP アドレス
    • %H: リクエスト プロトコル
    • %p: ポート
    • %m: リクエスト メソッド(GET、POST、HEAD)
    • %U: リクエストされた URL
    • %v: サーバー名
    • %d: 取引 ID
    • %q: クエリ文字列

ISVA で Syslog 転送を構成する

  1. ISVA ローカル管理インターフェースにログインします。
  2. [Monitor] > [Logs] > [Remote Syslog Forwarding] に移動します。
  3. [追加] をクリックします。
  4. リモート syslog サーバーの詳細を指定します。
    • サーバー: Syslog サーバー(Bindplane)の IP アドレスまたはホスト名。
    • ポート: syslog サーバーがリクエストをリッスンするポート(Bindplane)。
    • プロトコル: syslog または Bindplane の構成に応じて、[UDP] または [TCP] を選択します。
    • 形式: [Syslog] を選択します。
  5. [保存] をクリックします。

リモート ログサーバーのログソースの構成

  1. ログを送信するリモート syslog サーバーを選択します。
  2. [ソース] をクリックします。
  3. [追加] をクリックします。

  4. ログソースの詳細を指定して、[OK] をクリックします。

    • 名前: [WebSEAL] を選択します。
    • インスタンス名: WebSEAL インスタンスを選択します。
    • ログファイル: ソースログファイルの名前。
    • 省略可: タグ: 送信されるログエントリに追加するタグ。
    • 施設: すべてのメッセージは、指定された施設コード(利用可能なコードのリスト)で送信されます。
    • 重大度: 送信されたログエントリの重大度。
      • すべてのメッセージは、指定された重大度レベルで送信されます。

  5. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
アクション read_only_udm.security_result.action_details 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/action」から抽出されます。
アプリ read_only_udm.target.application Grok パターンを使用して「message」フィールドから抽出されます。
auth_details read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合、XML フィールド「/event/accessor/principal/@auth」から抽出されます。キーが「Auth」に設定されます。
authntype read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合、XML フィールド「/event/authntype」から抽出されます。キーが「Authntype」に設定されます。
データ read_only_udm.metadata.description [data] フィールドが空でない場合、その値が [read_only_udm.metadata.description] の既存の値に置き換えられます。
説明 read_only_udm.metadata.description Grok パターンを使用して「message」フィールドから抽出されます。[description] フィールドに「event」が含まれている場合、XML として解析され、他のフィールドが抽出されます。
event_id read_only_udm.metadata.product_log_id 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/event_id」から抽出されます。
hostname read_only_udm.principal.hostname、read_only_udm.principal.asset.hostname Grok パターンを使用して「message」フィールドから抽出されます。
id read_only_udm.metadata.product_log_id Grok パターンを使用して「message」フィールドから抽出されます。
ロケーション read_only_udm.principal.location.name 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/location」から抽出されます。
結果 read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/outcome」から抽出されます。キーが「Outcome」に設定されます。
outcome_reason read_only_udm.security_result.summary 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/outcome/@reason」から抽出されます。また、「read_only_udm.security_result.action」の値の決定にも使用されます。[outcome_reason] に「fail」が含まれている場合は「BLOCK」(大文字と小文字を区別しない)に設定し、それ以外の場合は「ALLOW」に設定します。
outcome_status read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合、XML フィールド「/event/outcome/@status」から抽出されます。キーが「Outcome Status」に設定されます。
originator_blade read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/@blade」から抽出されます。キーが「Originator Blade」に設定されています。
originator_component read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/component」から抽出されます。キーが「Originator Component」に設定されます。
originator_instance read_only_udm.security_result.detection_fields.value 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/originator/@instance」から抽出されます。キーが「送信元インスタンス」に設定されます。
session_id read_only_udm.network.session_id 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/accessor/session_id」から抽出されます。
target_url read_only_udm.target.url 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/target/url」から抽出されます。
thread_id read_only_udm.security_result.detection_fields.value Grok パターンを使用して「message」フィールドから抽出されます。キーが「Thread id」に設定されます。
timestamp read_only_udm.metadata.event_timestamp Grok パターンを使用して「message」フィールドから抽出されます。「timezone」フィールドの有無と形式に基づいて、「date」フィルタを使用してフォーマットされます。
time_stamp read_only_udm.metadata.event_timestamp 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/date」から抽出されます。「日付」フィルタを使用してフォーマットされます。
タイムゾーン 「timestamp」フィールドと組み合わせて使用し、「date」フィルタを使用して「read_only_udm.metadata.event_timestamp」フィールドをフォーマットします。
URL read_only_udm.target.url Grok パターンを使用して「message」フィールドから抽出されます。
ユーザー read_only_udm.principal.user.userid 「description」フィールドに「event」が含まれている場合は、XML フィールド「/event/accessor/principal」から抽出されます。
user_location read_only_udm.principal.ip、read_only_udm.principal.asset.ip 「description」フィールドに「event」が含まれている場合、XML フィールド「/event/accessor/user_location」から抽出されます。「user_location_type」に「ip」が含まれている場合(大文字と小文字は区別されません)、IP アドレスとして解析され、「read_only_udm.principal.ip」と「read_only_udm.principal.asset.ip」の両方にマッピングされます。
user_location_type 「user_location」を IP アドレスとして解析するかどうかを判断するために使用されます。
なし read_only_udm.metadata.vendor_name 「IBM_SECURITY_VERIFY」に設定します。
なし read_only_udm.metadata.product_name 「IBM_SECURITY_VERIFY」に設定します。
なし read_only_udm.metadata.event_type 最初は「STATUS_UPDATE」に設定されます。「user」フィールドと「hostname」フィールドの両方が抽出された場合は、「USER_LOGIN」に変更しました。
なし read_only_udm.extensions.auth.type 「user」フィールドと「hostname」フィールドの両方が抽出された場合は、「SSO」に設定します。
なし read_only_udm.network.application_protocol 「message」フィールドに「HttpServletRequest」が含まれている場合は、「HTTP」に設定します。
なし read_only_udm.metadata.log_type 「IBM_SECURITY_VERIFY」に設定 - ログのメタデータから取得されます。

変更点

2024-05-13

  • XML 形式のログをサポートするようにパーサーを更新しました。

2023-01-25

  • 新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。