Recolha registos do ManageEngine AD360

Compatível com:

Este documento explica como pode carregar registos do ManageEngine AD360 para o Google Security Operations através do Bindplane. O analisador primeiro limpa e prepara os dados de registo recebidos e, em seguida, usa uma série de padrões grok para extrair campos relevantes com base em tipos de eventos e formatos de mensagens específicos. Após a extração, o código mapeia os campos extraídos para o modelo de dados unificado (UDM), processa transformações de dados específicas e enriquece os dados com contexto adicional, como geolocalização e gravidade da segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
  • Acesso privilegiado ao ManageEngine AD360

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MANAGE_ENGINE_AD360'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure a exportação de Syslog do ManageEngine AD360

  1. Inicie sessão na IU Web do AD360.
  2. Aceda a Administração > Administração > Integração de SIEM.
  3. Clique no link Configurar agora junto ao componente ADSelfService.
  4. Indique os seguintes detalhes de configuração:
    • Tipo de servidor: selecione Syslog.
    • Nome/IP do servidor: introduza o endereço IP do agente do Bindplane.
    • Porta: introduza o número da porta do agente do Bindplane.
    • Protocolo: selecione UDP.
    • Padrão Syslog: selecione RFC5424.
    • Clique na lista Avançadas.
    • Gravidade: selecione Informativa.
  5. Clique em Configurar para guardar.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
AccessControlRuleName security_result.rule_name Valor retirado do campo AccessControlRuleName, se existir, caso contrário, do campo rule_name
ACPolicy security_result.rule_labels.value Valor retirado do campo ACPolicy
ação security_result.action_details Mapeado diretamente para o UDM
action_id security_result.detection_fields.value Valor retirado do campo action_id
application_protocol network.application_protocol Mapeado diretamente para o UDM
bytes network.sent_bytes Mapeado diretamente para o UDM
client_ip principal.ip Mapeado diretamente para o UDM
ConnectionID network.session_id Valor retirado do campo connection_id, se existir, caso contrário, do campo ConnectionID e, caso contrário, do campo ses
destination_ip target.ip Mapeado diretamente para o UDM
destination_port target.port Mapeado diretamente para o UDM
DeviceUUID target.asset_id Valor retirado do campo DeviceUUID, se existir, caso contrário, do campo distinguished_name_device_id
distinguished_name_device_id target.asset_id Valor retirado do campo DeviceUUID, se existir, caso contrário, do campo distinguished_name_device_id
distinguished_name_user target.user.userid Mapeado diretamente para o UDM
DST target.ip Valor retirado do campo DST, se existir, caso contrário, do campo DstIP
TPD target.port Valor retirado do campo DPT, se existir, caso contrário, do campo DstPort e, caso contrário, do campo destination_port
DstIP target.ip Valor retirado do campo DST, se existir, caso contrário, do campo DstIP
DstPort target.port Valor retirado do campo DPT, se existir, caso contrário, do campo DstPort e, caso contrário, do campo destination_port
EgressInterface additional.fields.value.string_value Mapeado diretamente para o UDM
EgressZone target.location.name Mapeado diretamente para o UDM
EventPriority security_result.severity Mapeado para diferentes níveis de gravidade com base no valor do campo EventPriority.
exe principal.process.command_line Mapeado diretamente para o UDM
geoip.city_name principal.location.city Mapeado diretamente para o UDM
geoip.country_name principal.location.country_or_region Mapeado diretamente para o UDM
geoip.latitude principal.location.region_latitude Mapeado diretamente para o UDM
geoip.longitude principal.location.region_longitude Mapeado diretamente para o UDM
http_status network.http.response_code Mapeado diretamente para o UDM
id metadata.product_log_id Mapeado diretamente para o UDM
IngressInterface additional.fields.value.string_value Mapeado diretamente para o UDM
IngressZone principal.location.name Mapeado diretamente para o UDM
LEN additional.fields.value.string_value Mapeado diretamente para o UDM
message_number Não mapeado
NAPPolicy security_result.rule_labels.value Valor retirado do campo NAPPolicy
network_direction network.direction Mapeado diretamente para o UDM
OUT additional.fields.value.string_value Mapeado diretamente para o UDM
pid target.process.pid Mapeado diretamente para o UDM
ppid target.process.parent_process.pid Mapeado diretamente para o UDM
PREC additional.fields.value.string_value Mapeado diretamente para o UDM
principal_hostname principal.hostname Mapeado diretamente para o UDM
product_event_type metadata.product_event_type Mapeado diretamente para o UDM
protocolo network.ip_protocol Usado para preencher o campo PROTO e, em seguida, mapeado para UDM através de uma tabela de pesquisa.
PROTO network.ip_protocol Mapeado para o UDM através de uma tabela de consulta com base no número do protocolo.
request_method network.http.method Mapeado diretamente para o UDM
rule_name security_result.rule_name Valor retirado do campo AccessControlRuleName, se existir, caso contrário, do campo rule_name
ses network.session_id Valor retirado do campo connection_id, se existir, caso contrário, do campo ConnectionID e, caso contrário, do campo ses
source_ip principal.ip Mapeado diretamente para o UDM
source_port principal.port Mapeado diretamente para o UDM
SPT principal.port Valor retirado do campo SPT, se existir, caso contrário, do campo SrcPort e, caso contrário, do campo source_port
SRC principal.ip Valor retirado do campo SRC, se existir, caso contrário, do campo SrcIP e, caso contrário, do campo client_ip
SrcIP principal.ip Valor retirado do campo SRC, se existir, caso contrário, do campo SrcIP e, caso contrário, do campo client_ip
SrcPort principal.port Valor retirado do campo SPT, se existir, caso contrário, do campo SrcPort e, caso contrário, do campo source_port
timestamp metadata.event_timestamp Mapeado diretamente para o UDM
TOS additional.fields.value.string_value Mapeado diretamente para o UDM
TTL additional.fields.value.string_value Mapeado diretamente para o UDM
URL target.url Mapeado diretamente para o UDM
user_agent network.http.user_agent Mapeado diretamente para o UDM
WINDOW additional.fields.value.string_value Mapeado diretamente para o UDM
metadata.vendor_name O valor está codificado como MANAGE_ENGINE_AD360
metadata.product_name O valor está codificado como MANAGE_ENGINE_AD360
metadata.log_type O valor está codificado como MANAGE_ENGINE_AD360
metadata.event_type O valor é definido como NETWORK_CONNECTION se os campos SRC e DST estiverem presentes. Caso contrário, é definido como STATUS_UPDATE se o campo SRC ou principal_hostname estiver presente. Se nenhuma destas condições for cumprida, é usado GENERIC_EVENT por predefinição.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.