이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft IIS 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Bindplane을 사용하여 Microsoft 인터넷 정보 서비스 (IIS) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 먼저 불필요한 문자를 삭제하고 필드 이름을 표준화하여 입력 데이터를 정리하고 정규화하려고 시도합니다. 그런 다음 일련의 grok 패턴을 사용하여 다양한 Microsoft IIS 로그 형식에서 관련 필드를 추출하고 통합 데이터 모델 (UDM)에 매핑합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
Windows 2016 이상이 설치되어 있는지 확인합니다.
프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Windows에 Bindplane 에이전트 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

YAML 파일을 구성하기 전에 서비스 패널에서 observIQ Distro for Open Telemetry Collector 서비스를 중지합니다.
구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
  iis:
    collection_interval: 60s

processors:
  # Resourcedetection is used to add a unique (host.name) to the metric resource(s), allowing users to filter between multiple agent systems.
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]

  normalizesums:

  batch:

exporters:
  chronicle/powershell:
    endpoint: malachiteingestion-pa.googleapis.com
    # Adjust the path to the credentials file you downloaded in Step 1
    creds: '/path/to/ingestion-authentication-file.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<customer_id>'

service:
  pipelines:
    logs/winpowershell:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters: [chronicle/iis]

<customer_id>를 실제 고객 ID로 바꿉니다.
Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.
config.yaml 파일을 저장한 후 observIQ Distro for Open Telemetry Collector 서비스를 시작합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
@timestamp	metadata.event_timestamp	원시 로그에 기록된 이벤트의 타임스탬프입니다.
@version	metadata.product_version	IIS 서버 버전입니다.
AgentDevice	additional.fields.AgentDevice.value.string_value	로그를 생성한 기기입니다.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	로그 파일의 이름입니다.
ASP.NET_SessionId	network.session_id	사용자의 세션 ID입니다.
c-ip	principal.ip	클라이언트의 IP 주소입니다.
채널	security_result.about.resource.attribute.labels.Channel.value	이벤트가 기록된 채널입니다.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	이벤트가 기록된 채널의 ID입니다.
컴퓨터	target.hostname	타겟 머신의 호스트 이름입니다.
cs-bytes	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cs-host	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
cs-method	network.http.method	클라이언트에서 사용한 HTTP 메서드입니다.
cs-uri-query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
cs-uri-stem	target.url	클라이언트가 요청한 URL의 경로입니다.
cs-username	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
cs-version	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
cs(쿠키)		쿠키 정보를 추출하는 데 사용됩니다.
cs(리퍼러)	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
cs(User-Agent)	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csbyte	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cshost	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
csip	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
csmethod	network.http.method	클라이언트에서 사용한 HTTP 메서드입니다.
csreferer	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
csuseragent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csusername	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
csversion	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
날짜		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
description	security_result.description	이벤트에 대한 설명입니다.
devicename	target.hostname	타겟 머신의 호스트 이름입니다.
dst_ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
dst_port	target.port	타겟 머신의 포트 번호입니다.
기간		요청 기간(밀리초)입니다.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	이벤트가 대기열에 추가된 시간(UTC)입니다.
EventID	metadata.product_log_id	이벤트 ID입니다.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	이벤트가 처리된 시간(UTC)입니다.
EventTime	metadata.event_timestamp	이벤트의 타임스탬프입니다.
EventType	metadata.product_event_type	이벤트 유형입니다.
file_path	target.file.full_path	이벤트와 관련된 파일의 전체 경로입니다.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	필터의 ID입니다.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	필터의 키입니다.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	필터의 이름입니다.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	필터 유형입니다.
호스트	target.hostname	타겟 머신의 호스트 이름입니다.
host.architecture	principal.asset.hardware.cpu_platform	호스트 머신의 아키텍처입니다.
host.geo.name	additional.fields.geo_name.value.string_value	호스트 머신의 지리적 위치입니다.
host.hostname	target.hostname, target.asset.hostname	호스트 머신의 호스트 이름입니다.
host.id	observer.asset_id	호스트 머신의 ID입니다.
host.ip	principal.ip, principal.asset.ip	호스트 머신의 IP 주소입니다.
host.mac	principal.mac	호스트 머신의 MAC 주소입니다.
host.os.build	additional.fields.os_build.value.string_value	호스트 머신의 운영체제 빌드 번호입니다.
host.os.kernel	principal.platform_patch_level	호스트 머신의 운영체제 커널 버전입니다.
host.os.name	additional.fields.os_name.value.string_value	호스트 머신의 운영체제 이름입니다.
host.os.platform	principal.platform	호스트 머신의 운영체제 플랫폼입니다.
host.os.version	principal.platform_version	호스트 머신의 운영체제 버전입니다.
http_method	network.http.method	클라이언트에서 사용한 HTTP 메서드입니다.
http_response	network.http.response_code	HTTP 응답 코드입니다.
http_status_code	network.http.response_code	응답의 HTTP 상태 코드입니다.
http_substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
인스턴스	additional.fields.instance.value.string_value	작업의 인스턴스 ID입니다.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	중간 기기의 호스트 이름입니다.
json_message		JSON 형식의 원시 로그 메시지입니다.
kv_fields		원시 로그 메시지에서 키-값 쌍을 추출하는 데 사용됩니다.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	레이어의 키입니다.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	레이어의 이름입니다.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	레이어의 ID입니다.
log.file.path	target.file.full_path	로그 파일의 전체 경로입니다.
log.offset	metadata.product_log_id	로그 파일에서 이벤트의 오프셋입니다.
logstash.collect.host	observer.hostname	로그를 수집한 머신의 호스트 이름입니다.
logstash.process.host	intermediary.hostname	로그를 처리한 시스템의 호스트 이름입니다.
logstash_json_message		JSON 형식의 원시 로그 메시지입니다.
메시지	security_result.description	원시 로그 메시지입니다.
사역	additional.fields.ministry.value.string_value	이벤트와 연결된 부처입니다.
name		항목 이름입니다.
NewValue	additional.fields.NewValue.value.string_value	구성 설정의 새 값입니다.
OldValue	additional.fields.OldValue.value.string_value	구성 설정의 이전 값입니다.
포트	principal.port	클라이언트의 포트 번호입니다.
priority_code		syslog 메시지의 우선순위 코드입니다.
ProcessID	principal.process.pid	이벤트를 생성한 프로세스의 프로세스 ID입니다.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	제공업체의 GUID입니다.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	제공업체의 키입니다.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	제공업체의 이름입니다.
리퍼러_url	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
request_url	target.url	클라이언트가 요청한 URL입니다.
s-computername	target.hostname	타겟 머신의 호스트 이름입니다.
s-ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
s-port	target.port	타겟 머신의 포트 번호입니다.
s-sitename	additional.fields.sitename.value.string_value	사이트의 이름입니다.
sc-bytes	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
sc-status	network.http.response_code	응답의 HTTP 상태 코드입니다.
sc-substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
sc-win32-status		응답의 Windows 상태 코드입니다.
scbyte	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
scstatus	network.http.response_code	응답의 HTTP 상태 코드입니다.
줄이는 것을	security_result.severity	이벤트의 심각도입니다.
service.type	additional.fields.service_type.value.string_value	서비스 유형입니다.
sIP	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
sPort	principal.port	클라이언트의 포트 번호입니다.
sSiteName	additional.fields.sitename.value.string_value	사이트의 이름입니다.
src_ip	principal.ip, principal.asset.ip, observer.ip	클라이언트의 IP 주소입니다.
src_port	principal.port	클라이언트의 포트 번호입니다.
sysdate		syslog 메시지의 날짜 및 시간입니다.
syslog_facility	security_result.severity_details	syslog 메시지의 기능입니다.
syslog_pri		syslog 메시지의 우선순위입니다.
syslog_severity	security_result.severity_details	syslog 메시지의 심각도입니다.
syslog_severity_code		syslog 메시지의 심각도 코드입니다.
tags	security_result.rule_name	이벤트와 연결된 태그입니다.
태스크	additional.fields.task.value.string_value	태스크 이름
시간		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
time-taken		요청 기간(밀리초)입니다.
uri_query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
user_agent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
사용자 이름	target.user.userid	사용자의 이름입니다.
UserSid	target.user.windows_sid	사용자의 Windows SID입니다.
가중치	security_result.about.resource.attribute.labels.Weight.value	필터의 가중치입니다.
win32_status		응답의 Windows 상태 코드입니다.
xforwardedfor		쉼표로 구분된 IP 주소 목록이 포함된 X-Forwarded-For 헤더
	metadata.log_type	`IIS`
	network.direction	`INBOUND`
	metadata.vendor_name	`Microsoft`
	metadata.product_name	`Internet Information Server`
	metadata.event_type	`NETWORK_HTTP`, `USER_UNCATEGORIZED`, `GENERIC_EVENT`, `STATUS_UPDATE`, `USER_LOGOUT`, `USER_LOGIN`
	extensions.auth.type	`MACHINE`

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.