このページは Cloud Translation API によって翻訳されました。

Attivo Networks BOTsink のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Attivo Networks BOTsink ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず受信したログメッセージを JSON として解析しようとします。これが失敗した場合は、一連の Grok パターンを使用して Common Event Format（CEF）形式のメッセージからフィールドを抽出し、さまざまな形式と潜在的なエラーを処理します。最後に、抽出されたフィールドを統合データモデル（UDM）スキーマにマッピングし、追加のコンテキストでデータを拡充して出力を標準化します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
Attivo Networks への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux へのインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ATTIVO'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際のお客様 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Attivo Networks BOTsink で Syslog を構成する

Attiva Networks ウェブ UI にログインします。
[Administration] > [Management] > [Syslog] に移動します。
[追加] をクリックして新しい Syslog プロファイルを作成します。
プロファイルにわかりやすい名前を付けます。
[イベント転送] で [有効] を選択します。
BOTsink 標準の構成を指定します。
- 非常に低い: [情報] を選択します。
- 低: [警告] を選択します。
- Medium: [アラート] を選択します。
- 高: [重大] を選択します。
- 非常に高い: [緊急] を選択します。
- [メッセージ形式] で [CEF] を選択します。
プロファイルセクションで [新しい接続を追加] を選択します。
次の構成情報を提供してください。
- サーバー名: Google SecOps を識別できるわかりやすい名前を入力します。
- Profile Name: 前に作成した CEF syslog プロファイルを選択します。
- IP アドレス: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します（UDP の場合は 514 を入力します）。
- プロトコル: [UDP] を選択します。
[接続をテスト] をクリックし、Bindplane エージェントと Google SecOps でテストデータが受信されることを確認します。
[OK] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
alertID	read_only_udm.metadata.product_log_id	値は `alertID` フィールドから取得されます。
猫	read_only_udm.security_result.action_details	値は `cat` フィールドから取得されます。
CEFDeviceProduct	read_only_udm.metadata.product_name	値は `CEFDeviceProduct` フィールドから取得されます。
CEFDeviceVendor	read_only_udm.metadata.vendor_name	値は `CEFDeviceVendor` フィールドから取得されます。
CEFDeviceVersion	read_only_udm.metadata.product_version	値は `CEFDeviceVersion` フィールドから取得されます。
CEFName		`operation`、`result`、`module`、`descrip` フィールドの抽出に使用されます。
CEFSeverity	read_only_udm.security_result.severity	次のルールに基づいて `CEFSeverity` フィールドからマッピングされます。 - `error` または `warning`: `HIGH` - `(?i)critical`: `CRITICAL` - `(?i)notice` または `(?i)MEDIUM`: `MEDIUM` - `information`、`info`、`Very-Low`、または `Low`: `LOW`
CEFSignatureID	read_only_udm.security_result.rule_id	値は `CEFSignatureID` フィールドから取得されます。
cef_version	read_only_udm.additional.fields.value.string_value	値は `cef_version` フィールドから取得されます。
	read_only_udm.additional.fields.key	静的値: `CEFVersion`
descrip	read_only_udm.metadata.description	値は `descrip` フィールドから取得されます。
dest_domain	read_only_udm.target.domain.name	値は `dest_domain` フィールドから取得されます。
dhost	read_only_udm.target.hostname	`service` が `NETBIOS` の場合、値は `dhost` フィールドから取得されます。
dIPDomain	read_only_udm.target.domain.name	`dest_domain` が空の場合、値は `dIPDomain` フィールドから取得されます。
dst	read_only_udm.target.ip	値は `dst` フィールドから取得されます。
dst_os	read_only_udm.target.asset.platform_software.platform_version	値は `dst_os` フィールドから取得されます。
dpt	read_only_udm.target.port	値は `dpt` フィールドから取得され、整数に変換されます。
dvc	read_only_udm.principal.hostname、read_only_udm.target.ip、read_only_udm.intermediary.hostname	論理は、`dvc`、`src`、`sip` フィールドの値によって異なります。これらのフィールドの可用性と形式に基づいて、プリンシパルホスト名、ターゲット IP、または中間ホスト名にマッピングできます。
intf	read_only_udm.additional.fields.value.string_value	値は `intf` フィールドから取得され、文字列に変換されます。
	read_only_udm.additional.fields.key	静的値: `intf`
mitreTacticName	read_only_udm.security_result.rule_name	値は `mitreTacticName` フィールドから取得されます。
mitreTechniqueId	read_only_udm.security_result.detection_fields.value	値は `mitreTechniqueId` フィールドから取得されます。
	read_only_udm.security_result.detection_fields.key	静的値: `Technique name`
mitreTechniqueName	read_only_udm.security_result.detection_fields.value	値は `mitreTechniqueName` フィールドから取得されます。
	read_only_udm.security_result.detection_fields.key	静的値: `Technique name`
モジュール	read_only_udm.additional.fields.value.string_value	値は `module` フィールドから取得されます。
	read_only_udm.additional.fields.key	静的値: `module`
msg	read_only_udm.metadata.description	値は、`protocol` フィールドを抽出した後に `msg` フィールドから取得されます。
オペレーション	read_only_udm.additional.fields.value.string_value	値は `operation` フィールドから取得されます。
	read_only_udm.additional.fields.key	静的値: `operation`
プロトコル	read_only_udm.network.ip_protocol	値は `protocol` フィールドから取得されます（`TCP` または `UDP` の場合）。
結果	read_only_udm.security_result.action	次のルールに基づいて `result` フィールドからマッピングされます。 - `(?i)SUCCESS` または `(?i)ALLOW`: `ALLOW` - `CHALLENGE`: `CHALLENGE` - `FAILURE`、`DENY`、`SKIPPED`、`RATE_LIMIT`: `BLOCK`
rt	read_only_udm.metadata.event_timestamp	値は `rt` フィールドから取得され、ミリ秒単位の UNIX タイムスタンプとして解析されます。
shost	read_only_udm.principal.hostname	値は `shost` フィールドから取得されます。
sip	read_only_udm.principal.hostname、read_only_udm.principal.ip	ロジックは、`dvc` フィールドと `sip` フィールドの値によって異なります。これらのフィールドの可用性と形式に基づいて、プリンシパルのホスト名または IP にマッピングできます。
smac	read_only_udm.principal.mac	値は `smac` フィールドから取得されます。
ソース	read_only_udm.principal.hostname	値は `source` フィールドから取得されます。
source_domain	read_only_udm.principal.domain.name	値は `source_domain` フィールドから取得されます。
src	read_only_udm.principal.ip	値は `src` フィールドから取得されます。
subscriberName	read_only_udm.additional.fields.value.string_value	値は `subscriberName` フィールドから取得されます。
	read_only_udm.additional.fields.key	静的値: `Subscriber Name`
suser	read_only_udm.principal.user.userid、read_only_udm.principal.user.user_display_name	値は、ユーザー名を抽出した後に `suser` フィールドから取得されます。
threshold	read_only_udm.additional.fields.value.string_value	値は `threshold` フィールドから取得されます。
	read_only_udm.additional.fields.key	静的値: `arp-scan-threshold`
usrname	read_only_udm.principal.user.email_addresses	値は `usrname` フィールドから取得されます（空でないか `N/A` の場合）。
vlan	read_only_udm.principal.labels.value	値は `vlan` フィールドから取得されます。
	read_only_udm.principal.labels.key	静的値: `vlan`
	read_only_udm.metadata.event_type	`src`、`smac`、`shost`、`dst`、`protocol`、`dvc`、`service` フィールドの値に基づいて決定されます。`SCAN_NETWORK`、`NETWORK_CONNECTION`、`NETWORK_UNCATEGORIZED`、`STATUS_UPDATE`、`GENERIC_EVENT` のいずれかです。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。