Kaseya Datto File Protection-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie mit Bindplane Kaseya Datto File Protection-Logs in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus Datto S4P4-Syslog-Nachrichten mithilfe von Grok-Mustern, ordnet sie dem Unified Data Model (UDM) zu und kategorisiert Ereignisse basierend auf der Severity des Syslogs. Insbesondere werden CEF-formatierte Daten in der Syslog-Nachricht verarbeitet. Dabei werden wichtige Felder wie Anbieter, Produkt, Version und Ereignisdetails zur Anreicherung und Klassifizierung extrahiert.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Windows 2016 oder höher oder ein Linux-Host mit
systemd. - Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
- Berechtigter Zugriff auf Datto Siris oder Alto
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsressourcen
Weitere Installationsoptionen finden Sie im Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet
- Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano,vioder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DATTO_FILE_PROTECTION' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonim Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden
Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
sudo systemctl restart bindplane-agentSie können den Bindplane-Agenten in Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog für Datto Siris und Alto konfigurieren
- Melden Sie sich in der Datto-Webkonsole an.
- Gehen Sie zu Konfigurieren > Geräteeinstellungen > Remote-Logging.
- Aktivieren Sie Remote-Logging.
- Geben Sie die folgenden Konfigurationsdetails an:
- Der Bindplane-Agent muss so konfiguriert sein, dass er über die TCP-Verbindung den Port 514 überwacht.
- IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Klicken Sie auf Übernehmen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
act |
security_result.category_details |
Der Wert von act aus dem Erweiterungsfeld des Rohlogs. |
desc |
metadata.description |
Der Wert des Felds description, der mithilfe von Grok aus dem Feld desc extrahiert wurde. |
dvc |
target.ip |
Der Wert von dvc aus dem Erweiterungsfeld des Rohlogs. |
extensions |
security_result.category_details, target.ip |
Mit dem kv-Filter geparst, um act und dvc zu extrahieren, die dann UDM-Feldern zugeordnet werden. |
hostname |
principal.hostname |
Der Hostname, der aus der Roh-Lognachricht extrahiert wurde. |
log_id |
metadata.product_log_id |
Die Log-ID, die aus der Roh-Lognachricht extrahiert wurde. |
prod_dvc_version |
metadata.product_version |
Die Produktversion, die aus dem Feld desc des Rohlogs extrahiert wurde. Muss mit principal.hostname übereinstimmen. Setzen Sie STATUS_UPDATE, wenn hostname oder dvc im Rohprotokoll vorhanden sind, andernfalls „GENERIC_EVENT“. Hartcodierter Wert \n\n\0017, wenn das Feld extensions im Rohprotokoll vorhanden ist. Der Zeitstempel, der aus der Roh-Lognachricht extrahiert wurde. Muss mit edr.raw_event_name übereinstimmen. Hartcodierter Wert DATTO_FILE_PROTECTION. Hartcodierter Wert S4P4. Hartcodierter Wert Datto. Abgeleitet von syslog_severity_code. Ist der Wert kleiner als 3, ist die Schwere NIEDRIG. Bei einem Wert zwischen 2 und 6 ist die Schwere MITTERLANGER. Ist der Wert höher als 5, ist die Schwere „HOCH“. |
timestamp |
metadata.event_timestamp |
Der Zeitstempel, der aus der Roh-Lognachricht extrahiert wurde. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten