Kaseya Datto File Protection のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Kaseya Datto File Protection のログを Google Security Operations に取り込む方法について説明します。パーサーは、grok パターンを使用して Datto S4P4 syslog メッセージからフィールドを抽出し、統合データモデル(UDM)にマッピングし、syslog の重大度に基づいてイベントを分類します。特に、syslog メッセージ内の CEF 形式のデータを処理し、ベンダー、プロダクト、バージョン、イベントの詳細などのキーフィールドを抽出して、拡充と分類を行います。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト。 - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Datto Siris または Alto への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DATTO_FILE_PROTECTION' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Datto Siris と Alto の Syslog を構成する
- Datto ウェブ コンソールにログインします。
- [設定] > [デバイスの設定] > [リモート ロギング] に移動します。
- [リモート ロギング] を有効にします。
- 次の構成情報を提供してください。
- TCP 接続でポート 514 をリッスンするように Bindplane エージェントが構成されていることを確認します。
- IP アドレス: Bindplane エージェントの IP アドレスを入力します。
- [適用] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
act |
security_result.category_details |
未加工ログの extensions フィールドの act の値。 |
desc |
metadata.description |
grok を使用して desc フィールドから抽出された description フィールドの値。 |
dvc |
target.ip |
未加工ログの extensions フィールドの dvc の値。 |
extensions |
security_result.category_details、target.ip |
kv フィルタを使用して解析され、act と dvc が抽出されます。これらの値は UDM フィールドにマッピングされます。 |
hostname |
principal.hostname |
未加工のログ メッセージから抽出されたホスト名。 |
log_id |
metadata.product_log_id |
未加工のログメッセージから抽出されたログ ID。 |
prod_dvc_version |
metadata.product_version |
未加工ログの desc フィールドから抽出されたプロダクト バージョン。principal.hostname と同じ値。未加工ログに hostname または dvc が存在する場合は STATUS_UPDATE に設定します。それ以外の場合は「GENERIC_EVENT」に設定します。未加工ログに extensions フィールドが存在する場合は、ハードコードされた値 \n\n\0017。未加工のログメッセージから抽出されたタイムスタンプ。edr.raw_event_name と同じ値。ハードコードされた値 DATTO_FILE_PROTECTION。ハードコードされた値 S4P4。ハードコードされた値 Datto。syslog_severity_code から取得されます。3 未満の場合は重大度は低くなります。2 より大きく 6 より小さい場合、重大度は中程度です。5 より大きい場合は重大度が HIGH です。 |
timestamp |
metadata.event_timestamp |
未加工ログのメッセージから抽出されたタイムスタンプ。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。