收集 ManageEngine ADAudit Plus 記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 Bindplane 代理程式,將 ManageEngine ADAudit Plus 記錄匯入 Google 安全作業。剖析器會處理 ADAudit Plus 的記錄,並將這些記錄轉換為 UDM 格式。它會使用 grok 模式,從 SYSLOG (CEF) 和鍵/值格式訊息中擷取欄位,並根據警示和報表設定檔衍生的事件類型,將這些欄位對應至 UDM 欄位,藉此透過額外情境資訊豐富資料。剖析器也會處理特定情況,例如登入失敗、使用者變更和檔案修改,並據此調整 UDM 對應項目。
事前準備
- 確認您有 Google SecOps 執行個體。
- 請確認您使用的是 Windows 2016 或更新版本,或是支援
systemd的 Linux 主機。 - 如果在 Proxy 後方執行,請確認防火牆通訊埠已開啟。
- 確認您具備 ManageEngine ADAudit 的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。請在將要安裝 Bindplane 的系統上,安全地儲存檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」部分中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟命令提示字元或 PowerShell。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有 root 或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,以便擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ADAUDIT_PLUS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。在「取得 Google SecOps 攝入驗證檔案」部分,將
/path/to/ingestion-authentication-file.json更新為驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,您可以使用「Services」主控台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 ManageEngine ADAudit Plus 系統記錄檔
- 登入 ManageEngine ADAudit Plus 網頁式使用者介面。
- 依序前往「管理」>「設定」>「SIEM 整合」。
- 選取「啟用」即可傳送 ADAudit Plus 記錄。
- 選取「ArcSight (CEF)」格式。
- 提供下列設定詳細資料:
- IP 位址:Bindplane 代理程式 IP 位址。
- Port:Bindplane 通訊埠編號,例如 UDP 的
514。 - 目標類型:選取「UDP」 (也可以視 Bindplane 代理程式設定選取「TCP」)。
- 按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
ACCOUNT_DOMAIN |
principal.administrative_domain |
原始記錄檔中的 ACCOUNT_DOMAIN 值會指派給這個 UDM 欄位。 |
ACCOUNT_NAME |
principal.user.userid |
原始記錄檔中的 ACCOUNT_NAME 值會指派給這個 UDM 欄位。 |
ALERT_PROFILE |
security_result.summary |
原始記錄檔中的 ALERT_PROFILE 值會指派給這個 UDM 欄位。 |
APPLICATION_NAME |
target.resource.name |
原始記錄檔中的 APPLICATION_NAME 值會指派給這個 UDM 欄位。並將 target.resource.resource_type 設為 TASK,將 has_target_resource 設為 true。 |
CALLER_DISPLAY_NAME |
target.user.user_display_name |
原始記錄檔中的 CALLER_DISPLAY_NAME 值會指派給這個 UDM 欄位。 |
CALLER_USER_NAME |
target.user.userid |
原始記錄檔中的 CALLER_USER_NAME 值會指派給這個 UDM 欄位。 |
CALLER_USER_SID |
target.group.windows_sid |
移除字元 [%,{,}] 後,原始記錄檔中的 CALLER_USER_SID 值會指派給這個 UDM 欄位。只有在值符合 Windows SID 模式時,系統才會執行這項操作。 |
Category |
metadata.product_event_type |
原始記錄檔中的 Category 值會指派給這個 UDM 欄位。 |
CLIENT_HOST_NAME |
target.hostname、target.asset.hostname |
原始記錄檔中的 CLIENT_HOST_NAME 值會指派給這些 UDM 欄位。 |
CLIENT_IP_ADDRESS |
target.ip、target.asset.ip |
系統會驗證原始記錄中的 CLIENT_IP_ADDRESS 值是否為有效 IP 位址,並將其指派給這些 UDM 欄位。 |
CLIENT_PORT |
target.port |
將原始記錄中的 CLIENT_PORT 值轉換為整數後,系統會將該值指派給這個 UDM 欄位。 |
DOMAIN |
target.administrative_domain |
原始記錄檔中的 DOMAIN 值會指派給這個 UDM 欄位。這個值之後可能會由 ACCOUNT_DOMAIN (如有) 覆寫。 |
FILE_LOCATION |
target.file.full_path |
原始記錄檔中的 FILE_LOCATION 值會指派給這個 UDM 欄位。 |
FILE_NAME |
target.file.full_path |
如果沒有 FILE_LOCATION,系統會將原始記錄檔中的 FILE_NAME 值指派給這個 UDM 欄位。 |
FORMAT_MESSAGE |
security_result.description |
原始記錄檔中的 FORMAT_MESSAGE 值會指派給這個 UDM 欄位。部分欄位可用於填入其他 UDM 欄位,然後從說明中移除。 |
IP |
principal.ip、principal.asset.ip |
系統會驗證原始記錄中的 IP 值是否為有效 IP 位址,並將其指派給這些 UDM 欄位。 |
loggerHost |
intermediary.hostname、intermediary.asset.hostname |
從原始記錄檔的訊息欄位擷取的 loggerHost 值會指派給這些 UDM 欄位。 |
login_name |
target.user.userid 或 target.user.email_addresses 或 target.user.user_display_name |
如果值包含 @,系統會將其視為電子郵件地址。如果含有空格,則會視為顯示名稱。否則,系統會將其視為使用者 ID。並將 event_type 設為 USER_LOGIN、extensions.auth.type 設為 MACHINE,以及 extensions.auth.mechanism 設為 USERNAME_PASSWORD。 |
RECORD_NUMBER |
principal.process.pid |
原始記錄檔中的 RECORD_NUMBER 值會指派給這個 UDM 欄位。 |
REPORT_PROFILE |
metadata.description |
原始記錄檔中的 REPORT_PROFILE 值會指派給這個 UDM 欄位。 |
SEVERITY |
security_result.severity |
SEVERITY 的值會決定這個 UDM 欄位的值:1 對應為低,2 對應為中,3 對應為高。如果 SEVERITY 為 3,也會將 is_significant 設為 true,否則設為 false。 |
SOURCE |
principal.hostname、principal.asset.hostname |
原始記錄檔中的 SOURCE 值會與 DOMAIN 值一併指派給這些 UDM 欄位 (如果 SOURCE 不含網域部分)。並將 has_principal_host 設為 true。 |
TIME_GENERATED |
metadata.event_timestamp.seconds |
原始記錄檔中的 TIME_GENERATED 值會用來做為事件時間戳記。 |
UNIQUE_ID |
metadata.product_log_id |
原始記錄檔中的 UNIQUE_ID 值會指派給這個 UDM 欄位。 |
USERNAME |
principal.user.userid |
如果沒有 ACCOUNT_NAME,系統會將原始記錄檔中的 USERNAME 值指派給這個 UDM 欄位。 |
USER_OU_GUID |
metadata.product_log_id |
如果沒有 UNIQUE_ID,則會將原始記錄檔中 USER_OU_GUID 的值 (移除大括號後) 指派給這個 UDM 欄位。 |
access_mode |
security_result.detection_fields.value |
原始記錄中的 access_mode 值會指派給這個 UDM 欄位,並將鍵設為 ACCESS_MODE。 |
action_name |
security_result.description |
原始記錄檔中的 action_name 值會指派給這個 UDM 欄位。 |
domain_name |
principal.administrative_domain |
原始記錄檔中的 domain_name 值會指派給這個 UDM 欄位。 |
event.idm.is_alert |
event.idm.is_alert |
如果 ALERT_PROFILE 是 Alert、User Account Locked Out 或與 Unusual Activity.*? 相符,請將此值設為 true。否則設為 false。 |
event.idm.is_significant |
event.idm.is_significant |
如果 SEVERITY 為 3,請將其設為 true。否則設為 false。 |
event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
如果 login_name 存在或 event_type 為 USER_LOGIN,請設為 USERNAME_PASSWORD。 |
event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
如果 login_name 存在或 event_type 為 USER_LOGIN,請設為 MACHINE。 |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
由剖析器根據 ALERT_PROFILE、REPORT_PROFILE 和 FORMAT_MESSAGE 的值決定。可以是以下任一值:USER_CHANGE_PERMISSIONS、USER_STATS、USER_LOGIN、USER_CHANGE_PASSWORD、SETTING_MODIFICATION、FILE_DELETION、FILE_MODIFICATION、STATUS_SHUTDOWN、SCHEDULED_TASK_CREATION、FILE_READ、NETWORK_CONNECTION、GENERIC_EVENT、USER_UNCATEGORIZED 或 STATUS_UPDATE。 |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
一律設為 ADAUDIT_PLUS。 |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
一律設為 ADAudit Plus。 |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
一律設為 Zoho Corporation。 |
host |
principal.hostname、principal.asset.hostname |
原始記錄檔中的 host 值會指派給這些 UDM 欄位。並將 has_principal_host 設為 true。 |
intermediary.hostname、intermediary.asset.hostname |
intermediary.hostname、intermediary.asset.hostname |
設為 loggerHost 的值。 |
principalHost |
principal.hostname、principal.asset.hostname |
系統會檢查是否為 IP 位址,然後將原始記錄檔中的 principalHost 值指派給這些 UDM 欄位。並將 has_principal_host 設為 true。 |
security_result.action |
security_result.action |
如果 outcome 或 msg_data_2 包含 Success,或是 FORMAT_MESSAGE 包含 Status:Success,請將其設為 ALLOW。如果 status 包含 denied、locked out、incorrect、does not meet 或 Unable to validate,請將其設為 BLOCK。如果 ALERT_PROFILE 為 Logon Failures for Admin Users,請設為 BLOCK。 |
security_result.category |
security_result.category |
如果 event_type 為 USER_STATS,或 ALERT_PROFILE 為 Logon Failures for Admin Users,請設為 POLICY_VIOLATION。 |
security_result.rule_name |
security_result.rule_name |
如果 FORMAT_MESSAGE 欄位含有 Reason:,則會從該欄位擷取。 |
status |
security_result.summary |
原始記錄檔中的 status 值會指派給這個 UDM 欄位。 |
targetHost |
target.hostname、target.asset.hostname 或 target.ip、target.asset.ip |
系統會檢查是否為 IP 後,將原始記錄中的 targetHost 值指派給這些 UDM 欄位。 |
targetUser |
target.user.userid |
原始記錄檔中的 targetUser 值會指派給這個 UDM 欄位。 |
_CNtargetUser |
target.user.user_display_name |
原始記錄檔中的 _CNtargetUser 值會指派給這個 UDM 欄位。 |
_user |
principal.user.userid或target.user.userid |
除非 event_type 為 USER_CHANGE_PASSWORD,否則原始記錄檔中的 _user 值會指派給 principal.user.userid,在這種情況下,會指派給 target.user.userid。 |
異動
2025-02-19
改善項目:
- 將
EVENT_NUMBER、REMARKS、EVENT_TYPE、ATTRIBUTES_NEW_VALUE、ATTRIBUTES_OLD_VALUE和OPERATION_TYPE對應至additional.fields。 - 已將
EVENT_TYPE_TEXT對應至security_result.detection_fields。 - 已將
ACCOUNT_NAME對應至principal.user.user_display_name。
2024-05-20
改善項目:
- 如果欄位
outcome的值與Success相似,請將security_result.action設為ALLOW。 - 如果欄位
msg_data的值與Success相似,請將security_result.action設為ALLOW。 - 在
msg_data上新增 Grok 模式,用於擷取act、suid和reason。 - 已將
msg_data對應至security_result.description。 - 將
cs1、cs3、cs4、cs5、cn1、cn2和cn3對應至 `additional.fields。
2024-01-19
改善項目:
- 修改 Grok 模式,以便剖析未剖析的記錄。
- 已將
IP對應至principal.asset.ip。 - 已將
_PrincipalIP對應至principal.asset.ip。 - 已將
host對應至principal.asset.hostname。 - 已將
principalHost對應至principal.asset.hostname。 - 已將
SOURCE對應至principal.asset.hostname。 - 已將
_TargetIP對應至target.asset.ip。 - 已將
CLIENT_IP_ADDRESS對應至target.asset.hostname。 - 已將
CLIENT_HOST_NAME對應至target.asset.hostname。 - 已將
targetHost對應至target.asset.hostname。
2023-10-17
修正錯誤:
- 在將
IP對應至principal.ip之前,新增 IP 檢查功能。 - 在將
CLIENT_IP_ADDRESS對應至target.ip之前,新增 IP 檢查功能。 - 新增驗證檢查功能,在對應至
principal.group.windows_sid之前驗證ACCOUNT_SID。 - 新增驗證檢查功能,在對應至
target.group.windows_sid之前驗證CALLER_USER_SID。 - 如果有
principal,請將event_type設為STATUS_UPDATE。 - 修改 Grok 模式,從新的
FORMAT_MESSAGE模式剖析file_path。 - 在
event_type為SCHEDULED_TASK_CREATION時新增has_target_resource檢查功能。
2023-03-17
改善項目:
- 支援的 CEF 格式記錄,並對應下列欄位:
IP已對應至principal.ip。LOGIN NAME已對應至target.user.userid or target.user.email_addresses or target.user.user_display_name。DOMAIN NAME已對應至principal.administrative_domain。HOST已對應至principal.hostname。ACCESS_MODE已對應至security_result.detection_fields。STATUS已對應至security_result.summary。- 如果
STATUS為success,則security_result.action會對應至ALLOW;如果STATUS為denied or incorrect,則security_result.action會對應至BLOCK。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。