ManageEngine ADAudit Plus のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して ManageEngine ADAudit Plus のログを Google Security Operations に取り込む方法について説明します。このパーサーは、ADAudit Plus のログを処理し、UDM 形式に変換します。Grok パターンを使用して、SYSLOG(CEF)と Key-Value 形式の両方のメッセージからフィールドを抽出し、アラート プロファイルとレポート プロファイルから取得したイベントタイプに基づいて UDM フィールドにマッピングし、追加のコンテキストでデータを拡充します。また、ログイン失敗、ユーザーの変更、ファイルの変更などの特定のシナリオも処理し、それに応じて UDM マッピングを調整します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- ManageEngine ADAudit への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。ファイルを、Bindplane をインストールするシステムに安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ADAUDIT_PLUS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
ManageEngine ADAudit Plus の Syslog の構成
- ManageEngine ADAudit Plus ウェブ UI にログインします。
- [管理] > [構成] > [SIEM 統合] に移動します。
- [有効にする] を選択して ADAudit Plus ログを送信します。
- [ArcSight (CEF)] 形式を選択します。
- 次の構成情報を提供してください。
- IP アドレス: Bindplane エージェントの IP アドレス。
- ポート: Bindplane ポート番号(UDP の場合は
514など)。 - ターゲット タイプ: [UDP] を選択します(Bindplane エージェントの構成に応じて、[TCP] を選択することもできます)。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
ACCOUNT_DOMAIN |
principal.administrative_domain |
未加工ログの ACCOUNT_DOMAIN の値がこの UDM フィールドに割り当てられます。 |
ACCOUNT_NAME |
principal.user.userid |
未加工ログの ACCOUNT_NAME の値がこの UDM フィールドに割り当てられます。 |
ALERT_PROFILE |
security_result.summary |
未加工ログの ALERT_PROFILE の値がこの UDM フィールドに割り当てられます。 |
APPLICATION_NAME |
target.resource.name |
未加工ログの APPLICATION_NAME の値がこの UDM フィールドに割り当てられます。また、target.resource.resource_type を TASK に、has_target_resource を true に設定します。 |
CALLER_DISPLAY_NAME |
target.user.user_display_name |
未加工ログの CALLER_DISPLAY_NAME の値がこの UDM フィールドに割り当てられます。 |
CALLER_USER_NAME |
target.user.userid |
未加工ログの CALLER_USER_NAME の値がこの UDM フィールドに割り当てられます。 |
CALLER_USER_SID |
target.group.windows_sid |
未加工ログの CALLER_USER_SID の値は、文字 [%,{,}] を削除した後にこの UDM フィールドに割り当てられます。これは、値が Windows SID パターンと一致する場合にのみ行われます。 |
Category |
metadata.product_event_type |
未加工ログの Category の値がこの UDM フィールドに割り当てられます。 |
CLIENT_HOST_NAME |
target.hostname、target.asset.hostname |
未加工ログの CLIENT_HOST_NAME の値が、これらの UDM フィールドに割り当てられます。 |
CLIENT_IP_ADDRESS |
target.ip、target.asset.ip |
未加工ログの CLIENT_IP_ADDRESS の値は、有効な IP アドレスであることを確認した後に、これらの UDM フィールドに割り当てられます。 |
CLIENT_PORT |
target.port |
未加工ログの CLIENT_PORT の値は、整数に変換された後、この UDM フィールドに割り当てられます。 |
DOMAIN |
target.administrative_domain |
未加工ログの DOMAIN の値がこの UDM フィールドに割り当てられます。この値は、存在する場合は後で ACCOUNT_DOMAIN によって上書きされる可能性があります。 |
FILE_LOCATION |
target.file.full_path |
未加工ログの FILE_LOCATION の値がこの UDM フィールドに割り当てられます。 |
FILE_NAME |
target.file.full_path |
FILE_LOCATION が存在しない場合、未加工ログの FILE_NAME の値がこの UDM フィールドに割り当てられます。 |
FORMAT_MESSAGE |
security_result.description |
未加工ログの FORMAT_MESSAGE の値がこの UDM フィールドに割り当てられます。このフィールドの一部は、他の UDM フィールドへの入力に使用され、説明から削除される場合があります。 |
IP |
principal.ip、principal.asset.ip |
未加工ログの IP の値は、有効な IP アドレスであることを確認した後に、これらの UDM フィールドに割り当てられます。 |
loggerHost |
intermediary.hostname、intermediary.asset.hostname |
未加工ログのメッセージ フィールドから抽出された loggerHost の値が、これらの UDM フィールドに割り当てられます。 |
login_name |
target.user.userid、target.user.email_addresses、または target.user.user_display_name |
値に @ が含まれている場合、その値はメールアドレスとして扱われます。スペースが含まれている場合は、表示名として扱われます。それ以外の場合は、ユーザー ID として扱われます。また、event_type を USER_LOGIN、extensions.auth.type を MACHINE、extensions.auth.mechanism を USERNAME_PASSWORD に設定します。 |
RECORD_NUMBER |
principal.process.pid |
未加工ログの RECORD_NUMBER の値がこの UDM フィールドに割り当てられます。 |
REPORT_PROFILE |
metadata.description |
未加工ログの REPORT_PROFILE の値がこの UDM フィールドに割り当てられます。 |
SEVERITY |
security_result.severity |
SEVERITY の値によって、この UDM フィールドの値が決まります。1 は LOW、2 は MEDIUM、3 は HIGH にマッピングされます。また、SEVERITY が 3 の場合は is_significant を true に、それ以外の場合は false に設定します。 |
SOURCE |
principal.hostname、principal.asset.hostname |
未加工ログの SOURCE の値が、これらの UDM フィールドに割り当てられます。SOURCE にドメイン部分が含まれていない場合は、DOMAIN も割り当てられます。また、has_principal_host を true に設定します。 |
TIME_GENERATED |
metadata.event_timestamp.seconds |
未加工ログの TIME_GENERATED の値がイベント タイムスタンプとして使用されます。 |
UNIQUE_ID |
metadata.product_log_id |
未加工ログの UNIQUE_ID の値がこの UDM フィールドに割り当てられます。 |
USERNAME |
principal.user.userid |
ACCOUNT_NAME が存在しない場合、未加工ログの USERNAME の値がこの UDM フィールドに割り当てられます。 |
USER_OU_GUID |
metadata.product_log_id |
UNIQUE_ID が存在しない場合、未加工ログの USER_OU_GUID の値(中かっこを削除したもの)がこの UDM フィールドに割り当てられます。 |
access_mode |
security_result.detection_fields.value |
未加工ログの access_mode の値がこの UDM フィールドに割り当てられ、キーが ACCESS_MODE に設定されます。 |
action_name |
security_result.description |
未加工ログの action_name の値がこの UDM フィールドに割り当てられます。 |
domain_name |
principal.administrative_domain |
未加工ログの domain_name の値がこの UDM フィールドに割り当てられます。 |
event.idm.is_alert |
event.idm.is_alert |
ALERT_PROFILE が Alert、User Account Locked Out、または Unusual Activity.*? と一致する場合は true に設定します。それ以外の場合は false に設定します。 |
event.idm.is_significant |
event.idm.is_significant |
SEVERITY が 3 の場合は true に設定します。それ以外の場合は false に設定します。 |
event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
login_name が存在する場合、または event_type が USER_LOGIN の場合は USERNAME_PASSWORD に設定します。 |
event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
login_name が存在する場合、または event_type が USER_LOGIN の場合は MACHINE に設定します。 |
event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
ALERT_PROFILE、REPORT_PROFILE、FORMAT_MESSAGE の値に基づいてパーサーによって決定されます。USER_CHANGE_PERMISSIONS、USER_STATS、USER_LOGIN、USER_CHANGE_PASSWORD、SETTING_MODIFICATION、FILE_DELETION、FILE_MODIFICATION、STATUS_SHUTDOWN、SCHEDULED_TASK_CREATION、FILE_READ、NETWORK_CONNECTION、GENERIC_EVENT、USER_UNCATEGORIZED、STATUS_UPDATE のいずれかです。 |
event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
常に ADAUDIT_PLUS に設定。 |
event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
常に ADAudit Plus に設定。 |
event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
常に Zoho Corporation に設定。 |
host |
principal.hostname、principal.asset.hostname |
未加工ログの host の値がこれらの UDM フィールドに割り当てられます。また、has_principal_host を true に設定します。 |
intermediary.hostname、intermediary.asset.hostname |
intermediary.hostname、intermediary.asset.hostname |
loggerHost の値に設定します。 |
principalHost |
principal.hostname、principal.asset.hostname |
未加工ログの principalHost の値は、IP かどうかを確認した後に、これらの UDM フィールドに割り当てられます。また、has_principal_host を true に設定します。 |
security_result.action |
security_result.action |
outcome または msg_data_2 に Success が含まれている場合、または FORMAT_MESSAGE に Status:Success が含まれている場合は、ALLOW に設定します。status に denied、locked out、incorrect、does not meet、Unable to validate が含まれている場合は、BLOCK に設定します。ALERT_PROFILE が Logon Failures for Admin Users の場合、BLOCK に設定します。 |
security_result.category |
security_result.category |
event_type が USER_STATS の場合、または ALERT_PROFILE が Logon Failures for Admin Users の場合、POLICY_VIOLATION に設定します。 |
security_result.rule_name |
security_result.rule_name |
Reason: が含まれている場合は、FORMAT_MESSAGE フィールドから抽出されます。 |
status |
security_result.summary |
未加工ログの status の値がこの UDM フィールドに割り当てられます。 |
targetHost |
target.hostname、target.asset.hostname、または target.ip、target.asset.ip |
未加工ログの targetHost の値は、IP かどうかを確認した後に、これらの UDM フィールドに割り当てられます。 |
targetUser |
target.user.userid |
未加工ログの targetUser の値がこの UDM フィールドに割り当てられます。 |
_CNtargetUser |
target.user.user_display_name |
未加工ログの _CNtargetUser の値がこの UDM フィールドに割り当てられます。 |
_user |
principal.user.userid または target.user.userid |
未加工ログの _user の値は、event_type が USER_CHANGE_PASSWORD でない限り principal.user.userid に割り当てられます。event_type が USER_CHANGE_PASSWORD の場合、target.user.userid に割り当てられます。 |
変更点
2025-02-19
機能強化:
EVENT_NUMBER、REMARKS、EVENT_TYPE、ATTRIBUTES_NEW_VALUE、ATTRIBUTES_OLD_VALUE、OPERATION_TYPEをadditional.fieldsにマッピングしました。EVENT_TYPE_TEXTをsecurity_result.detection_fieldsにマッピングしました。ACCOUNT_NAMEをprincipal.user.user_display_nameにマッピングしました。
2024-05-20
機能強化:
- フィールド
outcomeの値がSuccessに類似している場合は、security_result.actionをALLOWに設定します。 - フィールド
msg_dataの値がSuccessに類似している場合は、security_result.actionをALLOWに設定します。 msg_dataに Grok パターンを追加して、act、suid、reasonを抽出できるようにしました。msg_dataをsecurity_result.descriptionにマッピングしました。cs1、cs3、cs4、cs5、cn1、cn2、cn3をadditional.fieldsにマッピングしました。
2024-01-19
機能強化:
- 未解析ログを解析するように Grok パターンを変更しました。
IPをprincipal.asset.ipにマッピングしました。_PrincipalIPをprincipal.asset.ipにマッピングしました。hostをprincipal.asset.hostnameにマッピングしました。principalHostをprincipal.asset.hostnameにマッピングしました。SOURCEをprincipal.asset.hostnameにマッピングしました。_TargetIPをtarget.asset.ipにマッピングしました。CLIENT_IP_ADDRESSをtarget.asset.hostnameにマッピングしました。CLIENT_HOST_NAMEをtarget.asset.hostnameにマッピングしました。targetHostをtarget.asset.hostnameにマッピングしました。
2023-10-17
バグの修正:
IPをprincipal.ipにマッピングする前に IP チェックを追加しました。CLIENT_IP_ADDRESSをtarget.ipにマッピングする前に IP チェックを追加しました。principal.group.windows_sidにマッピングする前にACCOUNT_SIDの検証チェックを追加しました。target.group.windows_sidにマッピングする前にCALLER_USER_SIDの検証チェックを追加しました。principalが存在する場合は、event_typeをSTATUS_UPDATEに設定します。- 新しいパターン
FORMAT_MESSAGEからfile_pathを解析するように Grok パターンを変更しました。 event_typeがSCHEDULED_TASK_CREATIONの場合のhas_target_resourceのチェックを追加しました。
2023-03-17
機能強化:
- CEF 形式のログをサポートし、次のフィールドをマッピングしました。
IPはprincipal.ipにマッピングされます。LOGIN NAMEはtarget.user.userid or target.user.email_addresses or target.user.user_display_nameにマッピングされます。DOMAIN NAMEはprincipal.administrative_domainにマッピングされます。HOSTはprincipal.hostnameにマッピングされます。ACCESS_MODEはsecurity_result.detection_fieldsにマッピングされます。STATUSはsecurity_result.summaryにマッピングされます。STATUSがsuccessの場合、security_result.actionはALLOWにマッピングされます。STATUSがdenied or incorrectの場合、security_result.actionはBLOCKにマッピングされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。