Comforte SecurDPS のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Comforte SecurDPS ログを Google Security Operations に取り込む方法について説明します。
Comforte SecurDPS は、決済および取引処理環境のセンシティブ データに対してトークン化と暗号化を提供するデータ保護プラットフォームです。データ保護オペレーション、アクセス イベント、ポリシー適用アクションの監査ログを生成します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Comforte SecurDPS サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- 管理者権限を持つ Comforte SecurDPS サーバーへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/comforte_securdps: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: COMFORTE_SECURDPS raw_log_field: body ingestion_labels: env: production service: pipelines: logs/securdps_to_chronicle: receivers: - udplog exporters: - chronicle/comforte_securdps
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: プロトコルに基づく受信者のタイプ:- UDP Syslog の
udplog - TCP Syslog の
tcplog
- UDP Syslog の
0.0.0.0: リッスンする IP アドレス:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - 1 つのインターフェースでリッスンする特定の IP アドレス
- すべてのインターフェースでリッスンする
514: リッスンするポート番号(514、1514、6514など)
エクスポータの構成:
comforte_securdps: エクスポータのわかりやすい名前creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<customer_id>: 前の手順の顧客 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
COMFORTE_SECURDPS: Chronicle に表示されるログタイプingestion_labels: YAML 形式の省略可能なラベル(例:env: production)
パイプラインの構成:
securdps_to_chronicle: パイプラインのわかりやすい名前
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル> 保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Comforte SecurDPS syslog 転送を構成する
- 管理者認証情報を使用して Comforte SecurDPS 管理コンソールにログインします。
- [System> Configuration> Logging] に移動します。
- 監査ログの Syslog 転送を有効にします。
- 次の構成の詳細を指定します。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレス(
192.168.1.100など)を入力します。 - ポート:
514を入力します(Bindplane エージェント レシーバー ポートと一致する必要があります)。 - Protocol: [UDP] を選択します。
- ファシリティ: local0 または環境に適したファシリティを選択します。
- 重大度: すべての監査イベントをキャプチャするには、[Informational] 以下を選択します。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレス(
- 転送するログカテゴリを選択します。
- データ保護オペレーション(トークン化、暗号化)
- アクセスと認証のイベント
- ポリシーの変更と管理措置
- エラーと警告のイベント
- [保存] をクリックして、構成を適用します。
Bindplane エージェントのログを確認して、syslog メッセージが受信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| record.index、record.cribl_pipe | additional.fields | record.index と record.cribl_pipe から作成されたラベルと統合されました |
| record.msg_data、説明 | metadata.description | JSON ブランチの場合は record.msg_data の値、それ以外の場合は説明 |
| metadata_event_type | metadata.event_type | フラグに基づいて設定されます。principal_mid_present と target_mid_present の場合は NETWORK_CONNECTION、target_user_present の場合は USER_UNCATEGORIZED、principal_mid_present の場合は STATUS_UPDATE、それ以外の場合は GENERIC_EVENT |
| record.sourcetype、prod_event_type | metadata.product_event_type | JSON ブランチの場合は record.sourcetype の値、それ以外の場合は prod_event_type の値 |
| metadata.product_name | 「Comforte SecureDPS」に設定します | |
| metadata.vendor_name | 「COMFORTE_SECURDPS」に設定 | |
| ホスト | principal.asset.hostname | IP 以外の場合のホストからの値 |
| validated_host、principal_ip | principal.asset.ip | JSON ブランチのホストが IP の場合は validated_host の値、それ以外の場合は principal_ip の値 |
| ホスト | principal.hostname | IP 以外の場合のホストからの値 |
| validated_host、principal_ip | principal.ip | JSON ブランチのホストが IP の場合は validated_host の値、それ以外の場合は principal_ip の値 |
| principal_port | principal.port | principal_port の値(整数に変換済み) |
| record.facility、record.facilityName、_STRATEGY、_PROTECTS、_DENIEDPROTECTS、_REVEALS、_DENIEDREVEALS、_LOOKUPS、_INTERVAL | security_result.detection_fields | record.facility、record.facilityName、_STRATEGY、_PROTECTS、_DENIEDPROTECTS、_REVEALS、_DENIEDREVEALS、_LOOKUPS、_INTERVAL から作成されたラベルと統合されました |
| sec_description | security_result.description | sec_description からの値 |
| record.severityName、severity | security_result.severity | (?i)(info) と一致する場合は INFORMATIONAL、(?i)(warn) と一致する場合は WARNING、(?i)(error) と一致する場合は ERROR に設定します。 |
| record.severity、severity | security_result.severity_details | JSON ブランチの場合は record.severity の値、それ以外の場合は severity の値 |
| app, _APPLICATION | target.application | 空でない場合は _APPLICATION の値、それ以外の場合はアプリの値 |
| _IPADDRESS | target.asset.ip | _IPADDRESS の値 |
| sha_256_value | target.file.sha256 | 16 進数パターンと一致する場合の sha_256_value の値 |
| _IPADDRESS | target.ip | _IPADDRESS の値 |
| pid | target.process.pid | pid からの値 |
| sha256 | target.resource.attribute.labels | sha_256_value が 16 進数パターンと一致しない場合は sha256_label と統合されます |
| _ZOSUSER | target.user.userid | _ZOSUSER からの値 |
変更履歴
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。