Intel Endpoint Management Assistant(Intel EMA)のログを収集する
このドキュメントでは、Bindplane を使用して Intel Endpoint Management Assistant(Intel EMA)のログを Google Security Operations に取り込む方法について説明します。
Intel Endpoint Management Assistant(Intel EMA)は、ファイアウォールの内外を問わず、クラウド内の Intel vPro プラットフォーム ベースのデバイスをリモート管理するソフトウェア アプリケーションです。Intel EMA を使用すると、IT 管理者は Intel Active Management Technology(Intel AMT)エンドポイントをリモートで構成および管理し、帯域外および帯域内のオペレーションを実行し、監査イベントのロギングを通じてエンドポイント アクティビティをモニタリングできます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを搭載した Linux ホスト - Bindplane エージェントと Intel EMA サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
- NLog 構成ファイルを変更する権限を持つ Intel EMA サーバーへの管理者アクセス
- Intel EMA サーバー バージョン 1.10 以降がインストールされ、動作している
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- 取り込み認証ファイル をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスは active (running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/intel_ema: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: INTEL_EMA raw_log_field: body ingestion_labels: env: production service: pipelines: logs/intel_ema_to_chronicle: receivers: - udplog exporters: - chronicle/intel_ema
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address:0.0.0.0:514に設定して、UDP ポート 514 のすべてのインターフェースでリッスンします。Linux で root 以外のユーザーとして実行する場合は、1514などの別のポートを使用できます。
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:YOUR_CUSTOMER_IDを前のステップのお客様 ID に置き換えます。endpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: 示されているとおりにINTEL_EMAに設定します。ingestion_labels: YAML 形式のオプションのラベル(例:env: production)。
構成ファイルを保存する
編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [File > Save] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次の操作を行います。
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次の操作を行います。
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rを押してservices.mscと入力し、Enter を押します。- [observIQ OpenTelemetry Collector] を探します。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Intel EMA syslog 転送を構成する
Intel EMA は NLog ロギング フレームワークを使用します。syslog 経由でログを Bindplane エージェントに転送するには、syslog ネットワーク ターゲットを Intel EMA NLog 構成ファイルに追加する必要があります。
NLog Syslog ターゲット拡張機能をインストールする
- ローカル管理者として Intel EMA サーバーにログインします。
- 管理者として PowerShell を開きます。
Intel EMA ウェブ アプリケーション ディレクトリに移動します。
cd C:\inetpub\wwwrootNLog.Targets.Syslog.dllファイルを Intel EMA ウェブ アプリケーション ディレクトリ(C:\inetpub\wwwroot)にコピーして、NLog.Targets.Syslog NuGet パッケージをインストールします。
NLog 構成ファイルを編集する
テキスト エディタで NLog 構成ファイルを開きます。
notepad C:\inetpub\wwwroot\NLog.config<extensions>セクション内に syslog 拡張機能を追加します。<extensions>セクションが存在しない場合は、<nlog>要素内に作成します。<extensions> <add assembly="NLog.Targets.Syslog" /> </extensions><targets>セクション内に syslog ターゲットを追加します。<target name="syslog" xsi:type="Syslog"> <sl:messageSend> <protocol>UDP</protocol> <udp> <server>BINDPLANE_AGENT_IP</server> <port>514</port> </udp> </sl:messageSend> </target>BINDPLANE_AGENT_IPは、Bindplane エージェントを実行しているホストの IP アドレス(192.168.1.100など)に置き換えます。- 標準以外のポートを使用している場合は、
514を Bindplane エージェントで構成したポートに置き換えます。 - Bindplane エージェント レシーバーの構成に合わせて、プロトコル を
UDPまたはTCPに設定します。
<rules>セクション内にロギング ルールを追加して、すべてのログメッセージを syslog ターゲットにルーティングします。<logger name="*" minlevel="Info" writeTo="syslog" />ファイルを保存して閉じます。
syslog ターゲットを使用した NLog.config の例
次に、NLog.config ファイルに追加された関連セクションの例を示します。
<?xml version="1.0" encoding="utf-8"?> <nlog xmlns="http://www.nlog-project.org/schemas/NLog.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:sl="http://www.nlog-project.org/schemas/NLog.Targets.Syslog.xsd"> <extensions> <add assembly="NLog.Targets.Syslog" /> </extensions> <targets> <!-- Existing file targets remain here --> <target name="syslog" xsi:type="Syslog"> <sl:messageSend> <protocol>UDP</protocol> <udp> <server>192.168.1.100</server> <port>514</port> </udp> </sl:messageSend> </target> </targets> <rules> <!-- Existing rules remain here --> <logger name="*" minlevel="Info" writeTo="syslog" /> </rules> </nlog>
IIS を再起動して変更を適用する
- 管理者としてコマンド プロンプト または PowerShell を開きます。
IIS を再起動して NLog 構成を再読み込みします。
iisresetウェブブラウザで Intel EMA Platform Manager に移動して、Intel EMA ウェブ アプリケーションが実行されていることを確認します。
syslog 転送を確認する
- Intel EMA コンソールで操作(ログイン、エンドポイントの表示、構成の変更など)を行い、監査イベントを生成します。
- Bindplane エージェントのログを確認して、Intel EMA サーバーから syslog メッセージが受信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| server_type | additional.fields | キー server_type、server_type_id、Endpoint_count を使用してラベルを統合 |
| server_type_id | additional.fields | |
| Endpoint_count | additional.fields | |
| 時間 | metadata.event_timestamp | yyyy-MM-dd HH:mm:ss.SSSS、ISO8601、RFC 3339 形式で日付フィルタを使用して解析 |
| metadata.event_type | metadata.event_type | 「GENERIC_EVENT」に設定 |
| version_id | metadata.product_version | 値を直接コピー |
| EndpointId | security_result.detection_fields | キー EndpointId を使用してラベルを統合 |
| 重要度 | security_result.severity | CRITICAL の場合は CRITICAL、ERROR の場合は ERROR、ALERT または EMERGENCY の場合は HIGH、INFO または NOTICE の場合は INFORMATIONAL、DEBUG の場合は LOW、WARNING の場合は MEDIUM、それ以外の場合は UNKNOWN_SEVERITY にマッピング |
| 文化 | target.resource.attribute.labels | キー culture、public_key_token、process_name を使用してラベルを統合 |
| Publickeytoken | target.resource.attribute.labels | |
| process_name | target.resource.attribute.labels |
変更履歴
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。