Intel Endpoint Management Assistant(Intel EMA)のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Intel Endpoint Management Assistant(Intel EMA)のログを Google Security Operations に取り込む方法について説明します。

Intel Endpoint Management Assistant(Intel EMA)は、ファイアウォールの内外を問わず、クラウド内の Intel vPro プラットフォーム ベースのデバイスをリモート管理するソフトウェア アプリケーションです。Intel EMA を使用すると、IT 管理者は Intel Active Management Technology(Intel AMT)エンドポイントをリモートで構成および管理し、帯域外および帯域内のオペレーションを実行し、監査イベントのロギングを通じてエンドポイント アクティビティをモニタリングできます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を搭載した Linux ホスト
  • Bindplane エージェントと Intel EMA サーバー間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
  • NLog 構成ファイルを変更する権限を持つ Intel EMA サーバーへの管理者アクセス
  • Intel EMA サーバー バージョン 1.10 以降がインストールされ、動作している

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. 取り込み認証ファイル をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows へのインストール

  1. 管理者としてコマンド プロンプト または PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    
  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector
    

    サービスは RUNNING と表示されます。

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    
  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector
    

    サービスは active (running) と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml
    
  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
    

構成ファイルを編集する

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/intel_ema:
            compression: gzip
            creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
            customer_id: 'YOUR_CUSTOMER_ID'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: INTEL_EMA
            raw_log_field: body
            ingestion_labels:
                env: production
    
    service:
        pipelines:
            logs/intel_ema_to_chronicle:
                receivers:
                    - udplog
                exporters:
                    - chronicle/intel_ema
    

構成パラメータ

各プレースホルダを次のように置き換えます。

  • レシーバーの構成:

    • listen_address: 0.0.0.0:514 に設定して、UDP ポート 514 のすべてのインターフェースでリッスンします。Linux で root 以外のユーザーとして実行する場合は、1514 などの別のポートを使用できます。
  • エクスポータの構成:

    • creds_file_path: 取り込み認証ファイルのフルパス:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: YOUR_CUSTOMER_ID を前のステップのお客様 ID に置き換えます。
    • endpoint: リージョン エンドポイント URL:
      • 米国: malachiteingestion-pa.googleapis.com
      • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
      • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 完全なリストについては、リージョン エンドポイントをご覧ください。
    • log_type: 示されているとおりに INTEL_EMA に設定します。
    • ingestion_labels: YAML 形式のオプションのラベル(例: env: production)。

構成ファイルを保存する

編集後、ファイルを保存します。

  • Linux: Ctrl+OEnterCtrl+X を押します。
  • Windows: [File > Save] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次の操作を行います。

  1. 次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector
    
  2. サービスが実行されていることを確認します。

    sudo systemctl status observiq-otel-collector
    
  3. ログでエラーを確認します。

    sudo journalctl -u observiq-otel-collector -f
    

Windows で Bindplane エージェントを再起動するには、次の操作を行います。

  1. 次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector
      
    • サービス コンソール:

      1. Win+R を押して services.msc と入力し、Enter を押します。
      2. [observIQ OpenTelemetry Collector] を探します。
      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector
        
      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
        

Intel EMA syslog 転送を構成する

Intel EMA は NLog ロギング フレームワークを使用します。syslog 経由でログを Bindplane エージェントに転送するには、syslog ネットワーク ターゲットを Intel EMA NLog 構成ファイルに追加する必要があります。

NLog Syslog ターゲット拡張機能をインストールする

  1. ローカル管理者として Intel EMA サーバーにログインします。
  2. 管理者として PowerShell を開きます。
  3. Intel EMA ウェブ アプリケーション ディレクトリに移動します。

    cd C:\inetpub\wwwroot
    
  4. NLog.Targets.Syslog.dll ファイルを Intel EMA ウェブ アプリケーション ディレクトリ(C:\inetpub\wwwroot)にコピーして、NLog.Targets.Syslog NuGet パッケージをインストールします。

NLog 構成ファイルを編集する

  1. テキスト エディタで NLog 構成ファイルを開きます。

    notepad C:\inetpub\wwwroot\NLog.config
    
  2. <extensions> セクション内に syslog 拡張機能を追加します。<extensions> セクションが存在しない場合は、<nlog> 要素内に作成します。

    <extensions>
        <add assembly="NLog.Targets.Syslog" />
    </extensions>
    
  3. <targets> セクション内に syslog ターゲットを追加します。

    <target name="syslog" xsi:type="Syslog">
        <sl:messageSend>
            <protocol>UDP</protocol>
            <udp>
                <server>BINDPLANE_AGENT_IP</server>
                <port>514</port>
            </udp>
        </sl:messageSend>
    </target>
    
    • BINDPLANE_AGENT_IP は、Bindplane エージェントを実行しているホストの IP アドレス(192.168.1.100 など)に置き換えます。
    • 標準以外のポートを使用している場合は、514 を Bindplane エージェントで構成したポートに置き換えます。
    • Bindplane エージェント レシーバーの構成に合わせて、プロトコルUDP または TCP に設定します。
  4. <rules> セクション内にロギング ルールを追加して、すべてのログメッセージを syslog ターゲットにルーティングします。

    <logger name="*" minlevel="Info" writeTo="syslog" />
    
  5. ファイルを保存して閉じます。

syslog ターゲットを使用した NLog.config の例

  • 次に、NLog.config ファイルに追加された関連セクションの例を示します。

    <?xml version="1.0" encoding="utf-8"?>
    <nlog xmlns="http://www.nlog-project.org/schemas/NLog.xsd"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xmlns:sl="http://www.nlog-project.org/schemas/NLog.Targets.Syslog.xsd">
        <extensions>
            <add assembly="NLog.Targets.Syslog" />
        </extensions>
        <targets>
            <!-- Existing file targets remain here -->
            <target name="syslog" xsi:type="Syslog">
                <sl:messageSend>
                    <protocol>UDP</protocol>
                    <udp>
                        <server>192.168.1.100</server>
                        <port>514</port>
                    </udp>
                </sl:messageSend>
            </target>
        </targets>
        <rules>
            <!-- Existing rules remain here -->
            <logger name="*" minlevel="Info" writeTo="syslog" />
        </rules>
    </nlog>
    

IIS を再起動して変更を適用する

  1. 管理者としてコマンド プロンプト または PowerShell を開きます。
  2. IIS を再起動して NLog 構成を再読み込みします。

    iisreset
    
  3. ウェブブラウザで Intel EMA Platform Manager に移動して、Intel EMA ウェブ アプリケーションが実行されていることを確認します。

syslog 転送を確認する

  1. Intel EMA コンソールで操作(ログイン、エンドポイントの表示、構成の変更など)を行い、監査イベントを生成します。
  2. Bindplane エージェントのログを確認して、Intel EMA サーバーから syslog メッセージが受信されていることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
server_type additional.fields キー server_type、server_type_id、Endpoint_count を使用してラベルを統合
server_type_id additional.fields
Endpoint_count additional.fields
時間 metadata.event_timestamp yyyy-MM-dd HH:mm:ss.SSSS、ISO8601、RFC 3339 形式で日付フィルタを使用して解析
metadata.event_type metadata.event_type 「GENERIC_EVENT」に設定
version_id metadata.product_version 値を直接コピー
EndpointId security_result.detection_fields キー EndpointId を使用してラベルを統合
重要度 security_result.severity CRITICAL の場合は CRITICAL、ERROR の場合は ERROR、ALERT または EMERGENCY の場合は HIGH、INFO または NOTICE の場合は INFORMATIONAL、DEBUG の場合は LOW、WARNING の場合は MEDIUM、それ以外の場合は UNKNOWN_SEVERITY にマッピング
文化 target.resource.attribute.labels キー culture、public_key_token、process_name を使用してラベルを統合
Publickeytoken target.resource.attribute.labels
process_name target.resource.attribute.labels

変更履歴

このパーサーの変更履歴を表示する

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。