Coletar registros do Intel Endpoint Management Assistant (Intel EMA)
Este documento explica como ingerir registros do Intel Endpoint Management Assistant (Intel EMA) no Google Security Operations usando o Bindplane.
O Intel Endpoint Management Assistant (Intel EMA) é um aplicativo de software que oferece gerenciamento remoto de dispositivos baseados na plataforma Intel vPro na nuvem, dentro e fora do firewall. O Intel EMA permite que administradores de TI configurem e gerenciem remotamente endpoints da Intel Active Management Technology (Intel AMT), realizem operações fora da banda e na banda e monitorem a atividade de endpoints usando o registro de eventos de auditoria.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e o servidor Intel EMA
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
- Acesso de administrador ao servidor Intel EMA com permissões para modificar o arquivo de configuração NLog.
- Servidor Intel EMA versão 1.10 ou mais recente instalado e operacional
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de ingestão. Salve o arquivo com segurança no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/intel_ema: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: INTEL_EMA raw_log_field: body ingestion_labels: env: production service: pipelines: logs/intel_ema_to_chronicle: receivers: - udplog exporters: - chronicle/intel_ema
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor:
listen_address: defina como0.0.0.0:514para detectar todas as interfaces na porta UDP 514. Você pode usar uma porta diferente, como1514, se estiver executando como não root no Linux.
Configuração do exportador:
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: substituaYOUR_CUSTOMER_IDpelo ID de cliente da etapa anterior.endpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte a lista completa em Endpoints regionais.
- EUA:
log_type: defina comoINTEL_EMAexatamente como mostrado.ingestion_labels: rótulos opcionais no formato YAML (por exemplo,env: production).
Salve o arquivo de configuração.
Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O,EntereCtrl+X. - Windows: clique em Arquivo > Salvar.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, faça o seguinte:
Execute este comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane em um sistema operacional Windows, faça o seguinte:
Escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o Coletor do OpenTelemetry da observIQ.
Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o encaminhamento de syslog do Intel EMA
O Intel EMA usa o framework de geração de registros NLog. Para encaminhar registros via syslog ao agente Bindplane, adicione um destino de rede syslog ao arquivo de configuração NLog do Intel EMA.
Instalar a extensão de destino Syslog do NLog
- Faça login no servidor do Intel EMA como administrador local.
- Abra o PowerShell como administrador.
Navegue até o diretório do aplicativo da Web Intel EMA:
cd C:\inetpub\wwwrootInstale o pacote NuGet NLog.Targets.Syslog copiando o arquivo
NLog.Targets.Syslog.dllpara o diretório do aplicativo Web Intel EMA (C:\inetpub\wwwroot).
Editar o arquivo de configuração do NLog
Abra o arquivo de configuração do NLog em um editor de texto:
notepad C:\inetpub\wwwroot\NLog.configAdicione a extensão syslog na seção
<extensions>. Se a seção<extensions>não existir, crie-a no elemento<nlog>:<extensions> <add assembly="NLog.Targets.Syslog" /> </extensions>Adicione um destino syslog na seção
<targets>:<target name="syslog" xsi:type="Syslog"> <sl:messageSend> <protocol>UDP</protocol> <udp> <server>BINDPLANE_AGENT_IP</server> <port>514</port> </udp> </sl:messageSend> </target>- Substitua
BINDPLANE_AGENT_IPpelo endereço IP do host que executa o agente Bindplane (por exemplo,192.168.1.100). - Substitua
514pela porta configurada no agente do Bindplane se você estiver usando uma porta não padrão. - Defina o protocolo como
UDPouTCPpara corresponder à configuração do receptor do agente do Bindplane.
- Substitua
Adicione uma regra de geração de registros na seção
<rules>para rotear todas as mensagens de registro para o destino syslog:<logger name="*" minlevel="Info" writeTo="syslog" />Salve e feche o arquivo.
Exemplo de NLog.config com destino syslog
Confira a seguir um exemplo das seções relevantes adicionadas ao arquivo NLog.config:
<?xml version="1.0" encoding="utf-8"?> <nlog xmlns="http://www.nlog-project.org/schemas/NLog.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:sl="http://www.nlog-project.org/schemas/NLog.Targets.Syslog.xsd"> <extensions> <add assembly="NLog.Targets.Syslog" /> </extensions> <targets> <!-- Existing file targets remain here --> <target name="syslog" xsi:type="Syslog"> <sl:messageSend> <protocol>UDP</protocol> <udp> <server>192.168.1.100</server> <port>514</port> </udp> </sl:messageSend> </target> </targets> <rules> <!-- Existing rules remain here --> <logger name="*" minlevel="Info" writeTo="syslog" /> </rules> </nlog>
Reinicie o IIS para aplicar as mudanças
- Abra o prompt de comando ou o PowerShell como administrador.
Reinicie o IIS para recarregar a configuração do NLog:
iisresetVerifique se o aplicativo da Web Intel EMA está em execução navegando até o Intel EMA Platform Manager em um navegador da Web.
Verificar o encaminhamento do syslog
- Realize uma ação no console do Intel EMA (por exemplo, faça login, veja endpoints ou modifique uma configuração) para gerar eventos de auditoria.
- Verifique os registros do agente do Bindplane para confirmar se as mensagens syslog estão sendo recebidas do servidor Intel EMA.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| server_type | additional.fields | Marcadores mesclados com chaves server_type, server_type_id, Endpoint_count |
| server_type_id | additional.fields | |
| Endpoint_count | additional.fields | |
| Hora | metadata.event_timestamp | Analisado usando o filtro de data com os formatos AAAA-MM-DD HH:MM:SS.SSSS, ISO8601, RFC 3339 |
| metadata.event_type | metadata.event_type | Definido como "GENERIC_EVENT" |
| version_id | metadata.product_version | Valor copiado diretamente |
| EndpointId | security_result.detection_fields | Rótulo mesclado com a chave "EndpointId" |
| gravidade, | security_result.severity | Mapeado como CRITICAL se CRITICAL, ERROR se ERROR, HIGH se ALERT ou EMERGENCY, INFORMATIONAL se INFO ou NOTICE, LOW se DEBUG, MEDIUM se WARNING, caso contrário, UNKNOWN_SEVERITY |
| Cultura | target.resource.attribute.labels | Rótulos mesclados com as chaves culture, public_key_token, process_name |
| Publickeytoken | target.resource.attribute.labels | |
| process_name | target.resource.attribute.labels |
Registro de alterações
Ver o registro de alterações deste analisador
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.