Coletar registros do Intel Endpoint Management Assistant (Intel EMA)

Compatível com:

Este documento explica como ingerir registros do Intel Endpoint Management Assistant (Intel EMA) no Google Security Operations usando o Bindplane.

O Intel Endpoint Management Assistant (Intel EMA) é um aplicativo de software que oferece gerenciamento remoto de dispositivos baseados na plataforma Intel vPro na nuvem, dentro e fora do firewall. O Intel EMA permite que administradores de TI configurem e gerenciem remotamente endpoints da Intel Active Management Technology (Intel AMT), realizem operações fora da banda e na banda e monitorem a atividade de endpoints usando o registro de eventos de auditoria.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o servidor Intel EMA
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso de administrador ao servidor Intel EMA com permissões para modificar o arquivo de configuração NLog.
  • Servidor Intel EMA versão 1.10 ou mais recente instalado e operacional

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de ingestão. Salve o arquivo com segurança no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    
  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector
    

    O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    
  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector
    

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml
    
  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
    

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/intel_ema:
            compression: gzip
            creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
            customer_id: 'YOUR_CUSTOMER_ID'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: INTEL_EMA
            raw_log_field: body
            ingestion_labels:
                env: production
    
    service:
        pipelines:
            logs/intel_ema_to_chronicle:
                receivers:
                    - udplog
                exporters:
                    - chronicle/intel_ema
    

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • listen_address: defina como 0.0.0.0:514 para detectar todas as interfaces na porta UDP 514. Você pode usar uma porta diferente, como 1514, se estiver executando como não root no Linux.
  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: substitua YOUR_CUSTOMER_ID pelo ID de cliente da etapa anterior.
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte a lista completa em Endpoints regionais.
    • log_type: defina como INTEL_EMA exatamente como mostrado.
    • ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production).

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, faça o seguinte:

  1. Execute este comando:

    sudo systemctl restart observiq-otel-collector
    
  2. Verifique se o serviço está em execução:

    sudo systemctl status observiq-otel-collector
    
  3. Verifique se há erros nos registros:

    sudo journalctl -u observiq-otel-collector -f
    

Para reiniciar o agente do Bindplane em um sistema operacional Windows, faça o seguinte:

  1. Escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector
      
    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.
      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector
        
      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
        

Configurar o encaminhamento de syslog do Intel EMA

O Intel EMA usa o framework de geração de registros NLog. Para encaminhar registros via syslog ao agente Bindplane, adicione um destino de rede syslog ao arquivo de configuração NLog do Intel EMA.

Instalar a extensão de destino Syslog do NLog

  1. Faça login no servidor do Intel EMA como administrador local.
  2. Abra o PowerShell como administrador.
  3. Navegue até o diretório do aplicativo da Web Intel EMA:

    cd C:\inetpub\wwwroot
    
  4. Instale o pacote NuGet NLog.Targets.Syslog copiando o arquivo NLog.Targets.Syslog.dll para o diretório do aplicativo Web Intel EMA (C:\inetpub\wwwroot).

Editar o arquivo de configuração do NLog

  1. Abra o arquivo de configuração do NLog em um editor de texto:

    notepad C:\inetpub\wwwroot\NLog.config
    
  2. Adicione a extensão syslog na seção <extensions>. Se a seção <extensions> não existir, crie-a no elemento <nlog>:

    <extensions>
        <add assembly="NLog.Targets.Syslog" />
    </extensions>
    
  3. Adicione um destino syslog na seção <targets>:

    <target name="syslog" xsi:type="Syslog">
        <sl:messageSend>
            <protocol>UDP</protocol>
            <udp>
                <server>BINDPLANE_AGENT_IP</server>
                <port>514</port>
            </udp>
        </sl:messageSend>
    </target>
    
    • Substitua BINDPLANE_AGENT_IP pelo endereço IP do host que executa o agente Bindplane (por exemplo, 192.168.1.100).
    • Substitua 514 pela porta configurada no agente do Bindplane se você estiver usando uma porta não padrão.
    • Defina o protocolo como UDP ou TCP para corresponder à configuração do receptor do agente do Bindplane.
  4. Adicione uma regra de geração de registros na seção <rules> para rotear todas as mensagens de registro para o destino syslog:

    <logger name="*" minlevel="Info" writeTo="syslog" />
    
  5. Salve e feche o arquivo.

Exemplo de NLog.config com destino syslog

  • Confira a seguir um exemplo das seções relevantes adicionadas ao arquivo NLog.config:

    <?xml version="1.0" encoding="utf-8"?>
    <nlog xmlns="http://www.nlog-project.org/schemas/NLog.xsd"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xmlns:sl="http://www.nlog-project.org/schemas/NLog.Targets.Syslog.xsd">
        <extensions>
            <add assembly="NLog.Targets.Syslog" />
        </extensions>
        <targets>
            <!-- Existing file targets remain here -->
            <target name="syslog" xsi:type="Syslog">
                <sl:messageSend>
                    <protocol>UDP</protocol>
                    <udp>
                        <server>192.168.1.100</server>
                        <port>514</port>
                    </udp>
                </sl:messageSend>
            </target>
        </targets>
        <rules>
            <!-- Existing rules remain here -->
            <logger name="*" minlevel="Info" writeTo="syslog" />
        </rules>
    </nlog>
    

Reinicie o IIS para aplicar as mudanças

  1. Abra o prompt de comando ou o PowerShell como administrador.
  2. Reinicie o IIS para recarregar a configuração do NLog:

    iisreset
    
  3. Verifique se o aplicativo da Web Intel EMA está em execução navegando até o Intel EMA Platform Manager em um navegador da Web.

Verificar o encaminhamento do syslog

  1. Realize uma ação no console do Intel EMA (por exemplo, faça login, veja endpoints ou modifique uma configuração) para gerar eventos de auditoria.
  2. Verifique os registros do agente do Bindplane para confirmar se as mensagens syslog estão sendo recebidas do servidor Intel EMA.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
server_type additional.fields Marcadores mesclados com chaves server_type, server_type_id, Endpoint_count
server_type_id additional.fields
Endpoint_count additional.fields
Hora metadata.event_timestamp Analisado usando o filtro de data com os formatos AAAA-MM-DD HH:MM:SS.SSSS, ISO8601, RFC 3339
metadata.event_type metadata.event_type Definido como "GENERIC_EVENT"
version_id metadata.product_version Valor copiado diretamente
EndpointId security_result.detection_fields Rótulo mesclado com a chave "EndpointId"
gravidade, security_result.severity Mapeado como CRITICAL se CRITICAL, ERROR se ERROR, HIGH se ALERT ou EMERGENCY, INFORMATIONAL se INFO ou NOTICE, LOW se DEBUG, MEDIUM se WARNING, caso contrário, UNKNOWN_SEVERITY
Cultura target.resource.attribute.labels Rótulos mesclados com as chaves culture, public_key_token, process_name
Publickeytoken target.resource.attribute.labels
process_name target.resource.attribute.labels

Registro de alterações

Ver o registro de alterações deste analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.