Windows AppLocker ログを収集する
このドキュメントでは、Bindplane を使用して Windows AppLocker ログを Google Security Operations に取り込む方法について説明します。
Windows AppLocker は、Windows に組み込まれているアプリケーション ホワイトリスト機能で、ポリシーの適用、監査、アプリケーション実行のログを生成します。Bindplane エージェントは、エクスポートされた Windows AppLocker イベント ログファイルをローカル ファイル システムから直接収集します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
observiq-otel-collectorサービスをサポートする Windows Server 2016 以降- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- AppLocker ポリシーが構成された Windows エンドポイントへの管理者アクセス権
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
ログを取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: filelog: include: - C:\Logs\applocker\*.evtx start_at: beginning exporters: chronicle/windows_applocker: compression: gzip creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: WINDOWS_APPLOCKER raw_log_field: body ingestion_labels: env: production service: pipelines: logs/applocker_to_chronicle: receivers: - filelog exporters: - chronicle/windows_applocker
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
filelog: ディスクからログファイルを収集するためのレシーバー タイプinclude: モニタリングするファイルパスのリスト。Windows AppLocker イベントログをエクスポートする場所(C:\Logs\applocker\*.evtxなど)に設定します。start_at: 既存のログを読み取る場合はbeginning、新しいエントリのみを読み取る場合はendに設定します。
エクスポータの構成:
windows_applocker: エクスポータのわかりやすい名前creds_file_path: 取り込み認証ファイルのフルパス:- Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Windows:
<customer_id>: 前の手順の顧客 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
WINDOWS_APPLOCKER: Chronicle に表示されるログタイプingestion_labels: YAML 形式の省略可能なラベル(例:env: production)
パイプラインの構成:
applocker_to_chronicle: パイプラインのわかりやすい名前
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Windows: [ファイル> 保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collector- サービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Windows AppLocker のログ エクスポートを構成する
Windows AppLocker ログは、複数のチャネルの Windows イベントログに保存されます。これらのログをディスク上のファイルにエクスポートして、Bindplane エージェントが収集できるようにする必要があります。
エクスポートされたログファイルを保存するディレクトリを作成します。
mkdir C:\Logs\applockerwevtutilを使用して Windows AppLocker イベントログをエクスポートします。wevtutil epl "Microsoft-Windows-AppLocker/EXE and DLL" C:\Logs\applocker\applocker-exedll.evtxwevtutil epl "Microsoft-Windows-AppLocker/MSI and Script" C:\Logs\applocker\applocker-msiscript.evtxwevtutil epl "Microsoft-Windows-AppLocker/Packaged app-Deployment" C:\Logs\applocker\applocker-pkgdeploy.evtxwevtutil epl "Microsoft-Windows-AppLocker/Packaged app-Execution" C:\Logs\applocker\applocker-pkgexec.evtx(省略可)Windows タスク スケジューラを使用して定期的なエクスポートをスケジュール設定します。
$action = New-ScheduledTaskAction -Execute "wevtutil" -Argument 'epl "Microsoft-Windows-AppLocker/EXE and DLL" C:\Logs\applocker\applocker-exedll.evtx /ow:true' $trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Hours 1) -Once -At (Get-Date) Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "ExportAppLockerLogs" -Description "Export Windows AppLocker logs for Bindplane agent"エクスポートされたログファイルが `C:\Logs\applocker` に作成されていることを確認します。
config.yamlの Bindplane エージェントincludeパスがエクスポート ディレクトリと一致していることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| event_type | metadata.event_type | イベントのタイプ |
| EventID | metadata.product_event_type | プロダクト固有のイベントタイプ |
| SourceModuleType | observer.application | イベントをモニタリングしたアプリケーション |
| ドメイン | principal.administrative_domain | プリンシパルの管理ドメイン |
| ホスト名 | principal.hostname | プリンシパルのホスト名 |
| principal_ip1 | principal.ip | プリンシパルの IP アドレス |
| AccountType | principal.user.attribute.roles | プリンシパル ユーザーに関連付けられたロール |
| AccountName | principal.user.userid | プリンシパル ユーザーのユーザー ID |
| ssdl | security_result.about.labels | セキュリティ結果に関するラベル |
| security_action | security_result.action | セキュリティ結果で実行されたアクション |
| message1 | security_result.description | セキュリティ結果の説明 |
| RuleAndFileData.RuleId | security_result.rule_id | セキュリティ ルールの ID |
| RuleAndFileData.RuleName、EventID | security_result.rule_name | セキュリティ ルールの名前 |
| EventType | security_result.severity | セキュリティ結果の重大度レベル |
| RuleAndFileData.PolicyName | security_result.summary | セキュリティ結果の概要 |
| ThreadID | security_result.threat_id | 脅威の ID |
| RuleAndFileData.FullFilePath, filePath | target.process.file.full_path | ターゲット プロセス ファイルのフルパス |
| ProcessID、RuleAndFileData.TargetProcessId | target.process.pid | ターゲット プロセスのプロセス ID |
| ProviderGuid | target.resource.product_object_id | ターゲット リソースのプロダクト オブジェクト ID |
| UserID | target.user.userid | ターゲット ユーザーのユーザー ID |
| sourceName | metadata.product_name | 商品の名前 |
| metadata.vendor_name | ベンダー名 |
変更履歴
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。