Google SecOps - BindPlane: Configurando Ingestão de Logs Windows

porMatheus Damacena -
Google SecOps · BindPlane OP

BindPlane: Ingestão de Logs Windows no SecOps

Do acesso ao app.bindplane.com até o primeiro evento Windows normalizado no SecOps

Acesso ao BindPlane OP

O BindPlane é incluído com o Google SecOps sem custo adicional. O acesso é feito via interface web no app.bindplane.com  nenhuma instalação de servidor necessária para começar.

Standard / Enterprise

BindPlane Google Edition

Self-service via app.bindplane.com. Incluído para todos os clientes SecOps. Gerenciamento ilimitado de agentes. Destinos Google (SecOps, Cloud Logging, BigQuery, Cloud Storage).

Enterprise Plus

BindPlane Enterprise Edition

Para deployments de grande escala. Inclui destinos não-Google por 12 meses. Requer chave de licença do Google Account Team.

1

Settings → SIEM Settings → Collection Agent

No console Google SecOps, acesse Settings → SIEM Settings → Collection Agent. Aqui você baixa o arquivo de autenticação de ingestão (JSON) necessário para a configuração do agente.

2

Anote o Customer ID

Em Settings → SIEM Settings → Profile, copie o Customer ID na seção Organization Details. Esse valor é obrigatório na configuração do exportador.

3

Acesse app.bindplane.com

Entre no portal BindPlane OP cloud. Aqui você gerencia Agents, cria Configurations e define pipelines via interface visual sem editar YAML manualmente.


Tenha o arquivo JSON de autenticação e o Customer ID em mãos antes de continuar. São os dois dados obrigatórios para conectar o agente ao SecOps.
DocsUsar o BindPlane com Google SecOps

Instalar o Agente no Windows

O agente BDOT é instalado no servidor Windows como serviço via MSI. O comando já vem gerado no portal BindPlane OP com o endpoint e a chave do seu tenant.

Comando de instalação - PowerShell como Administrador

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
1

Execute o MSI como Administrador

O agente instala e inicia automaticamente como serviço Windows "observerIQ Distro for OpenTelemetry Collector". Verifique em services.msc.

2

Agente aparece em Agents no portal

Em segundos o agente aparece na lista Agents do app.bindplane.com com status "Connected".

3

Comunicação sempre iniciada pelo agente

O agente conecta ao BindPlane OP via OpAMP (WebSocket). O servidor nunca inicia conexão com o agente — apenas saída na porta configurada é necessária.

DocsInstalar o coletor no Windows

Criar uma Configuration

No BindPlane OP toda pipeline de coleta é definida em uma Configuration editor visual que conecta Source → Processor → Destination. Sem edição manual de YAML.

app.bindplane.com
Configurations
New Configuration

1

New Configuration → nome e plataforma

Dê um nome (ex: windows-secops) e selecione a plataforma Windows.

2

Canvas visual: Source → Processor → Destination

Adicione os três componentes em sequência. Cada um tem formulário próprio, sem YAML.

3

Rollout para os agentes

Após configurar, clique em "Add Agent" e "Start Rollout". Todos os agentes vinculados recebem a configuração automaticamente via OpAMP.

Uma mesma Configuration pode ser aplicada a múltiplos agentes, ideal para padronizar a coleta em toda a frota Windows.
DocsUsar o BindPlane com Google SecOps

Source: Windows Events

No canvas clique em "+ Add Source" e selecione "Windows Events". O ponto mais crítico é habilitar Raw Events em Advanced, obrigatório para o parser WINEVTLOG funcionar.

Raw Events é obrigatório. Em Advanced → habilite "Raw Events". O SecOps espera logs brutos. Sem isso o parser WINEVTLOG não normaliza para UDM. Equivale ao parâmetro raw: true no YAML.

Source TypeWindows Events
ChannelsSecurity, System, Application
Advanced → Raw Events✓ Habilitado (obrigatório)
Start AtEnd (apenas eventos novos)

Security

Logon, logoff, privilege use, object access. Event IDs: 4624, 4625, 4648, 4720, 4728, 4732.

System

Serviços, drivers, startups. Event ID 7045 (novo serviço), crítico para detecção de persistence.

Application

Alto volume, filtre por nível Error/Warning para reduzir ruído.

DocsColetar Windows Event Logs

Processor: SecOps Standardization

Clique em "+ Add Processor" e selecione "Google SecOps Standardization". Define explicitamente o log_type, garantindo que o parser correto seja aplicado no SecOps.


Processor TypeGoogle SecOps Standardization
Log TypeWINEVTLOG
NamespaceOpcional (ex: corp-windows)
Ingestion LabelsOpcional - metadados customizados
Sempre defina o log_type explicitamente via Processor. Não dependa do mapeamento automático — o Processor garante que o parser WINEVTLOG seja sempre aplicado.

Adicione também um Batch Processor

Coloque um Batch Processor antes do Standardization. Agrupa logs para maximizar cada requisição à API do SecOps (limite 4MB). Melhora muito a performance em alto volume.

DocsBest Practices BindPlane + SecOps

Add a Bindplane Gateway

Para múltiplos agentes Windows, o Gateway centraliza a coleta. Os agentes enviam ao Gateway, que agrega e encaminha ao SecOps. As credenciais ficam apenas no Gateway, não em cada endpoint.

Simples / POC

Agente direto → SecOps

Cada agente envia direto à API do SecOps. Credenciais em cada máquina. Ideal para poucos servidores.

Recomendado

Agentes → Gateway → SecOps

Agentes enviam ao Gateway. Credenciais gerenciadas em um ponto. Recomendado para múltiplos endpoints ou redes segmentadas.


1

Instale o agente BDOT na máquina Gateway

O Gateway usa o mesmo binário BDOT. Após a instalação ele aparece na lista Agents. Configure-o como Gateway no BindPlane OP.

2

Crie uma Configuration para o Gateway

A Source do Gateway recebe logs via OTLP dos agentes. O Destination é o Google SecOps com as credenciais configuradas aqui, não nos agentes.

3

Agentes apontam para o Gateway (OTLP)

Na Configuration dos agentes Windows, o Destination é OTLP apontando para o IP/porta do Gateway. O Gateway faz o encaminhamento final ao SecOps.

DocsArquitetura de Gateway

Destination: Google SecOps via HTTPS

No canvas do Gateway clique em "+ Add Destination" e selecione "Google SecOps". Use o protocolo HTTPS (DataPlane API), recomendado pela documentação oficial do Google SecOps em vez do gRPC legado.

Pré-requisito: Service Account com role Chronicle Editor

1

Baixe o arquivo de autenticação JSON

No console SecOps vá em Settings → SIEM Settings → Collection Agent e baixe o arquivo de autenticação de ingestão. Para HTTPS, a documentação oficial do Google recomenda criar uma Service Account no projeto GCP vinculado ao SecOps e atribuir a ela o role Chronicle Editor.

2

Habilite a Chronicle API no Google Cloud

Em APIs & Services no Google Cloud Console, verifique se a Chronicle API está habilitada no projeto vinculado ao seu tenant SecOps.

3

Configure o Destination no BindPlane OP

Selecione protocolo HTTPS, preencha a região, cole o JSON completo no campo de credenciais e informe o Customer ID.

Campos obrigatórios do Destination (HTTPS)

Protocolhttps (DataPlane API)
Region / Endpointmalachiteingestion-pa.googleapis.com (ou regional)
Authentication Methodjson
CredentialsConteúdo completo do arquivo JSON da Service Account
Customer IDSettings → SIEM Settings → Profile → Organization Details
Fallback Log TypeWINEVTLOG
Erro 403? Use o endpoint multi-regional malachiteingestion-pa.googleapis.com em vez de um regional específico. Verifique também se a Chronicle API está habilitada no projeto GCP.
O protocolo HTTPS (DataPlane API) lida melhor com batches em alto volume e mixing de ingestion labels do que o gRPC legado. Agentes v1.94.2 ou superior são necessários para HTTPS.
DocsUsar BindPlane com SecOps (Google)Configurar HTTPS (BindPlane)

Validação da Ingestão

Após o Rollout da Configuration, valide que os eventos Windows estão chegando e sendo normalizados no SecOps.

1

Throughput no BindPlane OP

Em Agents, o agente/gateway mostra métricas de throughput (logs/s). Gráfico com atividade confirma envio.

2

Dashboards & Reports

Dashboards & Reports → Dashboards  →  Data Ingestion and Health. A source WINEVTLOG aparece com status ativo em até 5 minutos após o Rollout.

3

UDM Search

Execute: metadata.log_type = "WINEVTLOG" eventos normalizados com metadata.event_type preenchido confirmam que o parser está funcionando.

4

Confirme Event IDs críticos

Busque Event ID 4624 (logon) ou 4625 (falha de logon) para confirmar que o canal Security está sendo coletado e parseado.


Event IDs Windows essenciais para SOC

4624Logon bem-sucedido
4625Falha de logon
4648Logon com credenciais explícitas
4720Conta de usuário criada
4728 / 4732Membro adicionado a grupo privilegiado
7045Novo serviço instalado (canal System)
Com o pipeline configurado corretamente no BindPlane OP, esses Event IDs chegam ao SecOps como eventos UDM normalizados, prontos para regras YARA-L e investigações.
DocsParser WINEVTLOGData Ingestion
01 / 08
📚 Referências — Documentação Oficial Usar o BindPlane com Google SecOps (Google Cloud Docs) · Coletar Windows Event Logs (Google Cloud Docs) · Data Ingestion no Google SecOps (Google Cloud Docs) · Configurar HTTPS DataPlane API (BindPlane Docs) · Best Practices BindPlane + SecOps (BindPlane Docs)

Matheus Damacena

Graduado em Tecnologia de Redes de Computadores na Universidade Estácio de Sá - Niterói. Atualmente atua como Engenheiro de Pré-vendas Cisco. Certificado CCNP EN e SEC, CCNA, Azure Solutions Architect Expert, Azure Network Engineer.

Postagem Anterior Próxima Postagem
Compartilhar com outros aplicativos
Copiar Link da postagem

Formulário de contato