Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogli i log di BeyondTrust Privileged Identity

Supportato in:

Google secops Siem

Questo documento spiega come importare i log delle identità privilegiate di BeyondTrust in Google Security Operations utilizzando Bindplane. Il parser estrae i log di BeyondTrust Remote Support, gestendo i messaggi syslog sia in formato CEF che non CEF. Analizza i campi chiave, li mappa all'Unified Data Model (UDM) e determina il tipo di evento in base ai campi estratti come dst, src, suid e sEventID, arricchiendo i dati con un contesto aggiuntivo come dettagli utente, indirizzi IP e risultati di sicurezza.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se il servizio viene eseguito dietro un proxy, le porte del firewall sono aperte
Accesso con privilegi all'appliance BeyondTrust Privileged Remote Access

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BEYONDTRUST_PI'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog in BeyondTrust Privileged Identity

Accedi all'Beyondtrust Privileged Appliance.
Vai a Appliance > Sicurezza > Amministrazione dell'appliance.
Vai alla sezione Syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: la porta predefinita è impostata su 514 (UDP).
- Formato: seleziona RFC 5424.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
cs1	additional.fields[0].key	Mappato direttamente dal campo del log non elaborato `cs1Label`.
cs1Label	additional.fields[0].value.string_value	Mappato direttamente dal campo del log non elaborato `cs1`.
cs3	additional.fields[1].value.string_value	Mappato direttamente dal campo del log non elaborato `cs3Label`.
cs3Label	additional.fields[1].key	Mappato direttamente dal campo del log non elaborato `cs3`.
cs4	additional.fields[2].value.string_value	Mappato direttamente dal campo del log non elaborato `cs4Label`.
cs4Label	additional.fields[2].key	Mappato direttamente dal campo del log non elaborato `cs4`.
dati	metadata.description	Per i messaggi CEF, il campo `msg` (estratto da `data`) è mappato a `metadata.description`. Per i messaggi non CEF, il campo `sMessage` (o parti di esso, a seconda del formato specifico del messaggio) è mappato a `metadata.description`.
dhost	target.hostname	Mappato direttamente dal campo del log non elaborato `dhost`.
dntdom	target.administrative_domain	Mappato direttamente dal campo del log non elaborato `dntdom`.
duser	target.user.user_display_name	Mappato direttamente dal campo del log non elaborato `duser`.
msg	metadata.description	Mappato direttamente dal campo del log non elaborato `msg` nei messaggi CEF.
rt	metadata.event_timestamp.seconds	Il timestamp epoch viene estratto dal campo `rt` nei messaggi CEF.
sEventType	metadata.product_event_type	Mappato direttamente dal campo del log non elaborato `sEventType` nei messaggi non CEF.
shost	principal.ip	Mappato direttamente dal campo del log non elaborato `shost`.
sIpAddress	principal.ip	Mappato direttamente dal campo del log non elaborato `sIpAddress` nei messaggi non CEF.
sLoginName	principal.user.userid	Estratto dal campo `sLoginName` utilizzando un'espressione regolare per separare il dominio e l'ID utente.
sMessage	security_result.description	Mappato direttamente dal campo del log non elaborato `sMessage` nei messaggi non CEF oppure parti estratte vengono utilizzate per `security_result.description`.
sntdom	principal.administrative_domain	Mappato direttamente dal campo del log non elaborato `sntdom`.
sOriginatingAccount	principal.user.userid	Estratto dal campo `sOriginatingAccount` utilizzando un'espressione regolare per separare il dominio e l'ID utente.
sOriginatingApplicationComponent	principal.application	Utilizzato in combinazione con `sOriginatingApplicationName` per compilare `principal.application`.
sOriginatingApplicationName	principal.application	Utilizzato in combinazione con `sOriginatingApplicationComponent` per compilare `principal.application`.
sOriginatingSystem	principal.hostname	Mappato direttamente dal campo del log non elaborato `sOriginatingSystem` nei messaggi non CEF.
suser	principal.user.user_display_name	Mappato direttamente dal campo del log non elaborato `suser`. Determinato dalla logica dell'analizzatore sintattico in base alla presenza e ai valori di altri campi come `dst`, `src`, `shost` e `suid`. I valori possibili sono `NETWORK_CONNECTION`, `STATUS_UPDATE`, `USER_UNCATEGORIZED` e `GENERIC_EVENT`. Impostato su "BEYONDTRUST_PI". Imposta su "BeyondTrust Remote Support". Estratto dall'intestazione CEF nei messaggi CEF. Impostato su "BeyondTrust". Impostato su "ALLOW" o "BLOCK" in base ai campi `status`, `reason` o `sMessage`. Imposta su `LOW`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.