Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Acalvio

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Acalvio dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait d'abord les champs des messages syslog bruts à l'aide de la correspondance de modèles grok et clé-valeur, puis mappe ces champs extraits au schéma UDM (Unified Data Model) de Google SecOps. Il catégorise ensuite l'événement en fonction de valeurs spécifiques et enrichit enfin les données avec des informations liées à la sécurité, comme la gravité et la catégorie.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Serveur d'intégration Acalvio ShadowPlex installé
Accès privilégié au service et à l'instance Acalvio ShadowPlex

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ACALVIO'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès à l'emplacement où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog dans Acalvio ShadowPlex

Connectez-vous à l'interface utilisateur du serveur d'intégration ShadowPlex.
Accédez à Paramètres> SIEM.
Fournissez les informations de configuration suivantes :
- Cliquez sur le bouton Activer.
- Nom d'hôte ou adresse IP : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Protocole : sélectionnez UDP.
- Capteur : sélectionnez le capteur à partir duquel les données sont diffusées.
Cliquez sur Tester et enregistrer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
adc_email	read_only_udm.target.user.email_addresses	Valeur extraite du champ `adc_email`.
application	read_only_udm.principal.application	Valeur extraite du champ `app`.
cat	read_only_udm.security_result.summary	Valeur extraite du champ `cat`. Si `cat` est défini sur `Vulnerability Exploited`, la valeur est remplacée par celle du champ `Intrusion_method_used`.
customer_id	read_only_udm.metadata.description	Une valeur est ajoutée au champ de description : `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
deviceProduct	read_only_udm.metadata.product_name	Valeur extraite du champ `deviceProduct`.
deviceVendor	read_only_udm.metadata.vendor_name	Valeur extraite du champ `deviceVendor`.
deviceVersion	read_only_udm.metadata.product_version	Valeur extraite du champ `deviceVersion`.
dstHostName	read_only_udm.target.hostname	Valeur extraite du champ `dstHostName`.
dstIp	read_only_udm.target.ip	Valeur extraite du champ `dstIp`.
dstMAC	read_only_udm.target.mac	Valeur extraite du champ `dstMAC`.
dstPort	read_only_udm.target.port	Valeur extraite du champ `dstPort` et convertie en entier.
incidentid	read_only_udm.metadata.product_log_id	Valeur extraite du champ `incidentid`.
incidentSubCategory	read_only_udm.metadata.product_event_type, read_only_udm.security_result.description	Valeur extraite du champ `incidentSubCategory`.
Intrusion_method_used	read_only_udm.security_result.summary	Valeur extraite du champ `Intrusion_method_used` si `cat` est défini sur `Vulnerability Exploited`.
investigation_id	read_only_udm.metadata.description	Une valeur est ajoutée au champ de description : `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
job_id	read_only_udm.metadata.description	Une valeur est ajoutée au champ de description : `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
	read_only_udm.metadata.event_type	Définie sur `GENERIC_EVENT`, si `srcIp` est `Unknown` ou vide. Sinon, définissez-la sur `STATUS_UPDATE`.
	read_only_udm.principal.resource.type	Codé en dur sur `scan_type`.
	read_only_udm.security_result.category	Déterminé en fonction des valeurs des champs `cat`, `incidentSubCategory` et `sr_category`.
	read_only_udm.security_result.severity	Défini sur `HIGH` si `severity` est supérieur à 7, sur `MEDIUM` si `severity` est supérieur à 3 et sur `LOW` dans le cas contraire.
srcIp	read_only_udm.principal.ip	Valeur extraite du champ `srcIp`.
startTime	read_only_udm.metadata.event_timestamp	Valeur extraite du champ `startTime` et analysée en tant qu'horodatage. Si `startTime` est vide, la valeur est définie sur `%{ts_month} %{ts_day} %{ts_time}`.
userIdsUsed	read_only_udm.principal.user.userid	Valeur extraite du champ `userIdsUsed`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.