Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Acalvio

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Acalvio in Google Security Operations utilizzando Bindplane. Il parser estrae innanzitutto i campi dai messaggi syslog non elaborati utilizzando la corrispondenza di pattern grok e chiave-valore, quindi mappa i campi estratti allo schema Unified Data Model (UDM) di Google SecOps, classifica l'evento in base a valori specifici e infine arricchisce i dati con informazioni relative alla sicurezza, come gravità e categoria.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Installato il server di integrazione Acalvio ShadowPlex
Accesso con privilegi al servizio e all'istanza Acalvio ShadowPlex

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ACALVIO'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog in Acalvio ShadowPlex

Accedi all'interfaccia utente del server di integrazione ShadowPlex.
Vai a Impostazioni > SIEM.
Fornisci i seguenti dettagli di configurazione:
- Fai clic sul pulsante di attivazione/disattivazione Attiva.
- Nome host o IP: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Protocollo: seleziona UDP.
- Sensore: seleziona il sensore da cui vengono trasmessi i dati in streaming.
Fai clic su Testa e salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
adc_email	read_only_udm.target.user.email_addresses	Valore tratto dal campo `adc_email`.
app	read_only_udm.principal.application	Valore tratto dal campo `app`.
gatto	read_only_udm.security_result.summary	Valore tratto dal campo `cat`. Se `cat` è `Vulnerability Exploited`, il valore viene sovrascritto con il valore del campo `Intrusion_method_used`.
customer_id	read_only_udm.metadata.description	Il valore viene aggiunto al campo della descrizione: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
deviceProduct	read_only_udm.metadata.product_name	Valore tratto dal campo `deviceProduct`.
deviceVendor	read_only_udm.metadata.vendor_name	Valore tratto dal campo `deviceVendor`.
deviceVersion	read_only_udm.metadata.product_version	Valore tratto dal campo `deviceVersion`.
dstHostName	read_only_udm.target.hostname	Valore tratto dal campo `dstHostName`.
dstIp	read_only_udm.target.ip	Valore tratto dal campo `dstIp`.
dstMAC	read_only_udm.target.mac	Valore tratto dal campo `dstMAC`.
dstPort	read_only_udm.target.port	Valore estratto dal campo `dstPort` e convertito in numero intero.
incidentid	read_only_udm.metadata.product_log_id	Valore tratto dal campo `incidentid`.
incidentSubCategory	read_only_udm.metadata.product_event_type, read_only_udm.security_result.description	Valore tratto dal campo `incidentSubCategory`.
Intrusion_method_used	read_only_udm.security_result.summary	Valore estratto dal campo `Intrusion_method_used` se `cat` è `Vulnerability Exploited`.
investigation_id	read_only_udm.metadata.description	Il valore viene aggiunto al campo della descrizione: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
job_id	read_only_udm.metadata.description	Il valore viene aggiunto al campo della descrizione: `CustomerId: %{customer_id}, JobId: %{job_id}, InvestigationId: %{investigation_id}`
	read_only_udm.metadata.event_type	Impostalo su `GENERIC_EVENT` se `srcIp` è `Unknown` o vuoto. In caso contrario, imposta il valore su `STATUS_UPDATE`.
	read_only_udm.principal.resource.type	Codificato in modo permanente su `scan_type`.
	read_only_udm.security_result.category	Determinato in base ai valori dei campi `cat`, `incidentSubCategory` e `sr_category`.
	read_only_udm.security_result.severity	Impostato su `HIGH` se `severity` è maggiore di 7, `MEDIUM` se `severity` è maggiore di 3 e `LOW` altrimenti.
srcIp	read_only_udm.principal.ip	Valore tratto dal campo `srcIp`.
startTime	read_only_udm.metadata.event_timestamp	Valore estratto dal campo `startTime` e analizzato come timestamp. Se `startTime` è vuoto, il valore viene impostato su `%{ts_month} %{ts_day} %{ts_time}`.
userIdsUsed	read_only_udm.principal.user.userid	Valore tratto dal campo `userIdsUsed`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.