Esta página se ha traducido con Cloud Translation API.

Recopilar registros de gestión de seguridad de AlgoSec

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de gestión de seguridad de AlgoSec en Google Security Operations mediante un agente de Bindplane. El analizador extrae los campos y gestiona los registros con formato CEF y sin formato CEF. Analiza campos comunes, como marcas de tiempo, direcciones IP y detalles de eventos, y los asigna al UDM en función del producto (Suite, Firewall Analyzer o FireFlow) y del ID de evento, lo que permite definir los campos de metadatos y de resultados de seguridad adecuados. También gestiona tipos de eventos específicos, como inicios y cierres de sesión, alertas administrativas e informes de análisis, extrayendo los detalles relevantes y definiendo los niveles de gravedad.

Antes de empezar

Asegúrate de que tienes una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso privilegiado a AlgoSec Firewall Analyzer, FireFlow y AppViz.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog para Firewall Analyzer

Inicia sesión en el dispositivo AFA mediante SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración actual:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Añade las siguientes líneas para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sustituye <bindplane-server-ip> por la dirección IP del agente de Bindplane.

Guarda los cambios y sal del editor.
Reinicia el servicio syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```
Opcional: Verifica la configuración de Syslog:
1. Ve a Administración > Configuración del servidor Syslog.
2. Haz clic en Probar conectividad.

Configurar Syslog para FireFlow

Inicia sesión en el equipo de FireFlow como root.
Abre el archivo /etc/syslog.conf para editarlo.
```
vi /etc/syslog.conf
```
Añade la siguiente línea al archivo local0.*@<BindplaneAgent>.
- Sustituye <BindplaneAgent> por la dirección IP del servidor del agente de Bindplane.

Configurar Syslog para AppViz

Inicia sesión en el dispositivo AppViz mediante SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración actual:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Añade lo siguiente para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sustituye <bindplane-server-ip> por la dirección IP del agente de Bindplane.

Guarda los cambios y sal del editor.
Reinicia el servicio syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```
Verifica la configuración de Syslog:
1. En la interfaz de AppViz, ve a Administración > Configuración del servidor Syslog.
2. Haz clic en Probar conectividad.

Configurar Syslog para eventos de inicio y cierre de sesión

Inicia sesión en el dispositivo ASMS mediante SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración actual:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Añade lo siguiente para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sustituye <bindplane-server-ip> por la dirección IP de tu servidor syslog.

Guarda los cambios y sal del editor.
Reinicia el servicio syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`by_user`	`principal.user.user_display_name`	El valor del campo `by_user` del registro sin procesar se asigna a este campo de UDM.
`collection_time`	`metadata.event_timestamp`	Los campos de segundos y nanosegundos se combinan para crear una marca de tiempo.
`comm`	`target.process.command_line`	El valor del campo `comm` extraído del campo `desc` mediante grok se asigna a este campo de UDM.
`datetime`	`metadata.event_timestamp`	La fecha y la hora se extraen del registro sin procesar y se usan para rellenar la marca de tiempo del evento.
`desc`	`metadata.description`	El valor del campo `desc` del registro sin procesar se asigna a este campo de UDM cuando no hay ninguna otra descripción disponible.
`dest_ip`	`target.ip`	El valor del campo `dest_ip` del registro sin procesar se asigna a este campo de UDM.
`dest_port`	`target.port`	El valor del campo `dest_port` del registro sin procesar se asigna a este campo de UDM.
`details`	`security_result.summary`	El valor del campo `details` del registro sin procesar se asigna a este campo de UDM.
`device`	`principal.asset.hostname`	El valor del campo `device` del registro sin procesar se asigna a este campo de UDM.
`dst_ip`	`target.ip`	El valor del campo `dst_ip` del registro sin procesar se asigna a este campo de UDM.
`dst_port`	`target.port`	El valor del campo `dst_port` del registro sin procesar se asigna a este campo de UDM.
`event_id`	`metadata.product_event_type`	El valor del campo `event_id` del registro sin procesar se asigna a este campo de UDM. También se usa en la lógica del analizador para determinar el `metadata.event_type` y otros campos.
`event_name`	`metadata.product_event_type`	El valor del campo `event_name` del registro sin procesar se asigna a este campo de UDM.
`firewall`	`target.hostname`	El valor del campo `firewall` del registro sin procesar se asigna a este campo de UDM.
`host`	`principal.hostname`	El valor del campo `host` del registro sin procesar se asigna a este campo de UDM.
`host_type`	`principal.asset.category`	El valor del campo `host_type` del registro sin procesar se asigna a este campo de UDM.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Si el valor es una dirección IP, se asigna a `principal.ip`, `target.ip` o `observer.ip` en función de la fuente de registro y del tipo de evento. Si se trata de un nombre de host, se asigna a `principal.hostname`, `target.hostname` o `observer.hostname`.
`IP`	`principal.ip`	El valor del campo `IP` del registro sin procesar se asigna a este campo de UDM.
`kv_data`	`security_result.summary`	El valor del campo `kv_data` del registro sin procesar se asigna a este campo de UDM.
`log_type`	`metadata.log_type`	Valor fijo establecido en el código fuente `ALGOSEC`.
`metric`	`security_result.action_details`	El valor del campo `metric` del registro sin procesar se asigna a este campo de UDM.
`msg`	`security_result.summary`/`security_result.description`	El valor del campo `msg` del registro sin procesar se usa para rellenar el resumen o la descripción del resultado de seguridad, según el contexto. También se usa para extraer los campos `risk_level`, `risk_count`, `risk_code` y `risk_title`.
`pid`	`target.process.pid`	El valor del campo `pid` extraído del campo `desc` mediante grok se asigna a este campo de UDM.
`product`	`metadata.product_name`	El valor del campo `product` del registro sin procesar se asigna a este campo de UDM.
`report`	`security_result.description`	El valor del campo `report` del registro sin procesar se incluye en la descripción del resultado de seguridad.
`report_data.Device IP`	`target.ip`	El valor del campo `Device IP` de los datos JSON analizados se asigna a este campo de UDM.
`report_data.Highest Risk Level`	`security_result.description`	El valor del campo `Highest Risk Level` de los datos JSON analizados se incluye en la descripción del resultado de seguridad. También se usa para determinar la gravedad del resultado de seguridad.
`report_data.Security Rating Score`	`security_result.description`	El valor del campo `Security Rating Score` de los datos JSON analizados se incluye en la descripción del resultado de seguridad.
`Requestor.Email`	`principal.user.email_addresses`	El valor del campo `Email` del objeto `Requestor` de los datos JSON analizados se asigna a este campo de metadatos definidos por el usuario.
`Requestor.Name`	`principal.user.user_display_name`	El valor del campo `Name` del objeto `Requestor` de los datos JSON analizados se asigna a este campo de metadatos definidos por el usuario.
`RequestType`	`target.resource.attribute.labels`	El valor del campo `RequestType` del registro sin procesar se añade como etiqueta al recurso de destino.
`risk_title`	`security_result.summary`	El valor del campo `risk_title` del registro sin procesar se asigna a este campo de UDM.
`src_ip`	`principal.ip`	El valor del campo `src_ip` del registro sin procesar se asigna a este campo de UDM.
`src_port`	`principal.port`	El valor del campo `src_port` del registro sin procesar se asigna a este campo de UDM.
`status`	`security_result.description`/`security_result.action_details`	El valor del campo `status` del registro sin procesar se incluye en la descripción de los detalles del resultado o la acción de seguridad, según el contexto. También se usa para determinar la gravedad del resultado de seguridad.
`target_app`	`target.application`	El valor del campo `target_app` del registro sin procesar se asigna a este campo de UDM.
`TemplateName`	`metadata.description`	El valor del campo `TemplateName` del registro sin procesar se asigna a este campo de UDM.
`url`	`security_result.url_back_to_product`	El valor del campo `url` del registro sin procesar se asigna a este campo de UDM.
`user`	`principal.user.userid`	El valor del campo `user` del registro sin procesar se asigna a este campo de UDM.
`vendor`	`metadata.vendor_name`	El valor del campo `vendor` del registro sin procesar se asigna a este campo de UDM.
`version`	`metadata.product_version`	El valor del campo `version` del registro sin procesar se asigna a este campo de UDM.
`WorkFlow`	`target.resource.attribute.labels`	El valor del campo `WorkFlow` del registro sin procesar se añade como etiqueta al recurso de destino.
(Lógica del analizador)	`extensions.auth.type`	Valor fijo establecido en el código fuente `MACHINE`.
(Lógica del analizador)	`security_result.action`	Se determina en función de la `event_id` y otros campos. Normalmente, se asigna el valor `ALLOW` o `BLOCK`.
(Lógica del analizador)	`security_result.category`	Se ha codificado como `POLICY_VIOLATION` para los eventos de Firewall Analyzer.
(Lógica del analizador)	`security_result.description`	Se construye a partir de otros campos y proporciona contexto y detalles sobre el evento.
(Lógica del analizador)	`security_result.severity`	Se determina en función de los campos `event_id`, `msg` y otros. Normalmente se asigna el valor `LOW`, `MEDIUM` o `HIGH`.
(Lógica del analizador)	`metadata.event_type`	Se determina en función de la `event_id` y otros campos. Por ejemplo, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION` y `STATUS_UPDATE`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.