Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de administración de seguridad de AlgoSec

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de administración de seguridad de AlgoSec a Google Security Operations con un agente de Bindplane. El analizador extrae los campos y controla los registros con formato CEF y sin formato CEF. Analiza campos comunes, como marcas de tiempo, direcciones IP y detalles de eventos, y, luego, los asigna al UDM según el producto (Suite, Firewall Analyzer, FireFlow) y el ID del evento, y establece los campos de metadatos y resultados de seguridad adecuados. También controla tipos de eventos específicos, como el acceso y el cierre de sesión, las alertas administrativas y los informes de análisis, extrayendo detalles relevantes y estableciendo niveles de gravedad.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a AlgoSec Firewall Analyzer, FireFlow y AppViz.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cómo configurar Syslog para Firewall Analyzer

Accede al dispositivo AFA con SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Agrega las siguientes líneas para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Reemplaza <bindplane-server-ip> por la dirección IP del agente de Bindplane.

Guarda y sal del editor.
Reinicia el servicio de syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```
Opcional: Verifica la configuración de Syslog:
1. Ve a Administración > Configuración del servidor Syslog.
2. Haz clic en Test Connectivity.

Configura Syslog para FireFlow

Accede a la máquina FireFlow como root.
Abre el archivo /etc/syslog.conf para editarlo.
```
vi /etc/syslog.conf
```
Agrega la siguiente línea al archivo: local0.*@<BindplaneAgent>.
- Reemplaza <BindplaneAgent> por la dirección IP del servidor del agente de Bindplane.

Cómo configurar Syslog para AppViz

Accede al dispositivo AppViz a través de SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Agrega lo siguiente para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Reemplaza <bindplane-server-ip> por la dirección IP del agente de Bindplane.

Guarda y sal del editor.
Reinicia el servicio de syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```
Verifica la configuración de Syslog:
1. En la interfaz de AppViz, ve a Administración > Configuración del servidor Syslog.
2. Haz clic en Test Connectivity.

Configura Syslog para eventos de acceso y salida

Accede al dispositivo de ASMS a través de SSH.
Ve al directorio de configuración de syslog-ng:
```
cd /etc/syslog-ng
```
Crea una copia de seguridad de la configuración existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edita el archivo de configuración de syslog-ng:
```
vi syslog-ng.conf
```

Agrega lo siguiente para definir el servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Reemplaza <bindplane-server-ip> por la dirección IP de tu servidor syslog.

Guarda y sal del editor.
Reinicia el servicio de syslog-ng para aplicar los cambios:
```
service syslog-ng restart
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`by_user`	`principal.user.user_display_name`	El valor del campo `by_user` del registro sin procesar se asigna a este campo de UDM.
`collection_time`	`metadata.event_timestamp`	Los campos de segundos y nanosegundos se combinan para crear una marca de tiempo.
`comm`	`target.process.command_line`	El valor del campo `comm` que se extrae del campo `desc` con grok se asigna a este campo de UDM.
`datetime`	`metadata.event_timestamp`	La fecha y la hora se extraen del registro sin procesar y se usan para completar la marca de tiempo del evento.
`desc`	`metadata.description`	El valor del campo `desc` del registro sin procesar se asigna a este campo del UDM cuando no hay otra descripción disponible.
`dest_ip`	`target.ip`	El valor del campo `dest_ip` del registro sin procesar se asigna a este campo de UDM.
`dest_port`	`target.port`	El valor del campo `dest_port` del registro sin procesar se asigna a este campo de UDM.
`details`	`security_result.summary`	El valor del campo `details` del registro sin procesar se asigna a este campo de UDM.
`device`	`principal.asset.hostname`	El valor del campo `device` del registro sin procesar se asigna a este campo de UDM.
`dst_ip`	`target.ip`	El valor del campo `dst_ip` del registro sin procesar se asigna a este campo de UDM.
`dst_port`	`target.port`	El valor del campo `dst_port` del registro sin procesar se asigna a este campo de UDM.
`event_id`	`metadata.product_event_type`	El valor del campo `event_id` del registro sin procesar se asigna a este campo de UDM. También se usa en la lógica del analizador para determinar el `metadata.event_type` y otros campos.
`event_name`	`metadata.product_event_type`	El valor del campo `event_name` del registro sin procesar se asigna a este campo de UDM.
`firewall`	`target.hostname`	El valor del campo `firewall` del registro sin procesar se asigna a este campo de UDM.
`host`	`principal.hostname`	El valor del campo `host` del registro sin procesar se asigna a este campo de UDM.
`host_type`	`principal.asset.category`	El valor del campo `host_type` del registro sin procesar se asigna a este campo de UDM.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Si el valor es una dirección IP, se asigna a `principal.ip`, `target.ip` o `observer.ip` según el origen del registro y el tipo de evento. Si es un nombre de host, se asigna a `principal.hostname`, `target.hostname` o `observer.hostname`.
`IP`	`principal.ip`	El valor del campo `IP` del registro sin procesar se asigna a este campo de UDM.
`kv_data`	`security_result.summary`	El valor del campo `kv_data` del registro sin procesar se asigna a este campo de UDM.
`log_type`	`metadata.log_type`	Se codificó como `ALGOSEC`.
`metric`	`security_result.action_details`	El valor del campo `metric` del registro sin procesar se asigna a este campo de UDM.
`msg`	`security_result.summary`/`security_result.description`	El valor del campo `msg` del registro sin procesar se usa para completar el resumen o la descripción del resultado de seguridad, según el contexto. También se usa para extraer los campos `risk_level`, `risk_count`, `risk_code` y `risk_title`.
`pid`	`target.process.pid`	El valor del campo `pid` que se extrae del campo `desc` con grok se asigna a este campo de UDM.
`product`	`metadata.product_name`	El valor del campo `product` del registro sin procesar se asigna a este campo de UDM.
`report`	`security_result.description`	El valor del campo `report` del registro sin procesar se incluye en la descripción del resultado de seguridad.
`report_data.Device IP`	`target.ip`	El valor del campo `Device IP` de los datos JSON analizados se asigna a este campo del UDM.
`report_data.Highest Risk Level`	`security_result.description`	El valor del campo `Highest Risk Level` de los datos JSON analizados se incluye en la descripción del resultado de seguridad. También se usa para determinar la gravedad del resultado de seguridad.
`report_data.Security Rating Score`	`security_result.description`	El valor del campo `Security Rating Score` de los datos JSON analizados se incluye en la descripción del resultado de seguridad.
`Requestor.Email`	`principal.user.email_addresses`	El valor del campo `Email` dentro del objeto `Requestor` de los datos JSON analizados se asigna a este campo del UDM.
`Requestor.Name`	`principal.user.user_display_name`	El valor del campo `Name` dentro del objeto `Requestor` de los datos JSON analizados se asigna a este campo del UDM.
`RequestType`	`target.resource.attribute.labels`	El valor del campo `RequestType` del registro sin procesar se agrega como una etiqueta al recurso de destino.
`risk_title`	`security_result.summary`	El valor del campo `risk_title` del registro sin procesar se asigna a este campo de UDM.
`src_ip`	`principal.ip`	El valor del campo `src_ip` del registro sin procesar se asigna a este campo de UDM.
`src_port`	`principal.port`	El valor del campo `src_port` del registro sin procesar se asigna a este campo de UDM.
`status`	`security_result.description`/`security_result.action_details`	El valor del campo `status` del registro sin procesar se incluye en la descripción del resultado de seguridad o en los detalles de la acción, según el contexto. También se usa para determinar la gravedad del resultado de seguridad.
`target_app`	`target.application`	El valor del campo `target_app` del registro sin procesar se asigna a este campo de UDM.
`TemplateName`	`metadata.description`	El valor del campo `TemplateName` del registro sin procesar se asigna a este campo de UDM.
`url`	`security_result.url_back_to_product`	El valor del campo `url` del registro sin procesar se asigna a este campo de UDM.
`user`	`principal.user.userid`	El valor del campo `user` del registro sin procesar se asigna a este campo de UDM.
`vendor`	`metadata.vendor_name`	El valor del campo `vendor` del registro sin procesar se asigna a este campo de UDM.
`version`	`metadata.product_version`	El valor del campo `version` del registro sin procesar se asigna a este campo de UDM.
`WorkFlow`	`target.resource.attribute.labels`	El valor del campo `WorkFlow` del registro sin procesar se agrega como una etiqueta al recurso de destino.
(Lógica del analizador)	`extensions.auth.type`	Se codificó como `MACHINE`.
(Lógica del analizador)	`security_result.action`	Se determina en función de `event_id` y otros campos. Por lo general, se establece en `ALLOW` o `BLOCK`.
(Lógica del analizador)	`security_result.category`	Se codifica como `POLICY_VIOLATION` para los eventos del Analizador de firewall.
(Lógica del analizador)	`security_result.description`	Se construye en función de otros campos y proporciona contexto y detalles sobre el evento.
(Lógica del analizador)	`security_result.severity`	Se determina en función de los campos `event_id`, `msg` y otros. Por lo general, se establece en `LOW`, `MEDIUM` o `HIGH`.
(Lógica del analizador)	`metadata.event_type`	Se determina en función de `event_id` y otros campos. Entre los ejemplos, se incluyen `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION` y `STATUS_UPDATE`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.