Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di AlgoSec Security Management

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di AlgoSec Security Management in Google Security Operations utilizzando un agente Bindplane. Il parser estrae i campi, gestendo i log in formato CEF e non CEF. Analizza i campi comuni come timestamp, indirizzi IP e dettagli degli eventi, quindi li mappa all'UDM in base al prodotto (Suite, Firewall Analyzer, FireFlow) e all'ID evento, impostando i campi dei metadati e dei risultati di sicurezza appropriati. Gestisce anche tipi di eventi specifici come accesso/disconnessione, avvisi amministrativi e report di analisi, estraendo i dettagli pertinenti e impostando i livelli di gravità.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi ad AlgoSec Firewall Analyzer, FireFlow e AppViz.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog per Firewall Analyzer

Accedi all'appliance AFA utilizzando SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi le seguenti righe per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
(Facoltativo) Verifica la configurazione di Syslog:
1. Vai ad Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare Syslog per FireFlow

Accedi al computer FireFlow come root.
Apri il file /etc/syslog.conf per modificarlo.
```
vi /etc/syslog.conf
```
Aggiungi la seguente riga al file: local0.*@<BindplaneAgent>.
- Sostituisci <BindplaneAgent> con l'indirizzo IP del server dell'agente Bindplane.

Configurare Syslog per AppViz

Accedi all'appliance AppViz tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi quanto segue per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
Verifica della configurazione di Syslog:
1. Nell'interfaccia di AppViz, vai ad Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare Syslog per gli eventi di accesso e uscita

Accedi all'appliance ASMS tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi quanto segue per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP del server syslog.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`by_user`	`principal.user.user_display_name`	Il valore del campo `by_user` del log non elaborato viene assegnato a questo campo UDM.
`collection_time`	`metadata.event_timestamp`	I campi secondi e nanosecondi vengono combinati per creare un timestamp.
`comm`	`target.process.command_line`	Il valore del campo `comm` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`datetime`	`metadata.event_timestamp`	La data e l'ora vengono estratte dal log non elaborato e utilizzate per popolare il timestamp dell'evento.
`desc`	`metadata.description`	Il valore del campo `desc` del log non elaborato viene assegnato a questo campo UDM quando non è disponibile nessun'altra descrizione.
`dest_ip`	`target.ip`	Il valore del campo `dest_ip` del log non elaborato viene assegnato a questo campo UDM.
`dest_port`	`target.port`	Il valore del campo `dest_port` del log non elaborato viene assegnato a questo campo UDM.
`details`	`security_result.summary`	Il valore del campo `details` del log non elaborato viene assegnato a questo campo UDM.
`device`	`principal.asset.hostname`	Il valore del campo `device` del log non elaborato viene assegnato a questo campo UDM.
`dst_ip`	`target.ip`	Il valore del campo `dst_ip` del log non elaborato viene assegnato a questo campo UDM.
`dst_port`	`target.port`	Il valore del campo `dst_port` del log non elaborato viene assegnato a questo campo UDM.
`event_id`	`metadata.product_event_type`	Il valore del campo `event_id` del log non elaborato viene assegnato a questo campo UDM. Viene utilizzato anche nella logica del parser per determinare `metadata.event_type` e altri campi.
`event_name`	`metadata.product_event_type`	Il valore del campo `event_name` del log non elaborato viene assegnato a questo campo UDM.
`firewall`	`target.hostname`	Il valore del campo `firewall` del log non elaborato viene assegnato a questo campo UDM.
`host`	`principal.hostname`	Il valore del campo `host` del log non elaborato viene assegnato a questo campo UDM.
`host_type`	`principal.asset.category`	Il valore del campo `host_type` del log non elaborato viene assegnato a questo campo UDM.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Se il valore è un indirizzo IP, viene mappato a `principal.ip`, `target.ip` o `observer.ip` a seconda dell'origine log e del tipo di evento. Se si tratta di un nome host, viene mappato a `principal.hostname`, `target.hostname` o `observer.hostname`.
`IP`	`principal.ip`	Il valore del campo `IP` del log non elaborato viene assegnato a questo campo UDM.
`kv_data`	`security_result.summary`	Il valore del campo `kv_data` del log non elaborato viene assegnato a questo campo UDM.
`log_type`	`metadata.log_type`	Codificato in modo permanente su `ALGOSEC`.
`metric`	`security_result.action_details`	Il valore del campo `metric` del log non elaborato viene assegnato a questo campo UDM.
`msg`	`security_result.summary`/`security_result.description`	Il valore del campo `msg` del log non elaborato viene utilizzato per compilare il riepilogo o la descrizione del risultato di sicurezza, a seconda del contesto. Viene utilizzato anche per estrarre i campi `risk_level`, `risk_count`, `risk_code` e `risk_title`.
`pid`	`target.process.pid`	Il valore del campo `pid` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`product`	`metadata.product_name`	Il valore del campo `product` del log non elaborato viene assegnato a questo campo UDM.
`report`	`security_result.description`	Il valore del campo `report` del log non elaborato è incluso nella descrizione del risultato di sicurezza.
`report_data.Device IP`	`target.ip`	Il valore del campo `Device IP` dei dati JSON analizzati viene assegnato a questo campo UDM.
`report_data.Highest Risk Level`	`security_result.description`	Il valore del campo `Highest Risk Level` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`report_data.Security Rating Score`	`security_result.description`	Il valore del campo `Security Rating Score` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza.
`Requestor.Email`	`principal.user.email_addresses`	Il valore del campo `Email` all'interno dell'oggetto `Requestor` dei dati JSON analizzati viene assegnato a questo campo UDM.
`Requestor.Name`	`principal.user.user_display_name`	Il valore del campo `Name` all'interno dell'oggetto `Requestor` dei dati JSON analizzati viene assegnato a questo campo UDM.
`RequestType`	`target.resource.attribute.labels`	Il valore del campo `RequestType` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
`risk_title`	`security_result.summary`	Il valore del campo `risk_title` del log non elaborato viene assegnato a questo campo UDM.
`src_ip`	`principal.ip`	Il valore del campo `src_ip` del log non elaborato viene assegnato a questo campo UDM.
`src_port`	`principal.port`	Il valore del campo `src_port` del log non elaborato viene assegnato a questo campo UDM.
`status`	`security_result.description`/`security_result.action_details`	Il valore del campo `status` del log non elaborato è incluso nella descrizione del risultato di sicurezza o nei dettagli dell'azione, a seconda del contesto. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`target_app`	`target.application`	Il valore del campo `target_app` del log non elaborato viene assegnato a questo campo UDM.
`TemplateName`	`metadata.description`	Il valore del campo `TemplateName` del log non elaborato viene assegnato a questo campo UDM.
`url`	`security_result.url_back_to_product`	Il valore del campo `url` del log non elaborato viene assegnato a questo campo UDM.
`user`	`principal.user.userid`	Il valore del campo `user` del log non elaborato viene assegnato a questo campo UDM.
`vendor`	`metadata.vendor_name`	Il valore del campo `vendor` del log non elaborato viene assegnato a questo campo UDM.
`version`	`metadata.product_version`	Il valore del campo `version` del log non elaborato viene assegnato a questo campo UDM.
`WorkFlow`	`target.resource.attribute.labels`	Il valore del campo `WorkFlow` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
(Parser Logic)	`extensions.auth.type`	Codificato in modo permanente su `MACHINE`.
(Parser Logic)	`security_result.action`	Determinato in base a `event_id` e ad altri campi. In genere impostato su `ALLOW` o `BLOCK`.
(Parser Logic)	`security_result.category`	Codificato in modo permanente su `POLICY_VIOLATION` per gli eventi di Firewall Analyzer.
(Parser Logic)	`security_result.description`	Costruito in base ad altri campi, fornisce contesto e dettagli sull'evento.
(Parser Logic)	`security_result.severity`	Determinato in base ai campi `event_id`, `msg` e altri. In genere impostato su `LOW`, `MEDIUM` o `HIGH`.
(Parser Logic)	`metadata.event_type`	Determinato in base a `event_id` e ad altri campi. Esempi: `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION` e `STATUS_UPDATE`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.