Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Archer IRM

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Archer IRM (Integrated Risk Management) in Google Security Operations utilizzando Bindplane. Il parser tenta innanzitutto di strutturare i dati SYSLOG utilizzando un pattern Grok specifico. Se il pattern non corrisponde, viene utilizzato un formato chiave-valore, vengono estratti i campi e mappati al modello di dati unificato (UDM), gestendo diversi tipi di eventi e informazioni sulle risorse del database durante il processo.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Un host Windows 2016 o versioni successive oppure Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Istanza on-premise di Archer IRM 6.x con la funzionalità Audit Logging concessa in licenza
Accesso amministrativo al pannello di controllo Archer

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCHER_IRM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog per l'audit logging di Archer IRM

Apri il pannello di controllo di Archer sul server delle applicazioni.
Vai a Gestione istanze > Tutte le istanze e fai doppio clic sull'istanza di destinazione.
Nella scheda Generale, individua la sezione Audit e seleziona la casella di controllo Attiva la registrazione degli audit per questa istanza.
Fornisci i seguenti dettagli di configurazione:
- Nome host o indirizzo IP: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 6514).
- Versione IP: seleziona IPv4.
- Metodo traffico IP: seleziona TCP.
Fai clic su Test Connection (Prova connessione), disponibile solo quando è selezionato TCP, per verificare la connettività.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
ArcherInstance	additional.fields.ArcherInstance.string_value	Estratto dal campo `ArcherInstance` nel messaggio di log non elaborato.
ArcherLog		Questo campo viene analizzato e i relativi dati vengono mappati ad altri campi UDM.
ArcherVersion	additional.fields.ArcherVersion.string_value	Estratto dal campo `ArcherVersion` nel messaggio di log non elaborato.
InputParameter	additional.fields.InputParameter.string_value	Estratto dal campo `InputParameter` nel messaggio di log non elaborato.
LogSourceIdentifier		Questo campo viene analizzato e i relativi dati vengono mappati ad altri campi UDM.
MethodName	additional.fields.MethodName.string_value	Estratto dal campo `MethodName` nel messaggio di log non elaborato.
OutputValues	additional.fields.OutputValue.string_value	Estratto dal campo `OutputValues` nel messaggio di log non elaborato.
Operazione riuscita	security_result.summary	Il valore è impostato su `Success:` concatenato al valore del campo `Success` nel messaggio di log non elaborato.
ID utente	principal.user.userid	Estratto dal campo `UserId` nel messaggio di log non elaborato.
Nome utente	principal.user.user_display_name	Estratto dal campo `UserName` nel messaggio di log non elaborato.
DB_DRIVER	target.resource.attribute.labels.db_driver.value	Estratto dal campo `DB_DRIVER` nel messaggio di log non elaborato.
DB_HOST	target.resource.attribute.labels.db_host.value	Estratto dal campo `DB_HOST` nel messaggio di log non elaborato.
DB_NAME	target.resource.attribute.labels.db_name.value	Estratto dal campo `DB_NAME` nel messaggio di log non elaborato.
DB_PORT	target.resource.attribute.labels.db_port.value	Estratto dal campo `DB_PORT` nel messaggio di log non elaborato.
DB_URL	target.resource.attribute.labels.db_url.value	Estratto dal campo `DB_URL` nel messaggio di log non elaborato.
company_security_event_id	metadata.product_log_id	Estratto dal campo `company_security_event_id` nel messaggio di log non elaborato.
create_date	metadata.event_timestamp	Convertito in timestamp dal formato UNIX_MS.
databasename	target.resource.attribute.labels.db_name.value	Estratto dal campo `databasename` nel messaggio di log non elaborato se `DB_NAME` non è presente.
criptare	security_result.detection_fields.encrypt.value	Estratto dal campo `encrypt` nel messaggio di log non elaborato.
eventid	metadata.product_event_type	Estratto dal campo `eventid` nel messaggio di log non elaborato.
eventtime	metadata.event_timestamp	Convertito in timestamp da vari formati.
integratedSecurity	security_result.detection_fields.integratedSecurity.value	Estratto dal campo `integratedSecurity` nel messaggio di log non elaborato.
N/D	extensions.auth.type	Imposta su `AUTHTYPE_UNSPECIFIED` per gli eventi USER_LOGIN e USER_LOGOUT.
N/D	metadata.event_type	Imposta `USER_RESOURCE_ACCESS` se il log viene analizzato dal pattern Grok. Imposta su `USER_LOGIN` se `security_event_name` è `User Login`. Imposta su `USER_LOGOUT` se `security_event_name` è `User Logout`. Imposta su `USER_RESOURCE_ACCESS` se `security_event_name` contiene `Security Events`. In caso contrario, impostalo su `GENERIC_EVENT`.
N/D	metadata.log_type	Imposta su `ARCHER_IRM`.
N/D	metadata.product_name	Imposta `Archer` se il log viene analizzato dal pattern Grok. In caso contrario, impostalo su `RSA`.
N/D	metadata.vendor_name	Imposta `RSA` se il log viene analizzato dal pattern Grok. In caso contrario, impostalo su `Archer`.
N/D	principal.ip	Imposta `1.2.3.4` se il log viene analizzato dal pattern Grok.
N/D	principal.port	Impostato sul valore estratto da `LogSourceIdentifier` se il log viene analizzato dal pattern grok.
N/D	security_result.action	Imposta su `ALLOW` se `Success` è `True`, altrimenti imposta su `BLOCK`.
N/D	target.resource.resource_type	Imposta su `DATABASE` se sono presenti campi correlati al database.
source_user	principal.user.userid	Estratto dal campo `source_user` nel messaggio di log non elaborato.
target_user	target.user.userid	Estratto dal campo `target_user` nel messaggio di log non elaborato.
trustServerCertificate	security_result.detection_fields.trustServerCertificate.value	Estratto dal campo `trustServerCertificate` nel messaggio di log non elaborato.
versione	metadata.product_version	Estratto dal campo `version` nel messaggio di log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.