Recopila registros de identidades privilegiadas de BeyondTrust
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de identidades privilegiadas de BeyondTrust a las Operaciones de seguridad de Google con Bindplane. El analizador extrae los registros de BeyondTrust Remote Support y controla los mensajes de syslog con formato CEF y sin formato CEF. Analiza los campos clave, los asigna al modelo de datos unificados (UDM) y determina el tipo de evento según los campos extraídos, como dst, src, suid y sEventID, y enriquece los datos con contexto adicional, como detalles del usuario, direcciones IP y resultados de seguridad.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host de Linux con
systemd - Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
- Acceso con privilegios al dispositivo de acceso remoto con privilegios de BeyondTrust
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener más opciones de instalación, consulta la guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'BEYONDTRUST_PI' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog en BeyondTrust Privileged Identity
- Accede al dispositivo privilegiado de Beyondtrust.
- Ve a Appliance > Security > Appliance Administration.
- Ve a la sección Syslog.
- Proporciona los siguientes detalles de configuración:
- Nombre de host: Ingresa la dirección IP del agente de BindPlane.
- Puerto: El puerto predeterminado está configurado como 514 (UDP).
- Formato: Selecciona RFC 5424.
- Haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| cs1 | additional.fields[0].key | Se asigna directamente desde el campo de registro sin procesar cs1Label. |
| cs1Label | additional.fields[0].value.string_value | Se asigna directamente desde el campo de registro sin procesar cs1. |
| cs3 | additional.fields[1].value.string_value | Se asigna directamente desde el campo de registro sin procesar cs3Label. |
| cs3Label | additional.fields[1].key | Se asigna directamente desde el campo de registro sin procesar cs3. |
| cs4 | additional.fields[2].value.string_value | Se asigna directamente desde el campo de registro sin procesar cs4Label. |
| cs4Label | additional.fields[2].key | Se asigna directamente desde el campo de registro sin procesar cs4. |
| datos | metadata.description | En el caso de los mensajes de CEF, el campo msg (extraído de data) se asigna a metadata.description. En el caso de los mensajes que no son de CEF, el campo sMessage (o partes de él, según el formato específico del mensaje) se asigna a metadata.description. |
| dhost | target.hostname | Se asigna directamente desde el campo de registro sin procesar dhost. |
| dntdom | target.administrative_domain | Se asigna directamente desde el campo de registro sin procesar dntdom. |
| duser | target.user.user_display_name | Se asigna directamente desde el campo de registro sin procesar duser. |
| msg | metadata.description | Se asigna directamente desde el campo de registro sin procesar msg en los mensajes de CEF. |
| rt | metadata.event_timestamp.seconds | La marca de tiempo de época se extrae del campo rt en los mensajes de CEF. |
| sEventType | metadata.product_event_type | Se asigna directamente desde el campo de registro sin procesar sEventType en los mensajes que no son de CEF. |
| shost | principal.ip | Se asigna directamente desde el campo de registro sin procesar shost. |
| sIpAddress | principal.ip | Se asigna directamente desde el campo de registro sin procesar sIpAddress en los mensajes que no son de CEF. |
| sLoginName | principal.user.userid | Se extrae del campo sLoginName con una expresión regular para separar el dominio y el ID de usuario. |
| sMessage | security_result.description | Se asigna directamente desde el campo de registro sin procesar sMessage en mensajes que no son de CEF, o bien se usan partes extraídas de él para security_result.description. |
| sntdom | principal.administrative_domain | Se asigna directamente desde el campo de registro sin procesar sntdom. |
| sOriginatingAccount | principal.user.userid | Se extrae del campo sOriginatingAccount con una expresión regular para separar el dominio y el ID de usuario. |
| sOriginatingApplicationComponent | principal.application | Se usa en combinación con sOriginatingApplicationName para propagar principal.application. |
| sOriginatingApplicationName | principal.application | Se usa en combinación con sOriginatingApplicationComponent para propagar principal.application. |
| sOriginatingSystem | principal.hostname | Se asigna directamente desde el campo de registro sin procesar sOriginatingSystem en los mensajes que no son de CEF. |
| suser | principal.user.user_display_name | Se asigna directamente desde el campo de registro sin procesar suser. La lógica del analizador determina este valor en función de la presencia y los valores de otros campos, como dst, src, shost y suid. Los valores posibles son NETWORK_CONNECTION, STATUS_UPDATE, USER_UNCATEGORIZED y GENERIC_EVENT. Se debe establecer en "BEYONDTRUST_PI". Establece el valor en "BeyondTrust Remote Support". Se extrae del encabezado de CEF en los mensajes de CEF. Se establece en "BeyondTrust". Se establece en "ALLOW" o "BLOCK" según los campos status, reason o sMessage. Se establece en LOW. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.