このページは Cloud Translation API によって翻訳されました。

BeyondTrust Privileged Identity のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して BeyondTrust Privileged Identity ログを Google Security Operations に取り込む方法について説明します。このパーサーは、BeyondTrust Remote Support ログを抽出し、CEF 形式と非 CEF 形式の両方の syslog メッセージを処理します。キーフィールドを解析して統合データモデル（UDM）にマッピングし、dst、src、suid、sEventID などの抽出されたフィールドに基づいてイベントタイプを特定し、ユーザーの詳細、IP アドレス、セキュリティ結果などの追加コンテキストでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
BeyondTrust Privileged Remote Access Appliance への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BEYONDTRUST_PI'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

BeyondTrust Privileged Identity で Syslog を構成する

Beyondtrust Privileged Appliance にログインします。
[アプライアンス> セキュリティ > アプライアンス管理] に移動します。
[Syslog] セクションに移動します。
次の構成の詳細を指定します。
- ホスト名: Bindplane エージェントの IP アドレスを入力します。
- ポート: デフォルトのポートは 514（UDP）に設定されています。
- 形式: [RFC 5424] を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
cs1	additional.fields[0].key	未加工ログのフィールド `cs1Label` から直接マッピングされます。
cs1Label	additional.fields[0].value.string_value	未加工ログのフィールド `cs1` から直接マッピングされます。
cs3	additional.fields[1].value.string_value	未加工ログのフィールド `cs3Label` から直接マッピングされます。
cs3Label	additional.fields[1].key	未加工ログのフィールド `cs3` から直接マッピングされます。
cs4	additional.fields[2].value.string_value	未加工ログのフィールド `cs4Label` から直接マッピングされます。
cs4Label	additional.fields[2].key	未加工ログのフィールド `cs4` から直接マッピングされます。
データ	metadata.description	CEF メッセージの場合、`msg` フィールド（`data` から抽出）は `metadata.description` にマッピングされます。CEF 以外のメッセージの場合、`sMessage` フィールド（または、特定のメッセージ形式に応じてその一部）が `metadata.description` にマッピングされます。
dhost	target.hostname	未加工ログのフィールド `dhost` から直接マッピングされます。
dntdom	target.administrative_domain	未加工ログのフィールド `dntdom` から直接マッピングされます。
duser	target.user.user_display_name	未加工ログのフィールド `duser` から直接マッピングされます。
msg	metadata.description	CEF メッセージの未加工ログフィールド `msg` から直接マッピングされます。
rt	metadata.event_timestamp.seconds	エポックタイムスタンプは、CEF メッセージの `rt` フィールドから抽出されます。
sEventType	metadata.product_event_type	CEF 以外のメッセージの未加工ログフィールド `sEventType` から直接マッピングされます。
shost	principal.ip	未加工ログのフィールド `shost` から直接マッピングされます。
sIpAddress	principal.ip	CEF 以外のメッセージの未加工ログフィールド `sIpAddress` から直接マッピングされます。
sLoginName	principal.user.userid	正規表現を使用してドメインとユーザー ID を分離し、`sLoginName` フィールドから抽出されます。
sMessage	security_result.description	CEF 以外のメッセージの未加工ログのフィールド `sMessage` から直接マッピングされるか、その一部が抽出されて `security_result.description` に使用されます。
sntdom	principal.administrative_domain	未加工ログのフィールド `sntdom` から直接マッピングされます。
sOriginatingAccount	principal.user.userid	正規表現を使用してドメインとユーザー ID を分離し、`sOriginatingAccount` フィールドから抽出されます。
sOriginatingApplicationComponent	principal.application	`sOriginatingApplicationName` と組み合わせて `principal.application` に値を設定します。
sOriginatingApplicationName	principal.application	`sOriginatingApplicationComponent` と組み合わせて `principal.application` に値を設定します。
sOriginatingSystem	principal.hostname	CEF 以外のメッセージの未加工ログフィールド `sOriginatingSystem` から直接マッピングされます。
suser	principal.user.user_display_name	未加工ログのフィールド `suser` から直接マッピングされます。`dst`、`src`、`shost`、`suid` などの他のフィールドの有無と値に基づいて、パーサーロジックによって決定されます。有効な値は `NETWORK_CONNECTION`、`STATUS_UPDATE`、`USER_UNCATEGORIZED`、`GENERIC_EVENT` です。「BEYONDTRUST_PI」に設定されます。「BeyondTrust Remote Support」に設定します。CEF メッセージの CEF ヘッダーから抽出されます。「BeyondTrust」に設定します。`status`、`reason`、`sMessage` の各フィールドに基づいて「ALLOW」または「BLOCK」に設定されます。`LOW` に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。