收集 BeyondTrust Privileged Identity 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 BeyondTrust Privileged Identity 日志注入到 Google Security Operations。解析器会提取 BeyondTrust 远程支持日志,并处理 CEF 和非 CEF 格式的 syslog 消息。它会解析关键字段,将其映射到统一数据模型 (UDM),并根据提取的字段(例如 dstsrcsuidsEventID)确定事件类型,同时使用用户详细信息、IP 地址和安全结果等其他上下文信息来丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 BeyondTrust Privileged Remote Access Appliance 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell
  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。
  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'BEYONDTRUST_PI'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent
    
  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 BeyondTrust Privileged Identity 中配置 Syslog

  1. 登录 Beyondtrust Privileged Appliance
  2. 依次前往 Appliance> Security > Appliance Administration
  3. 前往 Syslog 部分。
  4. 提供以下配置详细信息:
    • 主机名:输入 Bindplane 代理 IP 地址。
    • 端口:默认端口设置为 514 (UDP)
    • 格式:选择 RFC 5424
  5. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
cs1 additional.fields[0].key 直接从原始日志字段 cs1Label 映射。
cs1Label additional.fields[0].value.string_value 直接从原始日志字段 cs1 映射。
cs3 additional.fields[1].value.string_value 直接从原始日志字段 cs3Label 映射。
cs3Label additional.fields[1].key 直接从原始日志字段 cs3 映射。
cs4 additional.fields[2].value.string_value 直接从原始日志字段 cs4Label 映射。
cs4Label additional.fields[2].key 直接从原始日志字段 cs4 映射。
数据 metadata.description 对于 CEF 消息,从 data 中提取的 msg 字段会映射到 metadata.description。对于非 CEF 消息,sMessage 字段(或其中的部分内容,具体取决于消息格式)会映射到 metadata.description
dhost target.hostname 直接从原始日志字段 dhost 映射。
dntdom target.administrative_domain 直接从原始日志字段 dntdom 映射。
duser target.user.user_display_name 直接从原始日志字段 duser 映射。
msg metadata.description 直接从 CEF 消息中的原始日志字段 msg 映射。
rt metadata.event_timestamp.seconds 系统会从 CEF 消息的 rt 字段中提取纪元时间戳。
sEventType metadata.product_event_type 直接从非 CEF 消息中的原始日志字段 sEventType 映射。
shost principal.ip 直接从原始日志字段 shost 映射。
sIpAddress principal.ip 直接从非 CEF 消息中的原始日志字段 sIpAddress 映射。
sLoginName principal.user.userid 使用正则表达式从 sLoginName 字段中提取,以分隔网域和用户 ID。
sMessage security_result.description 直接从非 CEF 消息中的原始日志字段 sMessage 映射,或使用其提取的部分作为 security_result.description
sntdom principal.administrative_domain 直接从原始日志字段 sntdom 映射。
sOriginatingAccount principal.user.userid 使用正则表达式从 sOriginatingAccount 字段中提取,以分隔网域和用户 ID。
sOriginatingApplicationComponent principal.application sOriginatingApplicationName 结合使用,以填充 principal.application
sOriginatingApplicationName principal.application sOriginatingApplicationComponent 结合使用,以填充 principal.application
sOriginatingSystem principal.hostname 直接从非 CEF 消息中的原始日志字段 sOriginatingSystem 映射。
suser principal.user.user_display_name 直接从原始日志字段 suser 映射。由解析器逻辑根据其他字段(例如 dstsrcshostsuid)的存在情况和值来确定。可能的值包括 NETWORK_CONNECTIONSTATUS_UPDATEUSER_UNCATEGORIZEDGENERIC_EVENT。设置为“BEYONDTRUST_PI”。设置为“BeyondTrust 远程支持”。从 CEF 消息中的 CEF 标头提取。设置为“BeyondTrust”。根据 statusreasonsMessage 字段设置为“ALLOW”或“BLOCK”。设置为 LOW

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。