收集 BeyondTrust Privileged Identity 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 BeyondTrust Privileged Identity 日志注入到 Google Security Operations。解析器会提取 BeyondTrust 远程支持日志,并处理 CEF 和非 CEF 格式的 syslog 消息。它会解析关键字段,将其映射到统一数据模型 (UDM),并根据提取的字段(例如 dst
、src
、suid
和 sEventID
)确定事件类型,同时使用用户详细信息、IP 地址和安全结果等其他上下文信息来丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd
的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 BeyondTrust Privileged Remote Access Appliance 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml
文件。通常,它位于 Linux 上的/etc/bindplane-agent/
目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'BEYONDTRUST_PI' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>
替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json
更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 BeyondTrust Privileged Identity 中配置 Syslog
- 登录 Beyondtrust Privileged Appliance。
- 依次前往 Appliance> Security > Appliance Administration。
- 前往 Syslog 部分。
- 提供以下配置详细信息:
- 主机名:输入 Bindplane 代理 IP 地址。
- 端口:默认端口设置为 514 (UDP)。
- 格式:选择 RFC 5424。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
cs1 | additional.fields[0].key | 直接从原始日志字段 cs1Label 映射。 |
cs1Label | additional.fields[0].value.string_value | 直接从原始日志字段 cs1 映射。 |
cs3 | additional.fields[1].value.string_value | 直接从原始日志字段 cs3Label 映射。 |
cs3Label | additional.fields[1].key | 直接从原始日志字段 cs3 映射。 |
cs4 | additional.fields[2].value.string_value | 直接从原始日志字段 cs4Label 映射。 |
cs4Label | additional.fields[2].key | 直接从原始日志字段 cs4 映射。 |
数据 | metadata.description | 对于 CEF 消息,从 data 中提取的 msg 字段会映射到 metadata.description 。对于非 CEF 消息,sMessage 字段(或其中的部分内容,具体取决于消息格式)会映射到 metadata.description 。 |
dhost | target.hostname | 直接从原始日志字段 dhost 映射。 |
dntdom | target.administrative_domain | 直接从原始日志字段 dntdom 映射。 |
duser | target.user.user_display_name | 直接从原始日志字段 duser 映射。 |
msg | metadata.description | 直接从 CEF 消息中的原始日志字段 msg 映射。 |
rt | metadata.event_timestamp.seconds | 系统会从 CEF 消息的 rt 字段中提取纪元时间戳。 |
sEventType | metadata.product_event_type | 直接从非 CEF 消息中的原始日志字段 sEventType 映射。 |
shost | principal.ip | 直接从原始日志字段 shost 映射。 |
sIpAddress | principal.ip | 直接从非 CEF 消息中的原始日志字段 sIpAddress 映射。 |
sLoginName | principal.user.userid | 使用正则表达式从 sLoginName 字段中提取,以分隔网域和用户 ID。 |
sMessage | security_result.description | 直接从非 CEF 消息中的原始日志字段 sMessage 映射,或使用其提取的部分作为 security_result.description 。 |
sntdom | principal.administrative_domain | 直接从原始日志字段 sntdom 映射。 |
sOriginatingAccount | principal.user.userid | 使用正则表达式从 sOriginatingAccount 字段中提取,以分隔网域和用户 ID。 |
sOriginatingApplicationComponent | principal.application | 与 sOriginatingApplicationName 结合使用,以填充 principal.application 。 |
sOriginatingApplicationName | principal.application | 与 sOriginatingApplicationComponent 结合使用,以填充 principal.application 。 |
sOriginatingSystem | principal.hostname | 直接从非 CEF 消息中的原始日志字段 sOriginatingSystem 映射。 |
suser | principal.user.user_display_name | 直接从原始日志字段 suser 映射。由解析器逻辑根据其他字段(例如 dst 、src 、shost 和 suid )的存在情况和值来确定。可能的值包括 NETWORK_CONNECTION 、STATUS_UPDATE 、USER_UNCATEGORIZED 和 GENERIC_EVENT 。设置为“BEYONDTRUST_PI”。设置为“BeyondTrust 远程支持”。从 CEF 消息中的 CEF 标头提取。设置为“BeyondTrust”。根据 status 、reason 或 sMessage 字段设置为“ALLOW”或“BLOCK”。设置为 LOW 。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。