收集 BeyondTrust 远程支持日志
支持的语言:
Google SecOps
SIEM
此解析器可处理来自 BeyondTrust Remote Support 的 syslog 消息,并将其转换为 UDM 格式。它会处理 CEF 和非 CEF 格式的日志,提取字段,执行数据转换,并将它们映射到相应的 UDM 字段,包括正文、目标和安全结果详细信息。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用带有 systemd 的 Linux 主机。
- 如果通过代理运行,请确保防火墙端口处于开放状态。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane 代理
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问安装了 Bindplane 的机器。
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels重启 Bindplane 代理以应用更改:
sudo systemctl restart bindplane
配置从 BeyondTrust 远程支持导出 Syslog
- 登录您的 BeyondTrust 远程支持。
- 依次前往安全性 > 设备管理。
- 前往 Syslog 部分,然后设置以下值:
- 远程 Syslog 服务器:输入 syslog 主机服务器 (Bindplane) 的主机名或 IP 地址。在此字段中,您最多可以添加 3 个 syslog 服务器。
- 消息格式:选择 RFC 5424。
- 端口:输入 syslog 主机服务器 (Bindplane) 的端口。
- 点击提交。
UDM 映射
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 账号:过期 | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“account:expiration”字段。 |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“account:email:locale”字段。 |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“ssions:command_shell_is_whitelist”字段。 |
| datetime | read_only_udm.metadata.event_timestamp.seconds | 该值从原始日志的“datetime”字段中解析出来,并转换为 Unix 时间戳。 |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | 该值从原始日志中的“dtPostTime”字段解析,并转换为 Unix 时间戳。 |
| 事件 | read_only_udm.metadata.product_event_type | 该值取自原始日志中的“event”字段。 |
| 主机 | read_only_udm.principal.hostname | 该值取自原始日志中的“host”字段。 |
| id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“id”字段。 |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“license_pool:id”字段。 |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | 该值取自原始日志中的“login_schedule:timezone”字段。 |
| old_account:email:address | read_only_udm.target.user.email_addresses | 该值取自原始日志中的“old_account:email:address”字段。 |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_account:failed_logins”字段。 |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_display_number”字段。 |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | 该值取自原始日志中的“old_login_schedule:timezone”字段。 |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:api:reporting”字段。 |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:jump_item_role:default:id”字段。 |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:jump_item_role:default:name”字段。 |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:jump_item_role:teams:id”字段。 |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:jump_item_role:teams:name”字段。 |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:presentations:control:status”字段。 |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:public_sites:templates:status”字段。 |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:presentation_reports”字段。 |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:support_reports”字段。 |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:vault_reports”字段。 |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support”字段。 |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:accept_team_sessions:status”字段。 |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:bomgar_button:change_public_sites:status”字段。 |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:bomgar_button:personal:deploy:status”字段。 |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:bomgar_button:team:manage”字段。 |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:bomgar_button:team:manage:status”字段。 |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:ios_content”字段。 |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:jump:local”字段。 |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:jump:local:status”字段。 |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:jump:remote”字段。 |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:jump:remote:status”字段。 |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:rdp:local”字段。 |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:rdp:local:status”字段。 |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:rdp:remote”字段。 |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:rdp:remote:status”字段。 |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:session_assignment:idle_timeout”字段。 |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:session_assignment:idle_timeout:status”字段。 |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:session_assignment:session_limit”字段。 |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:session_assignment:session_limit:status=forbid_override”字段。 |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:session_keys”字段。 |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:status”字段。 |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:team_share”字段。 |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:team_transfer”字段。 |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:vnc:local”字段。 |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:vnc:local:status”字段。 |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:vnc:remote”字段。 |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:support:vnc:remote:status”字段。 |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_private_display_name”字段。 |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_provider:id”字段。 |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_provider:name”字段。 |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“permissions:jump_item_role:default:id”字段。 |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“permissions:jump_item_role:default:name”字段。 |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“permissions:jump_item_role:teams:id”字段。 |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“permissions:jump_item_role:teams:name”字段。 |
| 提供方:ID | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“provider:id”字段。 |
| 提供方:名称 | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“provider:name”字段。 |
| reason | read_only_udm.security_result.description | 该值取自原始日志中的“reason”字段,并附加到说明字段,前缀为“ - Reason:”。 |
| sEventID | read_only_udm.metadata.product_event_type | 该值取自原始日志中的“sEventID”字段。 |
| sIpAddress | read_only_udm.principal.ip | 该值取自原始日志中的“sIpAddress”字段。 |
| sLoginName | read_only_udm.principal.user.userid | 该值是从原始日志的“sLoginName”字段中解析出来的。如果该字段包含网域,则系统会提取该网域并将其映射到 read_only_udm.principal.namespace。 |
| sMessage | read_only_udm.security_result.description | 该值取自原始日志中的“sMessage”字段。解析器会提取引号内的文本,并将其映射到说明字段。 |
| sOriginatingAccount | read_only_udm.principal.user.userid | 该值是从原始日志的“sOriginatingAccount”字段中解析出来的。如果该字段包含网域,则系统会提取该网域并将其映射到 read_only_udm.principal.namespace。 |
| sOriginatingApplicationComponent | read_only_udm.principal.application | 该值取自原始日志中的“sOriginatingApplicationComponent”字段,并附加到应用字段中,位于 sOriginatingApplicationName 中的值后面的括号内。 |
| sOriginatingApplicationName | read_only_udm.principal.application | 该值取自原始日志中的“sOriginatingApplicationName”字段。 |
| sOriginatingSystem | read_only_udm.principal.hostname | 该值取自原始日志中的“sOriginatingSystem”字段。 |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“session_policy:id”字段。 |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“session_policy:name”字段。 |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“session_policy:purpose”字段。 |
| 网站 | read_only_udm.target.hostname | 该值取自原始日志中的“网站”字段。 |
| 状态 | read_only_udm.security_result.summary | 该值取自原始日志中的“状态”字段,并附加到摘要字段。 |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:jump:local”字段。 |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:allow_pinned_clients”字段。 |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:allow_users”字段。 |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:canned_scripts”字段。 |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:chat”字段。 |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:chat:push_url”字段。 |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:chat:send_file”字段。 |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:command_shell”字段。 |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:deploy_callback_button”字段。 |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:elevation”字段。 |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:file_transfers:cust”字段。 |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:file_transfers:download”字段。 |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:file_transfers:rep”字段。 |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:file_transfers:upload”字段。 |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:registry_access”字段。 |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:request_pin_unpin”字段。 |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing”字段。 |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:allow_elevated_tools”字段。 |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:annotations”字段。 |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:application_restriction”字段。 |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:application_sharing”字段。 |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:clipboard_direction”字段。 |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:cobrowse”字段。 |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:privacy_mode”字段。 |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:screen_sharing:show_screen”字段。 |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:system_info”字段。 |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:system_info:actions”字段。 |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:command_shell”字段。 |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:default”字段。 |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:deploy_callback_button”字段。 |
| 支持:提示:提升 | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:elevate”字段。 |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:file_transfer”字段。 |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:registry”字段。 |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:screen_sharing:cobrowse”字段。 |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:prompting:screen_sharing:full_access”字段。 |
| 目标 | read_only_udm.target.application | 该值取自原始日志中的“target”字段。解析器将“rep_client”替换为“Representative Console”,并将“web/login”替换为“Web/Login”。 |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“two_factor_auth:app”字段。 |
| 时间 | read_only_udm.metadata.product_log_id | 该值取自原始日志中的“when”字段。 |
| 时间 | read_only_udm.metadata.event_timestamp.seconds | 该值从原始日志的“when”字段中解析出来,并转换为 Unix 时间戳。 |
| 谁 | read_only_udm.principal.user.userid | 该值是从原始日志的“who”字段中解析出来的。解析器会提取圆括号内的文本。 |
| 谁 | read_only_udm.principal.user.user_display_name | 该值是从原始日志的“who”字段中解析出来的。解析器会提取括号前的文本。 |
| who_ip | read_only_udm.principal.ip | 该值取自原始日志中的“who_ip”字段。 |
| read_only_udm.metadata.vendor_name | 该值由解析器设置为“BeyondTrust”。 | |
| read_only_udm.metadata.product_name | 解析器会将该值设置为“BeyondTrust Remote Support”。 | |
| read_only_udm.metadata.log_type | 该值由解析器设置为“BOMGAR”。 | |
| read_only_udm.extensions.auth.type | 如果目标是“rep_client”,则解析器会将值设置为“MACHINE”;如果目标是“web/login”,则解析器会将值设置为“SSO”;否则,解析器会将值设置为“AUTHTYPE_UNSPECIFIED”。 | |
| read_only_udm.extensions.auth.mechanism | 如果方法为“使用密码”,则该值设置为“USERNAME_PASSWORD”;如果方法为“使用提升”,则该值设置为“REMOTE”;否则,解析器会将该值留空。 | |
| read_only_udm.security_result.action | 如果状态不是“失败”,原因不是“失败”或“未找到用户”,并且 sMessage 不包含“failed login to Web 应用”,则该值设置为“ALLOW”。否则,解析器会将该值设置为“BLOCK”。 | |
| read_only_udm.security_result.summary | 该值会根据 eventName 设置为“User login”或“User logout”,如果解析器解析的状态不为空,则后面会跟上该状态。 | |
| read_only_udm.security_result.description | 该值设置为“用户”,后跟用户 ID、IP 地址、状态、eventName、连接器(登录为“to”,退出为“from”)、目标和方法。如果原因不为空且不是“failed”,解析器会将其附加到说明中,并添加“ - Reason:”前缀。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。