收集 BeyondTrust 遠端支援記錄

支援的國家/地區:

這個剖析器會處理 BeyondTrust Remote Support 的系統記錄檔訊息,並將其轉換為 UDM 格式。這個外掛程式會處理 CEF 和非 CEF 格式的記錄,擷取欄位、執行資料轉換,並將這些欄位對應至適當的 UDM 欄位,包括主體、目標和安全性結果詳細資料。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

  1. 如要在 Windows 上安裝,請執行下列指令碼:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 如要在 Linux 上安裝,請執行下列指令碼:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取安裝 Bindplane 的電腦。
  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: BeyondTrust_Remote_Support
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 重新啟動 Bindplane 代理程式,以套用變更:

    sudo systemctl restart bindplane
    

設定從 BeyondTrust Remote Support 匯出系統記錄檔

  1. 登入 BeyondTrust Remote Support。
  2. 依序前往「Security」(安全性) >「Appliance Administration」(設備管理)
  3. 前往「Syslog」Syslog區段,然後設定下列值:
    • 遠端 Syslog 伺服器:輸入 Syslog 主機伺服器 (Bindplane) 的主機名稱或 IP 位址。這個欄位最多可新增三個系統記錄伺服器。
    • 訊息格式:選取「RFC 5424」
    • 「Port」(通訊埠):輸入系統記錄檔主機伺服器 (Bindplane) 的通訊埠。
  4. 按一下「提交」

UDM 對應

記錄欄位 UDM 對應 邏輯
account:expiration read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「account:expiration」欄位。
account:email:locale read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「account:email:locale」欄位。
command_shell_is_whitelist read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「ssions:command_shell_is_whitelist」欄位。
日期時間 read_only_udm.metadata.event_timestamp.seconds 系統會從原始記錄的「datetime」欄位剖析值,並轉換為 Unix 時間戳記。
dtPostTime read_only_udm.metadata.event_timestamp.seconds 系統會從原始記錄的「dtPostTime」欄位剖析值,並轉換為 Unix 時間戳記。
活動 read_only_udm.metadata.product_event_type 此值取自原始記錄中的「event」欄位。
主機 read_only_udm.principal.hostname 這個值取自原始記錄中的「主機」欄位。
id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「id」欄位。
license_pool:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「license_pool:id」欄位。
login_schedule:timezone read_only_udm.target.location.country_or_region 這個值取自原始記錄中的「login_schedule:timezone」欄位。
old_account:email:address read_only_udm.target.user.email_addresses 這個值取自原始記錄中的「old_account:email:address」欄位。
old_account:failed_logins read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_account:failed_logins」欄位。
old_display_number read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_display_number」欄位。
old_login_schedule:timezone read_only_udm.target.location.country_or_region 這個值取自原始記錄中的「old_login_schedule:timezone」欄位。
old_permissions:api:reporting read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:api:reporting」欄位。
old_permissions:jump_item_role:default:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:jump_item_role:default:id」欄位。
old_permissions:jump_item_role:default:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:jump_item_role:default:name」欄位。
old_permissions:jump_item_role:teams:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:jump_item_role:teams:id」欄位。
old_permissions:jump_item_role:teams:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:jump_item_role:teams:name」欄位。
old_permissions:presentations:control:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:presentations:control:status」欄位。
old_permissions:public_sites:templates:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:public_sites:templates:status」欄位。
old_permissions:reporting:presentation_reports read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:reporting:presentation_reports」欄位。
old_permissions:reporting:support_reports read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:reporting:support_reports」欄位。
old_permissions:reporting:vault_reports read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:reporting:vault_reports」欄位。
old_permissions:support read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support」欄位。
old_permissions:support:accept_team_sessions:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:accept_team_sessions:status」欄位。
old_permissions:support:bomgar_button:change_public_sites:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:bomgar_button:change_public_sites:status」欄位。
old_permissions:support:bomgar_button:personal:deploy:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:bomgar_button:personal:deploy:status」欄位。
old_permissions:support:bomgar_button:team:manage read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:bomgar_button:team:manage」欄位。
old_permissions:support:bomgar_button:team:manage:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:bomgar_button:team:manage:status」欄位。
old_permissions:support:ios_content read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:ios_content」欄位。
old_permissions:support:jump:local read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:jump:local」欄位。
old_permissions:support:jump:local:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:jump:local:status」欄位。
old_permissions:support:jump:remote read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:jump:remote」欄位。
old_permissions:support:jump:remote:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:jump:remote:status」欄位。
old_permissions:support:rdp:local read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:rdp:local」欄位。
old_permissions:support:rdp:local:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:rdp:local:status」欄位。
old_permissions:support:rdp:remote read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:rdp:remote」欄位。
old_permissions:support:rdp:remote:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:rdp:remote:status」欄位。
old_permissions:support:session_assignment:idle_timeout read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:session_assignment:idle_timeout」欄位。
old_permissions:support:session_assignment:idle_timeout:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:session_assignment:idle_timeout:status」欄位。
old_permissions:support:session_assignment:session_limit read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:session_assignment:session_limit」欄位。
old_permissions:support:session_assignment:session_limit:status=forbid_override read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:session_assignment:session_limit:status=forbid_override」欄位。
old_permissions:support:session_keys read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:session_keys」欄位。
old_permissions:support:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:status」欄位。
old_permissions:support:team_share read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:team_share」欄位。
old_permissions:support:team_transfer read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:team_transfer」欄位。
old_permissions:support:vnc:local read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:vnc:local」欄位。
old_permissions:support:vnc:local:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:vnc:local:status」欄位。
old_permissions:support:vnc:remote read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:vnc:remote」欄位。
old_permissions:support:vnc:remote:status read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_permissions:support:vnc:remote:status」欄位。
old_private_display_name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_private_display_name」欄位。
old_provider:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_provider:id」欄位。
old_provider:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「old_provider:name」欄位。
permissions:jump_item_role:default:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「permissions:jump_item_role:default:id」欄位。
permissions:jump_item_role:default:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「permissions:jump_item_role:default:name」欄位。
permissions:jump_item_role:teams:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「permissions:jump_item_role:teams:id」欄位。
permissions:jump_item_role:teams:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「permissions:jump_item_role:teams:name」欄位。
provider:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「provider:id」欄位。
provider:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「provider:name」欄位。
原因 read_only_udm.security_result.description 這個值取自原始記錄中的「原因」欄位,並附加至說明欄位,前置字元為「- 原因:」。
sEventID read_only_udm.metadata.product_event_type 這個值取自原始記錄中的「sEventID」欄位。
sIpAddress read_only_udm.principal.ip 這個值取自原始記錄中的「sIpAddress」欄位。
sLoginName read_only_udm.principal.user.userid 這個值會從原始記錄的「sLoginName」欄位剖析而來。如果欄位包含網域,系統會擷取該網域,並對應至 read_only_udm.principal.namespace。
sMessage read_only_udm.security_result.description 這個值取自原始記錄中的「sMessage」欄位。剖析器會擷取引號內的文字,並對應至說明欄位。
sOriginatingAccount read_only_udm.principal.user.userid 這個值是從原始記錄的「sOriginatingAccount」欄位剖析而來。如果欄位包含網域,系統會擷取該網域,並對應至 read_only_udm.principal.namespace。
sOriginatingApplicationComponent read_only_udm.principal.application 這個值取自原始記錄中的「sOriginatingApplicationComponent」欄位,並附加至應用程式欄位,位於 sOriginatingApplicationName 的值後方,以半形括號括住。
sOriginatingApplicationName read_only_udm.principal.application 這個值取自原始記錄中的「sOriginatingApplicationName」欄位。
sOriginatingSystem read_only_udm.principal.hostname 這個值取自原始記錄中的「sOriginatingSystem」欄位。
session_policy:id read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「session_policy:id」欄位。
session_policy:name read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「session_policy:name」欄位。
session_policy:purpose read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「session_policy:purpose」欄位。
網站 read_only_udm.target.hostname 這個值取自原始記錄中的「網站」欄位。
狀態 read_only_udm.security_result.summary 這個值取自原始記錄中的「狀態」欄位,並附加至摘要欄位。
support:jump:local read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:jump:local」欄位。
support:permissions:allow_pinned_clients read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:allow_pinned_clients」欄位。
support:permissions:allow_users read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:allow_users」欄位。
support:permissions:canned_scripts read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:canned_scripts」欄位。
support:permissions:chat read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:chat」欄位。
support:permissions:chat:push_url read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:chat:push_url」欄位。
support:permissions:chat:send_file read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:chat:send_file」欄位。
support:permissions:command_shell read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:command_shell」欄位。
support:permissions:deploy_callback_button read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:deploy_callback_button」欄位。
support:permissions:elevation read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:elevation」欄位。
support:permissions:file_transfers:cust read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:file_transfers:cust」欄位。
support:permissions:file_transfers:download read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:file_transfers:download」欄位。
support:permissions:file_transfers:rep read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:file_transfers:rep」欄位。
support:permissions:file_transfers:upload read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:file_transfers:upload」欄位。
support:permissions:registry_access read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:registry_access」欄位。
support:permissions:request_pin_unpin read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:request_pin_unpin」欄位。
support:permissions:screen_sharing read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing」欄位。
support:permissions:screen_sharing:allow_elevated_tools read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:allow_elevated_tools」欄位。
support:permissions:screen_sharing:annotations read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:annotations」欄位。
support:permissions:screen_sharing:application_restriction read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:application_restriction」欄位。
support:permissions:screen_sharing:application_sharing read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:application_sharing」欄位。
support:permissions:screen_sharing:clipboard_direction read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:clipboard_direction」欄位。
support:permissions:screen_sharing:cobrowse read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:cobrowse」欄位。
support:permissions:screen_sharing:privacy_mode read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:privacy_mode」欄位。
support:permissions:screen_sharing:show_screen read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:screen_sharing:show_screen」欄位。
support:permissions:system_info read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:system_info」欄位。
support:permissions:system_info:actions read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:permissions:system_info:actions」欄位。
support:prompting:command_shell read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:command_shell」欄位。
support:prompting:default read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:default」欄位。
support:prompting:deploy_callback_button read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:deploy_callback_button」欄位。
support:prompting:elevate read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:elevate」欄位。
support:prompting:file_transfer read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:file_transfer」欄位。
support:prompting:registry read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:registry」欄位。
support:prompting:screen_sharing:cobrowse read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:screen_sharing:cobrowse」欄位。
support:prompting:screen_sharing:full_access read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「support:prompting:screen_sharing:full_access」欄位。
目標 read_only_udm.target.application 這個值取自原始記錄中的「target」欄位。剖析器會將「rep_client」替換為「Representative Console」,並將「web/login」替換為「Web/Login」。
two_factor_auth:app read_only_udm.principal.user.attribute.labels.value 這個值取自原始記錄中的「two_factor_auth:app」欄位。
時間 read_only_udm.metadata.product_log_id 這個值取自原始記錄中的「when」欄位。
時間 read_only_udm.metadata.event_timestamp.seconds 這個值會從原始記錄的「when」欄位剖析,並轉換為 Unix 時間戳記。
read_only_udm.principal.user.userid 這個值是從原始記錄的「who」欄位剖析而來。剖析器會擷取括號內的文字。
read_only_udm.principal.user.user_display_name 這個值是從原始記錄的「who」欄位剖析而來。剖析器會擷取括號前的文字。
who_ip read_only_udm.principal.ip 這個值取自原始記錄中的「who_ip」欄位。
read_only_udm.metadata.vendor_name 剖析器會將值設為「BeyondTrust」。
read_only_udm.metadata.product_name 剖析器會將值設為「BeyondTrust Remote Support」。
read_only_udm.metadata.log_type 剖析器會將值設為「BOMGAR」。
read_only_udm.extensions.auth.type 如果目標是「rep_client」,剖析器會將值設為「MACHINE」;如果目標是「web/login」,則設為「SSO」;否則設為「AUTHTYPE_UNSPECIFIED」。
read_only_udm.extensions.auth.mechanism 如果方法是「使用密碼」,值會設為「USERNAME_PASSWORD」;如果方法是「使用提升權限」,值會設為「REMOTE」;否則剖析器會將值留空。
read_only_udm.security_result.action 如果狀態不是「失敗」,原因不是「失敗」或「找不到使用者」,且 sMessage 不含「failed login to web app」,值就會設為「ALLOW」。否則,剖析器會將值設為「BLOCK」。
read_only_udm.security_result.summary 系統會根據 eventName 將值設為「User login」或「User logout」,如果剖析器不為空白,則會接著顯示狀態。
read_only_udm.security_result.description 該值會設為「User」,後面接著 userid、IP 位址、狀態、eventName、連接器 (登入為「to」,登出為「from」)、目標和方法。如果原因不是空白且不是「failed」,剖析器會將原因附加至說明,並加上「 - Reason:」前置字串。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。