收集 BeyondTrust 遠端支援記錄
支援的國家/地區:
Google SecOps
SIEM
這個剖析器會處理 BeyondTrust Remote Support 的系統記錄檔訊息,並將其轉換為 UDM 格式。這個外掛程式會處理 CEF 和非 CEF 格式的記錄,擷取欄位、執行資料轉換,並將這些欄位對應至適當的 UDM 欄位,包括主體、目標和安全性結果詳細資料。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
- 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
- 如要在 Windows 上安裝,請執行下列指令碼:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- 如要在 Linux 上安裝,請執行下列指令碼:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取安裝 Bindplane 的電腦。
按照下列方式編輯
config.yaml
檔案:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更:
sudo systemctl restart bindplane
設定從 BeyondTrust Remote Support 匯出系統記錄檔
- 登入 BeyondTrust Remote Support。
- 依序前往「Security」(安全性) >「Appliance Administration」(設備管理)。
- 前往「Syslog」Syslog區段,然後設定下列值:
- 遠端 Syslog 伺服器:輸入 Syslog 主機伺服器 (Bindplane) 的主機名稱或 IP 位址。這個欄位最多可新增三個系統記錄伺服器。
- 訊息格式:選取「RFC 5424」。
- 「Port」(通訊埠):輸入系統記錄檔主機伺服器 (Bindplane) 的通訊埠。
- 按一下「提交」。
UDM 對應
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
account:expiration | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「account:expiration」欄位。 |
account:email:locale | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「account:email:locale」欄位。 |
command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「ssions:command_shell_is_whitelist」欄位。 |
日期時間 | read_only_udm.metadata.event_timestamp.seconds | 系統會從原始記錄的「datetime」欄位剖析值,並轉換為 Unix 時間戳記。 |
dtPostTime | read_only_udm.metadata.event_timestamp.seconds | 系統會從原始記錄的「dtPostTime」欄位剖析值,並轉換為 Unix 時間戳記。 |
活動 | read_only_udm.metadata.product_event_type | 此值取自原始記錄中的「event」欄位。 |
主機 | read_only_udm.principal.hostname | 這個值取自原始記錄中的「主機」欄位。 |
id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「id」欄位。 |
license_pool:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「license_pool:id」欄位。 |
login_schedule:timezone | read_only_udm.target.location.country_or_region | 這個值取自原始記錄中的「login_schedule:timezone」欄位。 |
old_account:email:address | read_only_udm.target.user.email_addresses | 這個值取自原始記錄中的「old_account:email:address」欄位。 |
old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_account:failed_logins」欄位。 |
old_display_number | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_display_number」欄位。 |
old_login_schedule:timezone | read_only_udm.target.location.country_or_region | 這個值取自原始記錄中的「old_login_schedule:timezone」欄位。 |
old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:api:reporting」欄位。 |
old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:jump_item_role:default:id」欄位。 |
old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:jump_item_role:default:name」欄位。 |
old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:jump_item_role:teams:id」欄位。 |
old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:jump_item_role:teams:name」欄位。 |
old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:presentations:control:status」欄位。 |
old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:public_sites:templates:status」欄位。 |
old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:reporting:presentation_reports」欄位。 |
old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:reporting:support_reports」欄位。 |
old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:reporting:vault_reports」欄位。 |
old_permissions:support | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support」欄位。 |
old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:accept_team_sessions:status」欄位。 |
old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:bomgar_button:change_public_sites:status」欄位。 |
old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:bomgar_button:personal:deploy:status」欄位。 |
old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:bomgar_button:team:manage」欄位。 |
old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:bomgar_button:team:manage:status」欄位。 |
old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:ios_content」欄位。 |
old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:jump:local」欄位。 |
old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:jump:local:status」欄位。 |
old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:jump:remote」欄位。 |
old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:jump:remote:status」欄位。 |
old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:rdp:local」欄位。 |
old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:rdp:local:status」欄位。 |
old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:rdp:remote」欄位。 |
old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:rdp:remote:status」欄位。 |
old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:session_assignment:idle_timeout」欄位。 |
old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:session_assignment:idle_timeout:status」欄位。 |
old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:session_assignment:session_limit」欄位。 |
old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:session_assignment:session_limit:status=forbid_override」欄位。 |
old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:session_keys」欄位。 |
old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:status」欄位。 |
old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:team_share」欄位。 |
old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:team_transfer」欄位。 |
old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:vnc:local」欄位。 |
old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:vnc:local:status」欄位。 |
old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:vnc:remote」欄位。 |
old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_permissions:support:vnc:remote:status」欄位。 |
old_private_display_name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_private_display_name」欄位。 |
old_provider:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_provider:id」欄位。 |
old_provider:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「old_provider:name」欄位。 |
permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「permissions:jump_item_role:default:id」欄位。 |
permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「permissions:jump_item_role:default:name」欄位。 |
permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「permissions:jump_item_role:teams:id」欄位。 |
permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「permissions:jump_item_role:teams:name」欄位。 |
provider:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「provider:id」欄位。 |
provider:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「provider:name」欄位。 |
原因 | read_only_udm.security_result.description | 這個值取自原始記錄中的「原因」欄位,並附加至說明欄位,前置字元為「- 原因:」。 |
sEventID | read_only_udm.metadata.product_event_type | 這個值取自原始記錄中的「sEventID」欄位。 |
sIpAddress | read_only_udm.principal.ip | 這個值取自原始記錄中的「sIpAddress」欄位。 |
sLoginName | read_only_udm.principal.user.userid | 這個值會從原始記錄的「sLoginName」欄位剖析而來。如果欄位包含網域,系統會擷取該網域,並對應至 read_only_udm.principal.namespace。 |
sMessage | read_only_udm.security_result.description | 這個值取自原始記錄中的「sMessage」欄位。剖析器會擷取引號內的文字,並對應至說明欄位。 |
sOriginatingAccount | read_only_udm.principal.user.userid | 這個值是從原始記錄的「sOriginatingAccount」欄位剖析而來。如果欄位包含網域,系統會擷取該網域,並對應至 read_only_udm.principal.namespace。 |
sOriginatingApplicationComponent | read_only_udm.principal.application | 這個值取自原始記錄中的「sOriginatingApplicationComponent」欄位,並附加至應用程式欄位,位於 sOriginatingApplicationName 的值後方,以半形括號括住。 |
sOriginatingApplicationName | read_only_udm.principal.application | 這個值取自原始記錄中的「sOriginatingApplicationName」欄位。 |
sOriginatingSystem | read_only_udm.principal.hostname | 這個值取自原始記錄中的「sOriginatingSystem」欄位。 |
session_policy:id | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「session_policy:id」欄位。 |
session_policy:name | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「session_policy:name」欄位。 |
session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「session_policy:purpose」欄位。 |
網站 | read_only_udm.target.hostname | 這個值取自原始記錄中的「網站」欄位。 |
狀態 | read_only_udm.security_result.summary | 這個值取自原始記錄中的「狀態」欄位,並附加至摘要欄位。 |
support:jump:local | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:jump:local」欄位。 |
support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:allow_pinned_clients」欄位。 |
support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:allow_users」欄位。 |
support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:canned_scripts」欄位。 |
support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:chat」欄位。 |
support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:chat:push_url」欄位。 |
support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:chat:send_file」欄位。 |
support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:command_shell」欄位。 |
support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:deploy_callback_button」欄位。 |
support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:elevation」欄位。 |
support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:file_transfers:cust」欄位。 |
support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:file_transfers:download」欄位。 |
support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:file_transfers:rep」欄位。 |
support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:file_transfers:upload」欄位。 |
support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:registry_access」欄位。 |
support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:request_pin_unpin」欄位。 |
support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing」欄位。 |
support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:allow_elevated_tools」欄位。 |
support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:annotations」欄位。 |
support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:application_restriction」欄位。 |
support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:application_sharing」欄位。 |
support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:clipboard_direction」欄位。 |
support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:cobrowse」欄位。 |
support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:privacy_mode」欄位。 |
support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:screen_sharing:show_screen」欄位。 |
support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:system_info」欄位。 |
support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:permissions:system_info:actions」欄位。 |
support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:command_shell」欄位。 |
support:prompting:default | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:default」欄位。 |
support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:deploy_callback_button」欄位。 |
support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:elevate」欄位。 |
support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:file_transfer」欄位。 |
support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:registry」欄位。 |
support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:screen_sharing:cobrowse」欄位。 |
support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「support:prompting:screen_sharing:full_access」欄位。 |
目標 | read_only_udm.target.application | 這個值取自原始記錄中的「target」欄位。剖析器會將「rep_client」替換為「Representative Console」,並將「web/login」替換為「Web/Login」。 |
two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | 這個值取自原始記錄中的「two_factor_auth:app」欄位。 |
時間 | read_only_udm.metadata.product_log_id | 這個值取自原始記錄中的「when」欄位。 |
時間 | read_only_udm.metadata.event_timestamp.seconds | 這個值會從原始記錄的「when」欄位剖析,並轉換為 Unix 時間戳記。 |
誰 | read_only_udm.principal.user.userid | 這個值是從原始記錄的「who」欄位剖析而來。剖析器會擷取括號內的文字。 |
誰 | read_only_udm.principal.user.user_display_name | 這個值是從原始記錄的「who」欄位剖析而來。剖析器會擷取括號前的文字。 |
who_ip | read_only_udm.principal.ip | 這個值取自原始記錄中的「who_ip」欄位。 |
read_only_udm.metadata.vendor_name | 剖析器會將值設為「BeyondTrust」。 | |
read_only_udm.metadata.product_name | 剖析器會將值設為「BeyondTrust Remote Support」。 | |
read_only_udm.metadata.log_type | 剖析器會將值設為「BOMGAR」。 | |
read_only_udm.extensions.auth.type | 如果目標是「rep_client」,剖析器會將值設為「MACHINE」;如果目標是「web/login」,則設為「SSO」;否則設為「AUTHTYPE_UNSPECIFIED」。 | |
read_only_udm.extensions.auth.mechanism | 如果方法是「使用密碼」,值會設為「USERNAME_PASSWORD」;如果方法是「使用提升權限」,值會設為「REMOTE」;否則剖析器會將值留空。 | |
read_only_udm.security_result.action | 如果狀態不是「失敗」,原因不是「失敗」或「找不到使用者」,且 sMessage 不含「failed login to web app」,值就會設為「ALLOW」。否則,剖析器會將值設為「BLOCK」。 | |
read_only_udm.security_result.summary | 系統會根據 eventName 將值設為「User login」或「User logout」,如果剖析器不為空白,則會接著顯示狀態。 | |
read_only_udm.security_result.description | 該值會設為「User」,後面接著 userid、IP 位址、狀態、eventName、連接器 (登入為「to」,登出為「from」)、目標和方法。如果原因不是空白且不是「failed」,剖析器會將原因附加至說明,並加上「 - Reason:」前置字串。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。