Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di BeyondTrust Secure Remote Access

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di BeyondTrust Secure Remote Access utilizzando Bindplane. Il parser gestisce due formati syslog. Il primo formato utilizza coppie chiave-valore all'interno di un messaggio strutturato, mentre il secondo utilizza campi delimitati da pipe. Il parser estrae i campi pertinenti da entrambi i formati e li mappa all'UDM. Esegue anche la classificazione dei tipi di eventi in base alle parole chiave estratte e gestisce la logica specifica per gli eventi di accesso/disconnessione e i tipi di autenticazione.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a BeyondTrust Secure Remote Access.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: BEYONDTRUST_REMOTE_ACCESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'assistenza remota BeyondTrust

Accedi all'UI web di BeyondTrust.
Seleziona Appliance > Sicurezza > Amministrazione appliance.
Nella sezione Syslog, segui questi passaggi:
- Formato messaggio: seleziona Formato BSD legacy.
- Server syslog remoto: inserisci l'indirizzo IP e la porta di Bindplane.
Fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`datetime`	`metadata.event_timestamp`	Il timestamp viene analizzato dal campo `datetime` utilizzando il formato RFC3339 se il campo `when` non è presente.
`deviceHost`	`target.hostname`	Il valore di `deviceHost` è mappato direttamente a `target.hostname`.
`dstHost`	`target.ip`	Il valore di `dstHost` viene mappato direttamente su `target.ip` dopo essere stato convalidato come indirizzo IP valido.
`dstPriv`	`additional.fields.[key=dstPriv].value.string_value`	Il valore di `dstPriv` viene inserito nel campo `additional` con la chiave `dstPriv`.
`dstUid`	`target.user.userid`	Il valore di `dstUid` è mappato direttamente a `target.user.userid`.
`dstUser`	`target.user.user_display_name`	Il valore di `dstUser` è mappato direttamente a `target.user.user_display_name`.
`eventName`	`metadata.event_type`	Se `eventName` è `login` (senza distinzione tra maiuscole e minuscole), `metadata.event_type` è impostato su `USER_LOGIN`. Se `eventName` è `logout` (senza distinzione tra maiuscole e minuscole), `metadata.event_type` è impostato su `USER_LOGOUT`. In caso contrario, se `eventName` non è vuoto, `metadata.event_type` viene impostato su `USER_UNCATEGORIZED`. Se `eventName` è vuoto e il messaggio corrisponde al secondo pattern grok, `metadata.event_type` viene impostato su `GENERIC_EVENT`. Se `eventName` è vuoto e il messaggio corrisponde al primo pattern grok, `metadata.event_type` è impostato su `GENERIC_EVENT`. Se `srcUid`, `userid` o `who` non sono vuoti, `metadata.event_type` è impostato su `USER_CHANGE_PERMISSIONS`. Se `deviceHost` o `site` non sono vuoti, `metadata.event_type` è impostato su `USER_UNCATEGORIZED`. In caso contrario, `metadata.event_type` viene impostato su `GENERIC_EVENT`.
`event_name`	`additional.fields.[key=event_name].value.string_value`	Il valore di `event_name` viene inserito nel campo `additional` con la chiave `event_name`.
`event_name`	`metadata.product_event_type`	Il valore di `event_name` viene utilizzato insieme al campo `id` per popolare `metadata.product_event_type` nel formato `[`id`] -`event_name``.
`externalKeyLabel`	`additional.fields.[key=externalKeyLabel].value.string_value`	Il valore di `externalKeyLabel` viene inserito nel campo `additional` con la chiave `externalKeyLabel`.
`id`	`metadata.product_event_type`	Il valore di `id` viene utilizzato insieme al campo `event_name` per popolare `metadata.product_event_type` nel formato `[`id`] -`event_name``.
`jumpGroupId`	`additional.fields.[key=jumpGroupId].value.string_value`	Il valore di `jumpGroupId` viene inserito nel campo `additional` con la chiave `jumpGroupId`.
`jumpGroupName`	`additional.fields.[key=jumpGroupName].value.string_value`	Il valore di `jumpGroupName` viene inserito nel campo `additional` con la chiave `jumpGroupName`.
`jumpGroupType`	`additional.fields.[key=jumpGroupType].value.string_value`	Il valore di `jumpGroupType` viene inserito nel campo `additional` con la chiave `jumpGroupType`.
`jumpointId`	`additional.fields.[key=jumpointId].value.string_value`	Il valore di `jumpointId` viene inserito nel campo `additional` con la chiave `jumpointId`.
`jumpointName`	`additional.fields.[key=jumpointName].value.string_value`	Il valore di `jumpointName` viene inserito nel campo `additional` con la chiave `jumpointName`.
`kv_data`	Vari campi UDM	Il campo `kv_data` viene analizzato in coppie chiave/valore, che vengono poi mappate a vari campi UDM in base alle chiavi (ad es. `eventName`, `when`, `who`, `who_ip`, `site`, `target`, `status`, `reason`).
`kvdata`	Vari campi UDM	Il campo `kvdata` viene analizzato in coppie chiave/valore, che vengono poi mappate a vari campi UDM in base alle chiavi (ad es. `msg`, `srcUser`, `srcUid`, `srcHost`, `dstUser`, `dstUid`, `dstHost`, `sessionId`, `jumpointId`, `jumpointName`, `jumpGroupId`, `jumpGroupName`, `jumpGroupType`, `externalKeyLabel`, `dstPriv`).
`message`	Vari campi UDM	Il campo `message` viene analizzato utilizzando i pattern grok per estrarre vari campi, che vengono poi mappati ai campi UDM.
`msg`	`metadata.description`	Il valore di `msg` è mappato direttamente a `metadata.description`.
`product_event_type`	`metadata.product_event_type`	Il valore di `product_event_type` è mappato direttamente a `metadata.product_event_type`.
`product_log_id`	`metadata.product_log_id`	Il valore di `product_log_id` è mappato direttamente a `metadata.product_log_id`.
`process_id`	`principal.process.pid`	Il valore di `process_id` è mappato direttamente a `principal.process.pid`.
`reason`	`security_result.description`	Il valore di `reason` è mappato direttamente a `security_result.description`.
`segment_number`	`additional.fields.[key=segment_number].value.string_value`	Il valore di `segment_number` viene inserito nel campo `additional` con la chiave `segment_number`.
`sessionId`	`network.session_id`	Il valore di `sessionId` è mappato direttamente a `network.session_id`.
`site`	`target.hostname`	Il valore di `site` è mappato direttamente a `target.hostname`.
`site_id`	`additional.fields.[key=site_id].value.string_value`	Il valore di `site_id` viene inserito nel campo `additional` con la chiave `site_id`.
`srcHost`	`principal.ip`	Il valore di `srcHost` viene mappato direttamente su `principal.ip` dopo essere stato convalidato come indirizzo IP valido.
`srcUid`	`principal.user.userid`	Il valore di `srcUid` è mappato direttamente a `principal.user.userid`.
`srcUser`	`principal.user.user_display_name`	Il valore di `srcUser` è mappato direttamente a `principal.user.user_display_name`.
`status`	`security_result.action`	Se `status` è `failure` (senza distinzione tra maiuscole e minuscole), `security_result.action` è impostato su `BLOCK`. In caso contrario, `security_result.action` viene impostato su `ALLOW`.
`status`	`security_result.action_details`	Il valore di `status` è mappato direttamente a `security_result.action_details`.
`target`	`target.application`	Il valore di `target` è mappato direttamente a `target.application`. `rep_client` viene sostituito con `Representative Console` e `web/login` viene sostituito con `Web/Login`.
`target`	`extensions.auth.type`	Se `target` è `rep_client`, `extensions.auth.type` è impostato su `MACHINE`. Se `target` è `web/login`, `extensions.auth.type` è impostato su `SSO`. In caso contrario, `extensions.auth.type` viene impostato su `AUTHTYPE_UNSPECIFIED`.
`timestamp`	`metadata.event_timestamp`	Il valore `timestamp` del log non elaborato viene utilizzato come riserva se non sono presenti né `datetime` né `when`.
`total_segments`	`additional.fields.[key=total_segments].value.string_value`	Il valore di `total_segments` viene inserito nel campo `additional` con la chiave `total_segments`.
`device_product`	`additional.fields.[key=device_product].value.string_value`	Il valore di `device_product` viene inserito nel campo `additional` con la chiave `device_product`.
`device_vendor`	`additional.fields.[key=device_vendor].value.string_value`	Il valore di `device_vendor` viene inserito nel campo `additional` con la chiave `device_vendor`.
`device_version`	`metadata.product_version`	Il valore di `device_version` è mappato direttamente a `metadata.product_version`.
`when`	`metadata.event_timestamp`	Se presente, il timestamp viene analizzato dal campo `when` utilizzando il formato UNIX.
`who`	`principal.user.userid`	Se il campo `who` corrisponde al pattern regex, il valore `userid` estratto viene mappato a `principal.user.userid`. In caso contrario, l'intero campo `who` viene mappato a `principal.user.userid`.
`who`	`principal.user.user_display_name`	Se il campo `who` corrisponde al pattern regex, il valore `user_display_name` estratto viene mappato a `principal.user.user_display_name`.
`who_ip`	`principal.ip`	Il valore di `who_ip` è mappato direttamente a `principal.ip`.
(Parser Logic)	`metadata.log_type`	Il tipo di log è impostato su `BEYONDTRUST_REMOTE_ACCESS`.
(Parser Logic)	`metadata.product_name`	Il nome del prodotto è impostato su `BeyondTrust Secure Remote Access`.
(Parser Logic)	`metadata.vendor_name`	Il nome del fornitore è impostato su `BeyondTrust`.
(Parser Logic)	`security_result.summary`	Il valore viene derivato utilizzando il formato `User %{eventName}`.
(Parser Logic)	`extensions.auth.mechanism`	Se `method` contiene `using password`, il meccanismo è impostato su `USERNAME_PASSWORD`. Se `method` contiene `using elevate`, il meccanismo è impostato su `REMOTE`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.