Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Carbon Black App Control

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Carbon Black App Control. L'analyseur est compatible avec les formats CEF et JSON. Il tente d'abord d'analyser l'entrée en tant que JSON. Si cela échoue, il traite l'entrée en tant que CEF, effectue des substitutions de texte, extrait les champs CEF, les mappe à l'UDM et définit le type d'événement sur GENERIC_EVENT. Sinon, il utilise un fichier d'inclusion de mappage UDM spécifique à JSON.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Serveur Carbon Black App Control (CB Protection) (version 8.x ou ultérieure recommandée).
Assurez-vous de disposer d'un accès privilégié à Carbon Black App Control.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Installation de Windows

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:11592"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: JSON
            namespace: cb_app_control
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer CB App Control pour envoyer des journaux Syslog

Connectez-vous à la console CB App Control avec un compte administrateur.
Accédez à Admin> Configuration du système> Journalisation externe.
Dans la section "Journalisation des événements externes" :
- Activer la journalisation Syslog : cochez la case Syslog activé.
- Adresse du serveur : <Bindplane Server IP>.
- Port : <Bindplane Server PORT>.
- Protocole : sélectionnez TCP.
- Format Syslog : sélectionnez JSON.
Sous Options de journalisation des événements, sélectionnez les types de journaux à envoyer :
- Non-respect des règles
- Événements de surveillance de l'intégrité des fichiers (FIM)
- Événements d'authentification des utilisateurs
- Données de renseignements sur les menaces
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`ABId`	`principal.asset.asset_id`	Le `ABId` du journal JSON est utilisé dans l'ID de l'élément au format `PRODUCT_SPECIFIC_ID:{ABId}-{Bit9Server}`.
`Bit9Server`	`principal.asset.asset_id`	Utilisé dans l'ID de l'élément du principal, associé à `ABId`. Permet également de créer le champ `metadata.url_back_to_product`.
`CommandLine`	`about.process.command_line`	Mappé directement.
`EventType`	`metadata.product_event_type`	Mappé avec le `EventTypeId` correspondant entre crochets (par exemple, `[5] - Discovery`).
`EventTypeId`	`metadata.product_event_type`	Utilisé avec `EventType` pour renseigner `metadata.product_event_type`.
`EventSubType`	`metadata.description`	Ajouté au champ `metadata.description`.
`EventSubTypeId`	`metadata.description`	Non mappé explicitement, mais peut contribuer à la description en fonction de la logique interne de l'analyseur.
`externalId`	`metadata.product_log_id`	Mappé directement.
`FileHash`	`about.file.sha256`	Mappé directement.
`FileName`	`additional.fields` (avec la clé `FileName`)	Ajouté en tant que champ supplémentaire. Également utilisé dans les informations sur les fichiers dans `metadata.description` pour certains événements.
`FilePath`	`about.file.full_path`	Mappé directement.
`FileThreat`	`additional.fields` (avec la clé `fileThreat`)	Ajouté en tant que champ supplémentaire.
`FileTrust`	`additional.fields` (avec la clé `fileTrust`)	Ajouté en tant que champ supplémentaire.
`HostId`	`principal.asset.asset_id`	Permet de créer l'URL de retour vers le produit dans `metadata.url_back_to_product`.
`HostName`	`target.hostname`	Mappé directement.
`HostIP`	`target.ip`	Mappé directement.
`Message`	`metadata.description`	Mappé directement.
`PathName`	`about.file.full_path`	Mappé directement.
`Platform`	`target.platform`	Mappé à la valeur d'énumération `WINDOWS`.
`Policy`	`additional.fields` (avec la clé `Policy`)	Ajouté en tant que champ supplémentaire.
`PolicyId`	`additional.fields` (avec la clé `PolicyId`)	Ajouté en tant que champ supplémentaire.
`ProcessKey`	`additional.fields` (avec la clé `ProcessKey`)	Ajouté en tant que champ supplémentaire.
`ProcessPath`	`about.process.command_line`	Mappé directement.
`ProcessPathName`	`about.process.command_line`	Mappé directement.
`ProcessThreat`	`additional.fields` (avec la clé `ProcessThreat`)	Ajouté en tant que champ supplémentaire.
`ProcessTrust`	`additional.fields` (avec la clé `ProcessTrust`)	Ajouté en tant que champ supplémentaire.
`RuleName`	`additional.fields` (avec la clé `ruleName`)	Ajouté en tant que champ supplémentaire.
`Timestamp`	`metadata.event_timestamp`	Mappé directement.
`UserName`	`target.user.user_display_name`	Mappé directement.
`UserSid`	`principal.user.userid`	Mappé directement.
`agent.ephemeral_id`	`observer.labels` (avec la clé `ephemeral_id`)	Libellé "Ajouté en tant qu'observateur".
`agent.name`	`principal.hostname`, `observer.hostname`, `observer.user.userid`	Mappé à plusieurs champs.
`agent.type`	`observer.application`	Mappé directement.
`agent.version`	`metadata.product_version`	Mappé directement pour les journaux JSON. Pour les journaux CEF, extraits du message CEF.
`cat`	`security_result.category_details`	Mappé directement.
`cs1`	`additional.fields` (avec la clé `rootHash` ou un autre cs1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs1Label`.
`cs1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs1`.
`cs2`	`additional.fields` (avec la clé `installerFilename` ou un autre cs2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs2Label`.
`cs2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs2`.
`cs3`	`additional.fields` (avec la clé `Policy` ou un autre cs3Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs3Label`.
`cs3Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs3`.
`cs5`	`additional.fields` (avec la clé `ruleName` ou un autre cs5Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs5Label`.
`cs5Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs5`.
`cfp1`	`additional.fields` (avec la clé `fileTrust` ou un autre cfp1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cfp1Label`.
`cfp1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cfp1`.
`cfp2`	`additional.fields` (avec la clé `processTrust` ou un autre cfp2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cfp2Label`.
`cfp2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cfp2`.
`deviceProcessName`	`about.process.command_line`	Mappé directement.
`dhost`	`target.hostname`	Mappé directement.
`dst`	`target.ip`	Mappé directement.
`duser`	`target.user.user_display_name`	Mappé directement.
`dvchost`	`about.hostname`	Mappé directement.
`eventId`	`additional.fields` (avec la clé `eventId`)	Ajouté en tant que champ supplémentaire.
`fileHash`	`about.file.sha256`	Mappé directement.
`flexString1`	`additional.fields` (avec la clé `fileThreat` ou un autre flexString1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `flexString1Label`.
`flexString1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `flexString1`.
`flexString2`	`additional.fields` (avec la clé `processThreat` ou un autre flexString2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `flexString2Label`.
`flexString2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `flexString2`.
`fname`	`additional.fields` (avec la clé `fname`)	Ajouté en tant que champ supplémentaire. Également utilisé dans les informations sur les fichiers dans `metadata.description` pour certains événements.
`host.architecture`	`target.asset.hardware.cpu_platform`	Mappé directement.
`host.hostname`	`target.asset.asset_id`	Utilisé dans l'ID de l'asset cible (`Host Id: {host.hostname}`). Également mappé sur `target.hostname`.
`host.id`	`target.asset.asset_id`	Utilisé dans l'ID de l'asset cible (`Host Id: {host.id}`).
`host.ip`	`target.asset.ip`	Mappé directement.
`host.mac`	`target.mac`	Mappé directement.
`host.name`	`target.hostname`	Mappé directement.
`host.os.build`	`target.platform_patch_level`	Mappé directement.
`host.os.kernel`	`target.platform_patch_level`	Ajouté à la fin de `target.platform_patch_level`.
`host.os.platform`	`target.platform`	Mappé à la valeur d'énumération `WINDOWS`.
`host.os.type`	`target.platform`	Mappé à la valeur d'énumération `WINDOWS`.
`host.os.version`	`target.platform_version`	Mappé directement.
`log.file.path`	`target.file.full_path`	Mappé directement.
`metadata.event_type`	`metadata.event_type`	Définissez sur `GENERIC_EVENT` pour les journaux CEF et sur `SYSTEM_AUDIT_LOG_UNCATEGORIZED` pour les journaux JSON.
`metadata.log_type`	`metadata.log_type`	Variable définie sur `CB_EDR`.
`metadata.product_log_id`	`metadata.product_log_id`	Mappé à partir de `externalId` pour les journaux CEF. Non applicable aux journaux JSON.
`metadata.product_name`	`metadata.product_name`	Définissez sur `App Control` pour les journaux CEF et sur `CB_APP_CONTROL` pour les journaux JSON.
`metadata.product_version`	`metadata.product_version`	Extrait du message CEF pour les journaux CEF. Mappé à partir de `agent.version` pour les journaux JSON.
`metadata.vendor_name`	`metadata.vendor_name`	Variable définie sur `Carbon Black`.
`msg`	`metadata.description`, `additional.fields`	Permet de remplir `metadata.description` et potentiellement d'autres champs en fonction de la logique de l'analyseur.
`sproc`	`principal.process.command_line`	Mappé directement.
`metadata.url_back_to_product`	`metadata.url_back_to_product`	Construit à l'aide des champs `Bit9Server` et `HostId` pour les journaux JSON. Non applicable aux journaux CEF.
`security_result.severity`	`security_result.severity`	Variable définie sur `MEDIUM`.
`timestamp`	`events.timestamp`	Mappé directement pour les journaux JSON. Pour les journaux CEF, la logique de l'analyseur détermine le code temporel en fonction du champ `rt` du journal brut, s'il est disponible, ou du champ `collection_time` si `rt` n'est pas présent.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.