Esta página se ha traducido con Cloud Translation API.

Recoger registros de CyberArk Privilege Cloud

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de CyberArk Privilege Cloud en Google Security Operations mediante Bindplane. El código del analizador transforma los registros de su formato SYSLOG + KV sin procesar al formato del modelo de datos unificado (UDM) de Google SecOps. Primero, extrae campos de mensajes con formato CEF mediante patrones grok y el análisis de pares clave-valor. Después, asigna esos campos y otros a sus campos UDM correspondientes y enriquece los datos con valores estandarizados de proveedor, producto y gravedad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a CyberArk Privilege Cloud

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CYBERARK_PRIVILEGE_CLOUD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Instalar Secure Tunnel

Asegúrese de que su ID de máquina sea único, incluso cuando las máquinas se implementen en varios dominios.
Descarga el paquete de software de Privilege Cloud desde Implementar el conector de Privilege Cloud (estándar), copia el archivo ZIP Secure Tunnel y descomprímelo.
Ejecuta la instalación desde la carpeta descomprimida.
En la página Seleccionar carpeta de instalación, introduce la ubicación de la carpeta de instalación y haz clic en Siguiente.
En la página Listo para instalar, haz clic en Instalar.
Cuando se haya completado la instalación, haz clic en Finalizar para iniciar la herramienta de configuración.

Configurar Túnel seguro

En la página Autenticar en Privilege Cloud, introduce los siguientes detalles y haz clic en Siguiente:
- Subdominio o ID de cliente: el subdominio es el identificador de tu sistema en la dirección del sistema, tal como se muestra en el nombre de dominio completo (FQDN) del portal de Privilege Cloud: https://<subdomain>.Privilegecloud.cyberark.com. Introduce solo el identificador de <subdomain>, no la URL completa. También puede usar el ID de cliente que le haya proporcionado CyberArk.
- Nombre de usuario y contraseña: introduce las credenciales proporcionadas por el equipo de Asistencia de CyberArk.
En la página Configurar componentes locales, añade los componentes que quieras conectar a través del túnel seguro y haz clic en Configurar componentes.
Proporcione los siguientes detalles de configuración:
- Component Type (Tipo de componente): selecciona SIEM.
- Dirección del host: introduce la dirección del host del agente de Bindplane (el componente SIEM debe incluir un nombre de host).
- Puerto de destino: introduce el número de puerto del agente de Bindplane.
- Puerto remoto: puerto que usa CyberArk para interactuar con tu túnel seguro (el equipo de asistencia de CyberArk te proporcionará el puerto remoto, que suele ser 1468).
- Haz clic en Avanzado para mostrar esta columna.
- Acceso a través de túneles seguros: puedes configurar a qué túneles seguros accederán tus servidores, aunque estos túneles seguros se ejecuten en otro equipo.
Haz clic en Configurar componentes > Cerrar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
actuar	security_result.action_details	Se asigna directamente desde el campo `act` del registro sin procesar.
aplicación	network.application_protocol	Se asigna desde el campo `app` del registro sin procesar y se transforma mediante la lógica de `parse_app_protocol.include`.
cn1	additional.fields.value.string_value	Se asigna directamente desde el campo `cn1` del registro sin procesar.
cn1Label	additional.fields.key	Se asigna directamente desde el campo `cn1Label` del registro sin procesar.
cn2	additional.fields.value.string_value	Se asigna directamente desde el campo `cn2` del registro sin procesar.
cn2Label	additional.fields.key	Se asigna directamente desde el campo `cn2Label` del registro sin procesar.
cs1	additional.fields.value.string_value	Se asigna directamente desde el campo `cs1` del registro sin procesar.
cs1Label	additional.fields.key	Se asigna directamente desde el campo `cs1Label` del registro sin procesar.
cs2	additional.fields.value.string_value	Se asigna directamente desde el campo `cs2` del registro sin procesar.
cs2Label	additional.fields.key	Se asigna directamente desde el campo `cs2Label` del registro sin procesar.
cs3	additional.fields.value.string_value	Se asigna directamente desde el campo `cs3` del registro sin procesar.
cs3Label	additional.fields.key	Se asigna directamente desde el campo `cs3Label` del registro sin procesar.
cs4	additional.fields.value.string_value	Se asigna directamente desde el campo `cs4` del registro sin procesar.
cs4Label	additional.fields.key	Se asigna directamente desde el campo `cs4Label` del registro sin procesar.
cs5	additional.fields.value.string_value	Se asigna directamente desde el campo `cs5` del registro sin procesar.
cs5Label	additional.fields.key	Se asigna directamente desde el campo `cs5Label` del registro sin procesar.
device_event_class_id	metadata.product_event_type	Se asigna directamente desde el campo `device_event_class_id` del registro sin procesar.
device_version	metadata.product_version	Se asigna directamente desde el campo `device_version` del registro sin procesar.
dhost	target.hostname	Se asigna directamente desde el campo `dhost` del registro sin procesar.
duser	target.user.user_display_name	Se asigna directamente desde el campo `duser` del registro sin procesar.
dvc	about.ip	Se asigna directamente desde el campo `dvc` del registro sin procesar.
event_name	metadata.product_event_type	Se asigna directamente desde el campo `event_name` del registro sin procesar.
externalId	metadata.product_log_id	Se asigna directamente desde el campo `externalId` del registro sin procesar.
fname	additional.fields.value.string_value	Se asigna directamente desde el campo `fname` del registro sin procesar.
msg	metadata.description	Se asigna directamente desde el campo `msg` del registro sin procesar.
reason	security_result.summary	Se asigna directamente desde el campo `reason` del registro sin procesar.
gravedad	security_result.severity	Se asigna desde el campo `severity` del registro sin procesar y se transforma en "LOW", "MEDIUM", "HIGH" o "CRITICAL" en función de su valor.
shost	principal.ip	Se asigna directamente desde el campo `shost` del registro sin procesar.
suser	principal.user.user_display_name	Se asigna directamente desde el campo `suser` del registro sin procesar.
Tiempo	metadata.event_timestamp.seconds	Se asigna directamente desde el campo `time` del registro sin procesar después de analizarse y convertirse en una marca de tiempo.
	metadata.event_type	Se asigna el valor "USER_UNCATEGORIZED" si `suser` está presente y `duser` no. De lo contrario, se asigna el valor "GENERIC_EVENT".
	metadata.log_type	Se ha definido como "CYBERARK_PRIVILEGE_CLOUD".
	metadata.product_name	Se ha definido como "CYBERARK_PRIVILEGE_CLOUD".
	principal.asset.hostname	Valor tomado de los campos `shost` o `dvc`, si contienen un nombre de host.
	principal.asset.ip	Valor tomado de los campos `shost` o `dvc`, si contienen una dirección IP.
	principal.hostname	Valor tomado de los campos `shost` o `dvc`, si contienen un nombre de host.
	target.asset.hostname	Valor tomado del campo `dhost`, si contiene un nombre de host.
	additional.fields.key	La clave de los campos adicionales se determina mediante el campo de etiqueta correspondiente (por ejemplo, `cn1Label` por `cn1`).

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.