Mengumpulkan log CyberArk Privilege Cloud

Dokumen ini menjelaskan cara menyerap log CyberArk Privilege Cloud ke Google Security Operations menggunakan Bindplane. Kode parser mengubah log dari format SYSLOG + KV mentahnya menjadi format Model Data Terpadu (UDM) Google SecOps. Pertama-tama, pesan berformat CEF diekstrak menggunakan pola grok dan penguraian key-value, lalu kolom tersebut dan kolom lainnya dipetakan ke kolom UDM yang sesuai, sehingga data diperkaya dengan nilai standar untuk vendor, produk, dan tingkat keparahan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
• Jika dijalankan di belakang proxy, port firewall terbuka
• Akses istimewa ke CyberArk Privilege Cloud

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:
   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:6514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'CYBERARK_PRIVILEGE_CLOUD'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
   • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
   • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

1. Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

   sudo systemctl restart bindplane-agent
   

2. Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Menginstal Secure Tunnel

1. Pastikan ID Mesin Anda unik, meskipun saat mesin di-deploy di beberapa domain.
2. Download paket software Privilege Cloud dari Men-deploy Privilege Cloud Connector (Standard), salin file ZIP Secure Tunnel, dan buka filenya.
3. Jalankan penginstalan dari folder yang diekstrak.
4. Di halaman Select Installation Folder, masukkan lokasi folder penginstalan, lalu klik Next.
5. Di halaman Siap Menginstal, klik Instal.
6. Setelah penginstalan selesai, klik Finish; alat konfigurasi akan diluncurkan.

Mengonfigurasi Secure Tunnel

1. Di halaman Autentikasi ke Privilege Cloud, masukkan detail berikut, lalu klik Berikutnya:
   • Subdomain atau ID Pelanggan: Subdomain adalah ID sistem Anda di alamat sistem, seperti yang ditampilkan di FQDN Privilege Cloud Portal: https://<subdomain>.Privilegecloud.cyberark.com. Masukkan hanya ID <subdomain>, bukan seluruh URL. Atau, gunakan ID Pelanggan yang diberikan kepada Anda oleh CyberArk.
   • Nama pengguna & Sandi: Masukkan kredensial yang diberikan oleh Dukungan CyberArk.
2. Di halaman Configure on-premise components, tambahkan komponen yang ingin Anda hubungkan melalui Secure Tunnel, lalu klik Configure Components.
3. Berikan detail konfigurasi berikut:
   • Jenis Komponen: Pilih SIEM.
   • Alamat Host: Masukkan alamat host agen Bindplane (komponen SIEM harus menyertakan nama host).
   • Destination Port: Masukkan nomor port agen Bindplane.
   • Remote Port: Port yang digunakan oleh CyberArk untuk berinteraksi dengan Secure Tunnel Anda (Remote Port diberikan kepada Anda oleh dukungan CyberArk, biasanya portnya adalah 1468).
   • Klik Lanjutan untuk menampilkan kolom ini.
   • Akses melalui Tunnel Aman: Anda dapat mengonfigurasi Tunnel Aman yang akan diakses server Anda, meskipun Tunnel Aman ini berjalan di komputer yang berbeda.
4. Klik Konfigurasi Komponen > Tutup.

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.