本頁面由 Cloud Translation API 翻譯而成。

收集 CyberArk Privilege Cloud 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 CyberArk Privilege Cloud 記錄檔擷取至 Google Security Operations。剖析器程式碼會將原始 SYSLOG + KV 格式的記錄轉換為 Google SecOps 統合資料模型 (UDM) 格式。系統會先使用 grok 模式和鍵值剖析，從 CEF 格式的訊息中擷取欄位，然後將這些欄位和其他欄位對應至相應的 UDM 欄位，並以供應商、產品和嚴重程度的標準化值擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
CyberArk Privilege Cloud 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CYBERARK_PRIVILEGE_CLOUD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

安裝 Secure Tunnel

請確保機器 ID 不重複，即使機器部署在多個網域中也一樣。
從「Deploy the Privilege Cloud Connector (Standard)」頁面下載 Privilege Cloud 軟體套件，複製 Secure Tunnel ZIP 檔案，然後解壓縮。
從解壓縮的資料夾執行安裝作業。
在「Select Installation Folder」(選取安裝資料夾) 頁面中，輸入安裝資料夾的位置，然後按一下「Next」(下一步)。
在「準備安裝」頁面中，按一下「安裝」。
安裝完成後，按一下「Finish」，系統會啟動設定工具。

設定安全通道

在「Authenticate to Privilege Cloud」(向 Privilege Cloud 驗證) 頁面中，輸入下列詳細資料，然後按一下「Next」(下一步)：
- 子網域或客戶 ID：子網域是系統位址中的系統 ID，如 Privilege Cloud 入口網站 FQDN 所示：https://<subdomain>.Privilegecloud.cyberark.com。請只輸入<subdomain> ID，而非完整網址。或者，使用 CyberArk 提供給您的客戶 ID。
- 使用者名稱和密碼：輸入 CyberArk 支援團隊提供的憑證。
在「Configure on-premise components」頁面中，新增要透過安全通道連線的元件，然後按一下「Configure Components」。
提供下列設定詳細資料：
- 元件類型：選取「SIEM」。
- 主機位址：輸入 Bindplane 代理程式主機位址 (SIEM 元件必須包含主機名稱)。
- 「目的地通訊埠」：輸入 Bindplane 代理程式通訊埠編號。
- 遠端通訊埠：CyberArk 用來與安全通道介接的通訊埠 (遠端通訊埠由 CyberArk 支援團隊提供，通常為 1468)。
- 按一下「進階」即可顯示這個資料欄。
- 透過安全通道存取：您可以設定伺服器要透過哪些安全通道存取，即使這些安全通道是在不同機器上執行也沒問題。
依序點選「設定元件」>「關閉」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	security_result.action_details	直接從原始記錄中的 `act` 欄位對應。
應用程式	network.application_protocol	從原始記錄中的 `app` 欄位對應，並使用 `parse_app_protocol.include` 中的邏輯轉換。
cn1	additional.fields.value.string_value	直接從原始記錄中的 `cn1` 欄位對應。
cn1Label	additional.fields.key	直接從原始記錄中的 `cn1Label` 欄位對應。
cn2	additional.fields.value.string_value	直接從原始記錄中的 `cn2` 欄位對應。
cn2Label	additional.fields.key	直接從原始記錄中的 `cn2Label` 欄位對應。
cs1	additional.fields.value.string_value	直接從原始記錄中的 `cs1` 欄位對應。
cs1Label	additional.fields.key	直接從原始記錄中的 `cs1Label` 欄位對應。
cs2	additional.fields.value.string_value	直接從原始記錄中的 `cs2` 欄位對應。
cs2Label	additional.fields.key	直接從原始記錄中的 `cs2Label` 欄位對應。
cs3	additional.fields.value.string_value	直接從原始記錄中的 `cs3` 欄位對應。
cs3Label	additional.fields.key	直接從原始記錄中的 `cs3Label` 欄位對應。
cs4	additional.fields.value.string_value	直接從原始記錄中的 `cs4` 欄位對應。
cs4Label	additional.fields.key	直接從原始記錄中的 `cs4Label` 欄位對應。
cs5	additional.fields.value.string_value	直接從原始記錄中的 `cs5` 欄位對應。
cs5Label	additional.fields.key	直接從原始記錄中的 `cs5Label` 欄位對應。
device_event_class_id	metadata.product_event_type	直接從原始記錄中的 `device_event_class_id` 欄位對應。
device_version	metadata.product_version	直接從原始記錄中的 `device_version` 欄位對應。
dhost	target.hostname	直接從原始記錄中的 `dhost` 欄位對應。
duser	target.user.user_display_name	直接從原始記錄中的 `duser` 欄位對應。
dvc	about.ip	直接從原始記錄中的 `dvc` 欄位對應。
event_name	metadata.product_event_type	直接從原始記錄中的 `event_name` 欄位對應。
externalId	metadata.product_log_id	直接從原始記錄中的 `externalId` 欄位對應。
fname	additional.fields.value.string_value	直接從原始記錄中的 `fname` 欄位對應。
msg	metadata.description	直接從原始記錄中的 `msg` 欄位對應。
原因	security_result.summary	直接從原始記錄中的 `reason` 欄位對應。
嚴重性	security_result.severity	從原始記錄的 `severity` 欄位對應，並根據值轉換為「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」。
shost	principal.ip	直接從原始記錄中的 `shost` 欄位對應。
suser	principal.user.user_display_name	直接從原始記錄中的 `suser` 欄位對應。
時間	metadata.event_timestamp.seconds	系統會剖析原始記錄，並將 `time` 欄位轉換為時間戳記，然後直接對應至該欄位。
	metadata.event_type	如果 `suser` 存在但 `duser` 不存在，請設為「USER_UNCATEGORIZED」。否則請設為「GENERIC_EVENT」。
	metadata.log_type	設為「CYBERARK_PRIVILEGE_CLOUD」。
	metadata.product_name	設為「CYBERARK_PRIVILEGE_CLOUD」。
	principal.asset.hostname	如果 `shost` 或 `dvc` 欄位含有主機名稱，則會從這些欄位擷取值。
	principal.asset.ip	如果 `shost` 或 `dvc` 欄位包含 IP 位址，則會從這些欄位取得值。
	principal.hostname	如果 `shost` 或 `dvc` 欄位含有主機名稱，則會從這些欄位擷取值。
	target.asset.hostname	如果 `dhost` 欄位包含主機名稱，則會從該欄位擷取值。
	additional.fields.key	額外欄位的鍵取決於對應的標籤欄位 (例如`cn1Label` (`cn1`)。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。