Recopila registros de Cylance PROTECT
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Cylance PROTECT a Google Security Operations con Bindplane. El código del analizador de Logstash transforma los mensajes syslog de Cylance PROTECT en un modelo de datos unificado (UDM). Extrae campos del mensaje de syslog, los normaliza, los asigna a campos de UDM y enriquece los datos con información sobre la gravedad y la categoría de la amenaza.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host de Linux con
systemd - Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
- Acceso con privilegios a Cylance PROTECT
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener más opciones de instalación, consulta la guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CYLANCE_PROTECT' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog en Cylance Protect
- Accede a la consola de administración de Cylance.
- Ve a Configuración > Aplicación.
- Selecciona la casilla de verificación Syslog/SIEM.
- Selecciona todos los eventos.
- Proporciona los siguientes detalles de configuración:
- SIEM: Selecciona Syslog.
- Protocolo: Selecciona UDP.
- Selecciona la casilla de verificación Allow messages over 2KB.
- IP/Domain: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (por ejemplo,
514para UDP). - Facility: Selecciona el tipo de registro de la aplicación.
- Haz clic en Test Connection.
- Haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| Versión del agente | metadata.product_version | Valor extraído de Agent Version: <value> |
| Puntuación de Cylance | security_result.severity_details | Valor extraído de Cylance Score: <value> |
| security_result.severity | Se asigna según la siguiente lógica: - ALTA: Si la puntuación de Cylance es > 67 - MEDIA: Si la puntuación de Cylance es > 33 - BAJA: Si la puntuación de Cylance es <= 33 |
|
| Detectado por | security_result.detection_fields.value | Valor extraído de Detected By: <value> |
| ID de dispositivo | principal.asset_id | Valor extraído de Device Id: <value> y antepuesto con Cylance: |
| IDs de dispositivos | principal.asset_id | Valor extraído de Device Ids: <value> y antepuesto con Cylance:, que se usa cuando Device Id no está presente |
| Nombre del dispositivo | principal.hostname | Valor extraído de Device Name: <value> |
| Nombre del dispositivo | target.hostname | Valor extraído de Device Name: <value>, que se usa para tipos de eventos específicos, como ScriptControl |
| Nombres de los dispositivos | principal.hostname | Valor extraído de Device Names: <value>, que se usa cuando Device Name no está presente |
| Descripción | security_result.summary | Valor extraído de Description: <value>, que se usa para tipos de eventos específicos, como OpticsCaeNetworkEvent |
| IP de destino | target.ip | Valor extraído de Destination IP: <value> |
| Puerto de destino | target.port | Valor extraído de Destination Port: <value> |
| ID de evento | metadata.product_log_id | Valor extraído de Event Id: <value> |
| Nombre del evento | Se usa para determinar subtipos de eventos específicos y aplicar la lógica correspondiente. | |
| Tipo de evento | metadata.product_event_type | Valor extraído de Event Type: <value> |
| metadata.event_type | Se asigna según los campos Event Type y Event Name. El valor predeterminado es GENERIC_EVENT. |
|
| Nombre del archivo | principal.process.file.full_path | Valor extraído de File Name: <value> y combinado con Path: <value> para formar la ruta de acceso completa |
| Ruta de acceso al archivo | target.file.full_path | Valor extraído de File Path: <value> |
| Instigating Process ImageFileSha256 | principal.process.file.sha256 | Valor extraído de Instigating Process ImageFileSha256: <value> |
| Nombre del proceso que inicia la acción | principal.process.file.full_path | Valor extraído de Instigating Process Name: <value> |
| Propietario del proceso iniciador | principal.user.userid | Valor extraído de Instigating Process Owner: <value>. El nombre de usuario se extrae después de dividirlo por // si está presente. |
| Propietario del proceso iniciador | principal.administrative_domain | Nombre de dominio extraído de Instigating Process Owner: <value> dividiendo por // si está presente |
| Dirección IP | principal.ip | Direcciones IP extraídas de IP Address: (<value>) |
| Intérprete | security_result.rule_labels.value | Valor extraído de Interpreter: <value> |
| Versión del intérprete | security_result.rule_labels.value | Valor extraído de Interpreter Version: <value> |
| Usuarios con acceso | about.user.userid | Nombres de usuario extraídos de Logged On Users: (<value>) |
| Dirección MAC | principal.mac | Dirección MAC extraída de MAC Address: (<value>) y con formato de dos puntos |
| MD5 | principal.process.file.md5 | Valor extraído de MD5: <value> |
| Mensaje | Se usa para extraer datos de tipos de eventos específicos, como AuditLog |
|
| SO | principal.platform | Se asigna a WINDOWS si el campo OS contiene Windows. |
| Ruta | principal.process.file.full_path | Valor extraído de Path: <value> y combinado con File Name: <value> para formar la ruta de acceso completa |
| Nombre de la política | security_result.rule_name | Valor extraído de Policy Name: <value> |
| ID de proceso | principal.process.pid | Valor extraído de Process ID: <value> |
| Nombre del proceso | principal.process.file.full_path | Valor extraído de Process Name: <value> |
| Dirección resuelta | network.dns.answers.name | Valor extraído de Resolved Address: <value> |
| SHA256 | principal.process.file.sha256 | Valor extraído de SHA256: <value> |
| IP de origen | principal.ip | Valor extraído de Source IP: <value>, que se usa para tipos de eventos específicos |
| Estado | security_result.action | Se asigna a acciones específicas del UDM según el valor: - Quarantined: QUARANTINE - Cleared: ALLOW_WITH_MODIFICATION |
| Nombre del dominio de destino | network.dns.questions.name | Valor extraído de Target Domain Name: <value> |
| Target Process ImageFileSha256 | target.process.file.sha256 | Valor extraído de Target Process ImageFileSha256: <value> |
| Nombre del proceso de destino | target.process.file.full_path | Valor extraído de Target Process Name: <value> |
| Propietario del proceso objetivo | target.user.userid | Valor extraído de Target Process Owner: <value>. El nombre de usuario se extrae después de dividirlo por // si está presente. |
| Propietario del proceso objetivo | target.administrative_domain | Nombre de dominio extraído de Target Process Owner: <value> dividiendo por // si está presente |
| Ruta de acceso de la clave de registro de destino | target.registry.registry_key | Valor extraído de Target Registry KeyPath: <value> |
| Clasificación de amenazas | security_result.threat_name | Valor extraído de Threat Classification: <value> |
| Usuario | principal.user.userid | Nombre de usuario extraído de User: <value> si está presente, se usa cuando User Name no está presente |
| Usuario | principal.user.email_addresses | Dirección de correo electrónico extraída de User: <value>, si está presente. Se usa cuando User Name no está presente. |
| Nombre del usuario | principal.user.userid | Valor extraído de User Name: <value> |
| Tipo de infracción | security_result.summary | Valor extraído de Violation Type: <value> y antepuesto con ExploitAttempt: |
| Tipo de infracción | security_result.threat_name | Valor extraído de Violation Type: <value> |
| Nombres de zonas | security_result.description | Valor extraído de Zone Names: (<value>) y antepuesto con Zone_Names: |
| metadata.vendor_name | Codificado como Cylance |
|
| metadata.product_name | Valor extraído del mensaje de registro, ya sea PROTECT o OPTICS |
|
| metadata.log_type | Codificado como CYLANCE_PROTECT |
|
| network.ip_protocol | Se codificó como TCP para los eventos de OpticsCaeNetworkEvent |
|
| network.application_protocol | Se codificó como DNS para los eventos de OpticsCaeDnsEvent |
|
| security_result.rule_labels.key | Se establece en Interpreter o Interpreter Version según el campo disponible. |
|
| security_result.detection_fields.key | Codificado como Detected By |
|
| security_result.category | Se asigna según el tipo de evento. Los valores posibles incluyen: - SOFTWARE_SUSPICIOUS - AUTH_VIOLOATION - POLICY_VIOLATION - NETWORK_SUSPICIOUS - EXPLOIT - SOFTWARE_MALICIOUS |
|
| security_result.action | Se asigna según el tipo de evento y las condiciones específicas. Los valores posibles incluyen: - ALLOW - BLOCK - QUARANTINE - ALLOW_WITH_MODIFICATION |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.