Recopila registros de Darktrace

Compatible con:

En este documento, se explica cómo transferir registros de Darktrace a Google Security Operations con un agente de Bindplane. Este analizador primero extrae los campos comunes de los mensajes de syslog y, luego, usa lógica condicional para controlar los registros de Darktrace con formato CEF y JSON. Asigna los campos extraídos al esquema del Modelo de datos unificado (UDM), enriquece los datos con contexto de seguridad y estandariza la categorización de eventos para el análisis posterior.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Host de Windows 2016 o posterior, o de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a Darktrace

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindlane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Darktrace

  1. Accede a la IU web de Darktrace.
  2. Ve a Admin > System Config.
  3. Haz clic en Verificar la configuración de alertas.
  4. Proporciona los siguientes detalles de configuración:
    • CEF Syslog Alerts: Selecciona True.
    • Servidor Syslog de CEF: Ingresa la dirección IP de BindPlane.
    • Puerto del servidor Syslog de CEF: Ingresa el número de puerto de Bindplane (por ejemplo, 10282).
    • CEF Syslog TCP Alert: Selecciona True.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
darktraceUrl security_result.url_back_to_product El valor se toma del campo darktraceUrl.
darktrace_host observer.hostname El valor se toma del campo darktrace_host si no es una dirección IP.
darktrace_ip observer.ip El valor se toma del campo darktrace_ip.
darktrace_user observer.user.userid El valor se toma del campo darktrace_user.
descripción security_result.summary, metadata.description El valor se toma del campo description.
device.customFields.DT-AUTO.macaddress principal.mac El valor se toma del campo device.customFields.DT-AUTO.macaddress.
device.did principal.asset.asset_id El valor se toma del campo device.did, se convierte en una cadena y se le agrega el prefijo Device ID:.
device.firstSeen principal.asset.first_seen_time El valor se toma del campo device.firstSeen, se convierte en una cadena y se analiza como una marca de tiempo UNIX en milisegundos.
device.hostname principal.hostname, principal.asset.hostname El valor se toma del campo device.hostname.
device.ip principal.ip, principal.asset.ip El valor se toma del campo device.ip si coincide con el formato de dirección IP.
device.ips.0.subnet additional.fields.subnet El valor se toma del campo device.ips.0.subnet y se le agrega el prefijo subnet.
device.ips.ip principal.ip, principal.asset.ip El valor se toma del campo device.ips.ip para cada dirección IP de la lista.
device.lastSeen principal.asset.last_discover_time El valor se toma del campo device.lastSeen, se convierte en una cadena y se analiza como una marca de tiempo UNIX en milisegundos.
device.macaddress principal.mac El valor se toma del campo device.macaddress.
device.objecttype principal.asset.type Si el valor es device, el campo del UDM se establece en WORKSTATION.
device.sid principal.resource.attribute.labels.sid El valor se toma del campo device.sid y se convierte en una cadena.
device.typelabel principal.resource.attribute.labels.typelabel El valor se toma del campo device.typelabel.
device.typename principal.resource.attribute.labels.typename El valor se toma del campo device.typename.
DST target.ip, target.asset.ip El valor se toma del campo dst.
dpt target.port El valor se toma del campo dpt y se convierte en un número entero.
dvc principal.ip, principal.asset.ip Si el valor de dvc es una dirección IP, se agrega al campo de UDM.
dvchost principal.hostname, principal.asset.hostname El valor se toma del campo dvchost.
extremo target.url El valor se toma del campo endpoint.
event_time metadata.event_timestamp El valor se toma del campo event_time y se analiza como una marca de tiempo ISO8601.
externalId metadata.product_log_id El valor se toma del campo externalId.
incidentEventUrl principal.url El valor se toma del campo incidentEventUrl.
ip principal.ip, principal.asset.ip El valor se toma del campo ip si coincide con el formato de dirección IP.
issue_msg security_result.summary El valor se toma del campo issue_msg.
mensaje security_result.description El valor se toma del campo message.
método network.http.method El valor se toma del campo method.
model.description metadata.description El valor se toma del campo model.description.
model.name metadata.product_event_type El valor se toma del campo model.name.
model.now.category security_result.severity Si el valor es critical, el campo del UDM se establece en CRITICAL. Si el valor es Informational, el campo del UDM se establece en INFORMATIONAL. Si el valor es Suspicious, el campo del UDM se establece en HIGH y la categoría se establece en NETWORK_SUSPICIOUS.
model.now.description metadata.description El valor se toma del campo model.now.description.
model.now.message security_result.description El valor se toma del campo model.now.message.
model.now.name metadata.product_event_type El valor se toma del campo model.now.name.
model.now.pid principal.process.pid El valor se toma del campo model.now.pid y se convierte en una cadena.
model.now.uuid principal.user.userid El valor se toma del campo model.now.uuid y el tipo de evento se establece en USER_UNCATEGORIZED.
model.pid principal.process.pid El valor se toma del campo model.pid y se convierte en una cadena.
model.then.description principal.resource.attribute.labels.Model Then Description El valor se toma del campo model.then.description.
model.then.name principal.resource.attribute.labels.Model Then Name El valor se toma del campo model.then.name.
model.then.pid principal.resource.attribute.labels.Model Then Pid El valor se toma del campo model.then.pid y se convierte en una cadena.
model.then.uuid principal.resource.attribute.labels.Model Then UUID El valor se toma del campo model.then.uuid.
model.uuid principal.user.userid El valor se toma del campo model.uuid y el tipo de evento se establece en USER_UNCATEGORIZED.
relatedBreaches.0.modelName security_result.description El valor se toma del campo relatedBreaches.0.modelName.
puntuación security_result.priority, security_result.priority_details Si el valor está entre 0.8 y 1, la prioridad se establece en HIGH_PRIORITY. Si el valor está entre 0.5 y 0.79, la prioridad se establece en MEDIUM_PRIORITY. Si el valor está entre 0 y 0.49, la prioridad se establece en LOW_PRIORITY. Los detalles de prioridad se establecen en Score : seguido del valor de score convertido en una cadena.
gravedad, security_result.severity Si el valor es 2, el campo del UDM se establece en MEDIUM. Si el valor es mayor que 2, el campo de UDM se establece en HIGH.
shost principal.hostname, principal.asset.hostname El valor se toma del campo shost.
smac principal.mac El valor se toma del campo smac.
src principal.ip, principal.asset.ip El valor se toma del campo src.
estado network.http.response_code El valor se toma del campo status y se convierte en una cadena.
resumen metadata.description El valor se toma del campo summary.
hora El valor se toma del campo time, se convierte en una cadena y se analiza como una marca de tiempo UNIX en milisegundos.
timestamp El valor se toma del campo timestamp y se analiza como una marca de tiempo ISO8601 o una marca de tiempo de UNIX en milisegundos.
título security_result.summary El valor se toma del campo title.
triggeredComponents.ip intermediary.ip El valor se toma del campo triggeredComponents.ip si coincide con el formato de dirección IP.
triggeredComponents.port intermediary.port El valor se toma del campo triggeredComponents.port y se convierte en un número entero.
nombre de usuario principal.user.userid El valor se toma del campo username.
metadata.vendor_name Se define en DARKTRACE.
metadata.product_name Se define en DCIP.
metadata.log_type Se define en DARKTRACE.
network.ip_protocol Se establece en TCP si issue_msg no contiene UDP. De lo contrario, configúralo como UDP.
security_result.action Se establece en BLOCK si status es 401; de lo contrario, se establece en ALLOW.
security_result.severity Se define en INFORMATIONAL.
network.application_protocol Se establece en HTTP si method no está vacío.
metadata.event_type Se establece en NETWORK_HTTP si method no está vacío. Se establece en USER_LOGIN si description contiene logged into \\\\S+ over ssh. Se establece en NETWORK_CONNECTION si target_ip no está vacío. De lo contrario, configúralo como STATUS_UPDATE.
extensions.auth.type Se establece en MACHINE si description contiene logged into \\\\S+ over ssh.
security_result.category Se establece en DATA_EXFILTRATION si issue_msg contiene Exfiltration. Se establece en NETWORK_MALICIOUS si issue_msg contiene Compromise. De lo contrario, configúralo como NETWORK_SUSPICIOUS.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.