Recoger registros de Darktrace

Disponible en:

En este documento se explica cómo ingerir registros de Darktrace en Google Security Operations mediante un agente de Bindplane. Este analizador primero extrae los campos comunes de los mensajes syslog y, a continuación, usa la lógica condicional para gestionar los registros de Darktrace con formato CEF y JSON. Asigna los campos extraídos al esquema del modelo de datos unificado (UDM), enriquece los datos con contexto de seguridad y estandariza la categorización de eventos para el análisis posterior.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o una versión posterior, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
  • Acceso privilegiado a Darktrace

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindlane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Darktrace

  1. Inicia sesión en la interfaz web de Darktrace.
  2. Ve a Administrar > Configuración del sistema.
  3. Haz clic en Verificar configuración de alertas.
  4. Proporcione los siguientes detalles de configuración:
    • Alertas de Syslog de CEF: selecciona True.
    • Servidor Syslog de CEF: introduce la dirección IP de Bindplane.
    • Puerto del servidor Syslog de CEF: introduce el número de puerto de Bindplane (por ejemplo, 10282).
    • Alerta de CEF Syslog TCP: seleccione True.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
darktraceUrl security_result.url_back_to_product El valor se toma del campo darktraceUrl.
darktrace_host observer.hostname El valor se toma del campo darktrace_host si no es una dirección IP.
darktrace_ip observer.ip El valor se toma del campo darktrace_ip.
darktrace_user observer.user.userid El valor se toma del campo darktrace_user.
description security_result.summary, metadata.description El valor se toma del campo description.
device.customFields.DT-AUTO.macaddress principal.mac El valor se toma del campo device.customFields.DT-AUTO.macaddress.
device.did principal.asset.asset_id El valor se toma del campo device.did, se convierte en una cadena y se le añade el prefijo Device ID:.
device.firstSeen principal.asset.first_seen_time El valor se toma del campo device.firstSeen, se convierte en una cadena y se analiza como una marca de tiempo de UNIX en milisegundos.
device.hostname principal.hostname, principal.asset.hostname El valor se toma del campo device.hostname.
device.ip principal.ip, principal.asset.ip El valor se toma del campo device.ip si coincide con el formato de dirección IP.
device.ips.0.subnet additional.fields.subnet El valor se toma del campo device.ips.0.subnet y se le añade el prefijo subnet.
device.ips.ip principal.ip, principal.asset.ip El valor se toma del campo device.ips.ip de cada dirección IP de la lista.
device.lastSeen principal.asset.last_discover_time El valor se toma del campo device.lastSeen, se convierte en una cadena y se analiza como una marca de tiempo de UNIX en milisegundos.
device.macaddress principal.mac El valor se toma del campo device.macaddress.
device.objecttype principal.asset.type Si el valor es device, el campo de UDM se define como WORKSTATION.
device.sid principal.resource.attribute.labels.sid El valor se toma del campo device.sid y se convierte en una cadena.
device.typelabel principal.resource.attribute.labels.typelabel El valor se toma del campo device.typelabel.
device.typename principal.resource.attribute.labels.typename El valor se toma del campo device.typename.
dst target.ip, target.asset.ip El valor se toma del campo dst.
dpt target.port El valor se toma del campo dpt y se convierte en un número entero.
dvc principal.ip, principal.asset.ip Si el valor de dvc es una dirección IP, se añade al campo UDM.
dvchost principal.hostname, principal.asset.hostname El valor se toma del campo dvchost.
punto final target.url El valor se toma del campo endpoint.
event_time metadata.event_timestamp El valor se toma del campo event_time y se analiza como una marca de tiempo ISO8601.
externalId metadata.product_log_id El valor se toma del campo externalId.
incidentEventUrl principal.url El valor se toma del campo incidentEventUrl.
ip principal.ip, principal.asset.ip El valor se toma del campo ip si coincide con el formato de dirección IP.
issue_msg security_result.summary El valor se toma del campo issue_msg.
mensaje security_result.description El valor se toma del campo message.
método network.http.method El valor se toma del campo method.
model.description metadata.description El valor se toma del campo model.description.
model.name metadata.product_event_type El valor se toma del campo model.name.
model.now.category security_result.severity Si el valor es critical, el campo de UDM se define como CRITICAL. Si el valor es Informational, el campo de UDM se define como INFORMATIONAL. Si el valor es Suspicious, el campo UDM se define como HIGH y la categoría como NETWORK_SUSPICIOUS.
model.now.description metadata.description El valor se toma del campo model.now.description.
model.now.message security_result.description El valor se toma del campo model.now.message.
model.now.name metadata.product_event_type El valor se toma del campo model.now.name.
model.now.pid principal.process.pid El valor se toma del campo model.now.pid y se convierte en una cadena.
model.now.uuid principal.user.userid El valor se toma del campo model.now.uuid y el tipo de evento se define como USER_UNCATEGORIZED.
model.pid principal.process.pid El valor se toma del campo model.pid y se convierte en una cadena.
model.then.description principal.resource.attribute.labels.Model Then Description El valor se toma del campo model.then.description.
model.then.name principal.resource.attribute.labels.Model Then Name El valor se toma del campo model.then.name.
model.then.pid principal.resource.attribute.labels.Model Then Pid El valor se toma del campo model.then.pid y se convierte en una cadena.
model.then.uuid principal.resource.attribute.labels.Model Then UUID El valor se toma del campo model.then.uuid.
model.uuid principal.user.userid El valor se toma del campo model.uuid y el tipo de evento se define como USER_UNCATEGORIZED.
relatedBreaches.0.modelName security_result.description El valor se toma del campo relatedBreaches.0.modelName.
puntuación security_result.priority, security_result.priority_details Si el valor está entre 0,8 y 1, la prioridad se establece en HIGH_PRIORITY. Si el valor está entre 0,5 y 0,79, la prioridad se establece en MEDIUM_PRIORITY. Si el valor está entre 0 y 0,49, la prioridad se establece en LOW_PRIORITY. Los detalles de la prioridad se definen como Score : seguido del valor de score convertido en una cadena.
gravedad security_result.severity Si el valor es 2, el campo de UDM se define como MEDIUM. Si el valor es superior a 2, el campo de UDM se define como HIGH.
shost principal.hostname, principal.asset.hostname El valor se toma del campo shost.
smac principal.mac El valor se toma del campo smac.
src principal.ip, principal.asset.ip El valor se toma del campo src.
status network.http.response_code El valor se toma del campo status y se convierte en una cadena.
resumen metadata.description El valor se toma del campo summary.
Tiempo El valor se toma del campo time, se convierte en una cadena y se analiza como una marca de tiempo de UNIX en milisegundos.
timestamp El valor se toma del campo timestamp y se analiza como una marca de tiempo ISO 8601 o una marca de tiempo de Unix en milisegundos.
title security_result.summary El valor se toma del campo title.
triggeredComponents.ip intermediary.ip El valor se toma del campo triggeredComponents.ip si coincide con el formato de dirección IP.
triggeredComponents.port intermediary.port El valor se toma del campo triggeredComponents.port y se convierte en un número entero.
nombre de usuario principal.user.userid El valor se toma del campo username.
metadata.vendor_name Su valor debe ser DARKTRACE.
metadata.product_name Su valor debe ser DCIP.
metadata.log_type Su valor debe ser DARKTRACE.
network.ip_protocol Se define como TCP si issue_msg no contiene UDP. De lo contrario, se asigna el valor UDP.
security_result.action Se asigna el valor BLOCK si status es 401. De lo contrario, se asigna el valor ALLOW.
security_result.severity Su valor debe ser INFORMATIONAL.
network.application_protocol Se asigna el valor HTTP si method no está vacío.
metadata.event_type Se asigna el valor NETWORK_HTTP si method no está vacío. Se establece en USER_LOGIN si description contiene logged into \\\\S+ over ssh. Se asigna el valor NETWORK_CONNECTION si target_ip no está vacío. De lo contrario, asigna el valor STATUS_UPDATE.
extensions.auth.type Se establece en MACHINE si description contiene logged into \\\\S+ over ssh.
security_result.category Se establece en DATA_EXFILTRATION si issue_msg contiene Exfiltration. Se establece en NETWORK_MALICIOUS si issue_msg contiene Compromise. De lo contrario, asigna el valor NETWORK_SUSPICIOUS.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.