Collecter les journaux Darktrace

Compatible avec :

Ce document explique comment ingérer des journaux Darktrace dans Google Security Operations à l'aide d'un agent Bindplane. Cet analyseur extrait d'abord les champs communs des messages syslog, puis utilise une logique conditionnelle pour gérer les journaux Darktrace au format CEF et JSON. Il mappe les champs extraits au schéma UDM (Unified Data Model), enrichissant les données avec le contexte de sécurité et normalisant la catégorisation des événements pour l'analyse en aval.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
  • Accès privilégié à Darktrace

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :
    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindlane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog sur Darktrace

  1. Connectez-vous à l'interface utilisateur Web Darktrace.
  2. Accédez à Admin > Configuration du système.
  3. Cliquez sur Vérifier les paramètres d'alerte.
  4. Fournissez les informations de configuration suivantes :
    • Alertes Syslog CEF : sélectionnez True.
    • Serveur Syslog CEF : saisissez l'adresse IP Bindplane.
    • Port du serveur Syslog CEF : saisissez le numéro de port Bindplane (par exemple, 10282).
    • CEF Syslog TCP Alert (Alerte CEF Syslog TCP) : sélectionnez True.
  5. Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal Mappage UDM Logique
darktraceUrl security_result.url_back_to_product La valeur est extraite du champ darktraceUrl.
darktrace_host observer.hostname La valeur est extraite du champ darktrace_host si elle n'est pas une adresse IP.
darktrace_ip observer.ip La valeur est extraite du champ darktrace_ip.
darktrace_user observer.user.userid La valeur est extraite du champ darktrace_user.
description security_result.summary, metadata.description La valeur est extraite du champ description.
device.customFields.DT-AUTO.macaddress principal.mac La valeur est extraite du champ device.customFields.DT-AUTO.macaddress.
device.did principal.asset.asset_id La valeur est extraite du champ device.did, convertie en chaîne et précédée de Device ID:.
device.firstSeen principal.asset.first_seen_time La valeur est extraite du champ device.firstSeen, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
device.hostname principal.hostname, principal.asset.hostname La valeur est extraite du champ device.hostname.
device.ip principal.ip, principal.asset.ip La valeur est extraite du champ device.ip si elle correspond au format d'adresse IP.
device.ips.0.subnet additional.fields.subnet La valeur est extraite du champ device.ips.0.subnet et précédée de subnet.
device.ips.ip principal.ip, principal.asset.ip La valeur est extraite du champ device.ips.ip pour chaque adresse IP de la liste.
device.lastSeen principal.asset.last_discover_time La valeur est extraite du champ device.lastSeen, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
device.macaddress principal.mac La valeur est extraite du champ device.macaddress.
device.objecttype principal.asset.type Si la valeur est device, le champ UDM est défini sur WORKSTATION.
device.sid principal.resource.attribute.labels.sid La valeur est extraite du champ device.sid et convertie en chaîne.
device.typelabel principal.resource.attribute.labels.typelabel La valeur est extraite du champ device.typelabel.
device.typename principal.resource.attribute.labels.typename La valeur est extraite du champ device.typename.
dst target.ip, target.asset.ip La valeur est extraite du champ dst.
dpt target.port La valeur est extraite du champ dpt et convertie en nombre entier.
dvc principal.ip, principal.asset.ip Si la valeur de dvc est une adresse IP, elle est ajoutée au champ UDM.
dvchost principal.hostname, principal.asset.hostname La valeur est extraite du champ dvchost.
point de terminaison target.url La valeur est extraite du champ endpoint.
event_time metadata.event_timestamp La valeur est extraite du champ event_time et analysée en tant que code temporel ISO8601.
externalId metadata.product_log_id La valeur est extraite du champ externalId.
incidentEventUrl principal.url La valeur est extraite du champ incidentEventUrl.
ip principal.ip, principal.asset.ip La valeur est extraite du champ ip si elle correspond au format d'adresse IP.
issue_msg security_result.summary La valeur est extraite du champ issue_msg.
message security_result.description La valeur est extraite du champ message.
méthode network.http.method La valeur est extraite du champ method.
model.description metadata.description La valeur est extraite du champ model.description.
model.name metadata.product_event_type La valeur est extraite du champ model.name.
model.now.category security_result.severity Si la valeur est critical, le champ UDM est défini sur CRITICAL. Si la valeur est Informational, le champ UDM est défini sur INFORMATIONAL. Si la valeur est Suspicious, le champ UDM est défini sur HIGH et la catégorie est définie sur NETWORK_SUSPICIOUS.
model.now.description metadata.description La valeur est extraite du champ model.now.description.
model.now.message security_result.description La valeur est extraite du champ model.now.message.
model.now.name metadata.product_event_type La valeur est extraite du champ model.now.name.
model.now.pid principal.process.pid La valeur est extraite du champ model.now.pid et convertie en chaîne.
model.now.uuid principal.user.userid La valeur est extraite du champ model.now.uuid et le type d'événement est défini sur USER_UNCATEGORIZED.
model.pid principal.process.pid La valeur est extraite du champ model.pid et convertie en chaîne.
model.then.description principal.resource.attribute.labels.Model Then Description La valeur est extraite du champ model.then.description.
model.then.name principal.resource.attribute.labels.Model Then Name La valeur est extraite du champ model.then.name.
model.then.pid principal.resource.attribute.labels.Model Then Pid La valeur est extraite du champ model.then.pid et convertie en chaîne.
model.then.uuid principal.resource.attribute.labels.Model Then UUID La valeur est extraite du champ model.then.uuid.
model.uuid principal.user.userid La valeur est extraite du champ model.uuid et le type d'événement est défini sur USER_UNCATEGORIZED.
relatedBreaches.0.modelName security_result.description La valeur est extraite du champ relatedBreaches.0.modelName.
score security_result.priority, security_result.priority_details Si la valeur est comprise entre 0,8 et 1, la priorité est définie sur HIGH_PRIORITY. Si la valeur est comprise entre 0,5 et 0,79, la priorité est définie sur MEDIUM_PRIORITY. Si la valeur est comprise entre 0 et 0,49, la priorité est définie sur LOW_PRIORITY. Les détails de la priorité sont définis sur Score :, suivi de la valeur de score convertie en chaîne.
de gravité, security_result.severity Si la valeur est 2, le champ UDM est défini sur MEDIUM. Si la valeur est supérieure à 2, le champ UDM est défini sur HIGH.
shost principal.hostname, principal.asset.hostname La valeur est extraite du champ shost.
smac principal.mac La valeur est extraite du champ smac.
src principal.ip, principal.asset.ip La valeur est extraite du champ src.
état network.http.response_code La valeur est extraite du champ status et convertie en chaîne.
résumé metadata.description La valeur est extraite du champ summary.
temps La valeur est extraite du champ time, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
timestamp La valeur est extraite du champ timestamp et analysée en tant qu'horodatage ISO8601 ou horodatage UNIX en millisecondes.
titre security_result.summary La valeur est extraite du champ title.
triggeredComponents.ip intermediary.ip La valeur est extraite du champ triggeredComponents.ip si elle correspond au format d'adresse IP.
triggeredComponents.port intermediary.port La valeur est extraite du champ triggeredComponents.port et convertie en nombre entier.
nom d'utilisateur principal.user.userid La valeur est extraite du champ username.
metadata.vendor_name Variable définie sur DARKTRACE.
metadata.product_name Variable définie sur DCIP.
metadata.log_type Variable définie sur DARKTRACE.
network.ip_protocol Définie sur TCP si issue_msg ne contient pas UDP. Sinon, définissez-la sur UDP.
security_result.action Définie sur BLOCK si status est 401, sinon définie sur ALLOW.
security_result.severity Variable définie sur INFORMATIONAL.
network.application_protocol Définissez sur HTTP si method n'est pas vide.
metadata.event_type Définissez sur NETWORK_HTTP si method n'est pas vide. Définie sur USER_LOGIN si description contient logged into \\\\S+ over ssh. Définissez sur NETWORK_CONNECTION si target_ip n'est pas vide. Sinon, définissez-la sur STATUS_UPDATE.
extensions.auth.type Définie sur MACHINE si description contient logged into \\\\S+ over ssh.
security_result.category Définie sur DATA_EXFILTRATION si issue_msg contient Exfiltration. Définie sur NETWORK_MALICIOUS si issue_msg contient Compromise. Sinon, définissez-la sur NETWORK_SUSPICIOUS.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.