Raccogliere i log di Darktrace

Supportato in:

Questo documento spiega come importare i log di Darktrace in Google Security Operations utilizzando un agente Bindplane. Questo parser estrae prima i campi comuni dai messaggi syslog, poi utilizza la logica condizionale per gestire i log Darktrace in formato CEF e JSON. Mappa i campi estratti allo schema Unified Data Model (UDM), arricchendo i dati con il contesto di sicurezza e standardizzando la classificazione degli eventi per l'analisi downstream.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Host Windows 2016 o versioni successive o Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso con privilegi a Darktrace

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindlane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog su Darktrace

  1. Accedi all'interfaccia utente web di Darktrace.
  2. Vai ad Amministrazione > Configurazione di sistema.
  3. Fai clic su Verifica impostazioni avviso.
  4. Fornisci i seguenti dettagli di configurazione:
    • Avvisi Syslog CEF: seleziona Vero.
    • Server Syslog CEF: inserisci l'indirizzo IP di Bindplane.
    • Porta server syslog CEF: inserisci il numero di porta di Bindplane (ad esempio, 10282).
    • Avviso TCP CEF Syslog: seleziona Vero.
  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
darktraceUrl security_result.url_back_to_product Il valore viene estratto dal campo darktraceUrl.
darktrace_host observer.hostname Il valore viene estratto dal campo darktrace_host se non è un indirizzo IP.
darktrace_ip observer.ip Il valore viene estratto dal campo darktrace_ip.
darktrace_user observer.user.userid Il valore viene estratto dal campo darktrace_user.
description security_result.summary, metadata.description Il valore viene estratto dal campo description.
device.customFields.DT-AUTO.macaddress principal.mac Il valore viene estratto dal campo device.customFields.DT-AUTO.macaddress.
device.did principal.asset.asset_id Il valore viene estratto dal campo device.did, convertito in una stringa e preceduto da Device ID:.
device.firstSeen principal.asset.first_seen_time Il valore viene estratto dal campo device.firstSeen, convertito in una stringa e analizzato come timestamp UNIX in millisecondi.
device.hostname principal.hostname, principal.asset.hostname Il valore viene estratto dal campo device.hostname.
device.ip principal.ip, principal.asset.ip Il valore viene estratto dal campo device.ip se corrisponde al formato dell'indirizzo IP.
device.ips.0.subnet additional.fields.subnet Il valore viene estratto dal campo device.ips.0.subnet e ha come prefisso subnet.
device.ips.ip principal.ip, principal.asset.ip Il valore viene estratto dal campo device.ips.ip per ogni indirizzo IP nell'elenco.
device.lastSeen principal.asset.last_discover_time Il valore viene estratto dal campo device.lastSeen, convertito in una stringa e analizzato come timestamp UNIX in millisecondi.
device.macaddress principal.mac Il valore viene estratto dal campo device.macaddress.
device.objecttype principal.asset.type Se il valore è device, il campo UDM è impostato su WORKSTATION.
device.sid principal.resource.attribute.labels.sid Il valore viene estratto dal campo device.sid e convertito in una stringa.
device.typelabel principal.resource.attribute.labels.typelabel Il valore viene estratto dal campo device.typelabel.
device.typename principal.resource.attribute.labels.typename Il valore viene estratto dal campo device.typename.
dst target.ip, target.asset.ip Il valore viene estratto dal campo dst.
dpt target.port Il valore viene estratto dal campo dpt e convertito in un numero intero.
dvc principal.ip, principal.asset.ip Se il valore di dvc è un indirizzo IP, viene aggiunto al campo UDM.
dvchost principal.hostname, principal.asset.hostname Il valore viene estratto dal campo dvchost.
endpoint target.url Il valore viene estratto dal campo endpoint.
event_time metadata.event_timestamp Il valore viene estratto dal campo event_time e analizzato come timestamp ISO8601.
externalId metadata.product_log_id Il valore viene estratto dal campo externalId.
incidentEventUrl principal.url Il valore viene estratto dal campo incidentEventUrl.
ip principal.ip, principal.asset.ip Il valore viene estratto dal campo ip se corrisponde al formato dell'indirizzo IP.
issue_msg security_result.summary Il valore viene estratto dal campo issue_msg.
messaggio security_result.description Il valore viene estratto dal campo message.
metodo network.http.method Il valore viene estratto dal campo method.
model.description metadata.description Il valore viene estratto dal campo model.description.
model.name metadata.product_event_type Il valore viene estratto dal campo model.name.
model.now.category security_result.severity Se il valore è critical, il campo UDM è impostato su CRITICAL. Se il valore è Informational, il campo UDM è impostato su INFORMATIONAL. Se il valore è Suspicious, il campo UDM è impostato su HIGH e la categoria è impostata su NETWORK_SUSPICIOUS.
model.now.description metadata.description Il valore viene estratto dal campo model.now.description.
model.now.message security_result.description Il valore viene estratto dal campo model.now.message.
model.now.name metadata.product_event_type Il valore viene estratto dal campo model.now.name.
model.now.pid principal.process.pid Il valore viene estratto dal campo model.now.pid e convertito in una stringa.
model.now.uuid principal.user.userid Il valore viene estratto dal campo model.now.uuid e il tipo di evento è impostato su USER_UNCATEGORIZED.
model.pid principal.process.pid Il valore viene estratto dal campo model.pid e convertito in una stringa.
model.then.description principal.resource.attribute.labels.Model Then Description Il valore viene estratto dal campo model.then.description.
model.then.name principal.resource.attribute.labels.Model Then Name Il valore viene estratto dal campo model.then.name.
model.then.pid principal.resource.attribute.labels.Model Then Pid Il valore viene estratto dal campo model.then.pid e convertito in una stringa.
model.then.uuid principal.resource.attribute.labels.Model Then UUID Il valore viene estratto dal campo model.then.uuid.
model.uuid principal.user.userid Il valore viene estratto dal campo model.uuid e il tipo di evento è impostato su USER_UNCATEGORIZED.
relatedBreaches.0.modelName security_result.description Il valore viene estratto dal campo relatedBreaches.0.modelName.
punteggio security_result.priority, security_result.priority_details Se il valore è compreso tra 0,8 e 1, la priorità è impostata su HIGH_PRIORITY. Se il valore è compreso tra 0,5 e 0,79, la priorità è impostata su MEDIUM_PRIORITY. Se il valore è compreso tra 0 e 0,49, la priorità è impostata su LOW_PRIORITY. I dettagli della priorità sono impostati su Score : seguito dal valore di score convertito in una stringa.
gravità security_result.severity Se il valore è 2, il campo UDM è impostato su MEDIUM. Se il valore è maggiore di 2, il campo UDM è impostato su HIGH.
shost principal.hostname, principal.asset.hostname Il valore viene estratto dal campo shost.
smac principal.mac Il valore viene estratto dal campo smac.
src principal.ip, principal.asset.ip Il valore viene estratto dal campo src.
stato network.http.response_code Il valore viene estratto dal campo status e convertito in una stringa.
riepilogo metadata.description Il valore viene estratto dal campo summary.
tempo Il valore viene estratto dal campo time, convertito in una stringa e analizzato come timestamp UNIX in millisecondi.
timestamp Il valore viene estratto dal campo timestamp e analizzato come timestamp ISO8601 o timestamp UNIX in millisecondi.
titolo security_result.summary Il valore viene estratto dal campo title.
triggeredComponents.ip intermediary.ip Il valore viene estratto dal campo triggeredComponents.ip se corrisponde al formato dell'indirizzo IP.
triggeredComponents.port intermediary.port Il valore viene estratto dal campo triggeredComponents.port e convertito in un numero intero.
nome utente principal.user.userid Il valore viene estratto dal campo username.
metadata.vendor_name Imposta su DARKTRACE.
metadata.product_name Imposta su DCIP.
metadata.log_type Imposta su DARKTRACE.
network.ip_protocol Imposta su TCP se issue_msg non contiene UDP. In caso contrario, impostalo su UDP.
security_result.action Imposta su BLOCK se status è 401, altrimenti imposta su ALLOW.
security_result.severity Imposta su INFORMATIONAL.
network.application_protocol Imposta questo valore su HTTP se method non è vuoto.
metadata.event_type Imposta questo valore su NETWORK_HTTP se method non è vuoto. Imposta su USER_LOGIN se description contiene logged into \\\\S+ over ssh. Imposta questo valore su NETWORK_CONNECTION se target_ip non è vuoto. In caso contrario, imposta il valore su STATUS_UPDATE.
extensions.auth.type Imposta su MACHINE se description contiene logged into \\\\S+ over ssh.
security_result.category Imposta su DATA_EXFILTRATION se issue_msg contiene Exfiltration. Imposta su NETWORK_MALICIOUS se issue_msg contiene Compromise. In caso contrario, imposta il valore su NETWORK_SUSPICIOUS.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.