Delinea Distributed Engine 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Delinea Distributed Engine 로그를 Google Security Operations에 수집하는 방법을 설명합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인
  • Delinea 포털에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'DELINEA_DISTRIBUTED_ENGINE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels
    • 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
    • <customer_id>를 실제 고객 ID로 바꿉니다.
    • Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Delinea Syslog 구성

  1. Delinea 포털 웹 UI에 로그인합니다.
  2. 관리 > 애플리케이션으로 이동합니다.
  3. Edit(수정) 버튼을 클릭합니다.
  4. Syslog/CEF 로그 출력 사용 설정 체크박스를 클릭합니다. Syslog 섹션이 표시됩니다.
  5. Bindplane 에이전트 IP 주소를 입력합니다.
  6. Bindplane 에이전트 포트 번호를 입력합니다.
  7. 프로토콜 메뉴를 클릭하고 TCP를 선택합니다.
  8. 기호에 따라 시간대 목록을 UTC 시간으로 또는 서버 시간을 선택합니다.
  9. 사이트 메뉴를 클릭하여 Syslog/CEF가 실행될 관련 사이트를 선택합니다.
  10. 선택사항 (추가 권한 필요): 감사를 Windows 이벤트 로그에 작성하고 이벤트 구독을 작성하려면 Syslog를 Windows 이벤트로 작성을 선택합니다.
  11. 저장을 클릭합니다.

분산 엔진의 로그 수준 구성

  1. Delinea 포털 웹 UI에 로그인합니다.
  2. 관리자 > 분산 엔진으로 이동합니다.
  3. 관련 엔진 위의 점 3개 아이콘을 클릭하고 설정 표시를 선택합니다.
  4. 로그 수준 메뉴를 선택하고 정보를 선택합니다.
  5. 확인을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
ACTION security_result.action ACTION_CODE이(가) '1'이면 'ALLOW'(으)로 설정합니다. 그 외의 경우 ACTION_CODE이 비어 있지 않으면 'BLOCK'으로 설정합니다. 그렇지 않으면 파서의 이전 부분에서 'UNKNOWN_ACTION'이 기본값으로 설정됩니다.
ACTION_CODE security_result.action security_result.action를 결정하는 로직에 사용됩니다.
APP_NAME network.http.user_agent 직접 매핑됩니다.
BYTES_RECVD network.received_bytes 직접 매핑되고 부호 없는 정수로 변환됩니다.
BYTES_SENT network.sent_bytes 직접 매핑되고 부호 없는 정수로 변환됩니다.
CLOUDGENIX_HOST principal.hostname NAME 필드가 비어 있으면 직접 매핑됩니다. NAME이 있는 경우 중간 호스트 이름으로 사용됩니다.
CODE metadata.product_event_type FACILITY와 연결되어 metadata.product_event_type을 형성합니다. metadata.event_type를 결정하는 데도 사용됩니다 (예: CODE에 'DOWN'이 포함된 경우 metadata.event_type이 'STATUS_SHUTDOWN'으로 설정됨).
DESTINATION_ZONE_NAME about.labels 'DESTINATION_ZONE_NAME' 키가 있는 라벨로 직접 매핑됩니다.
DEVICE_TIME metadata.event_timestamp 날짜로 파싱된 후 직접 매핑됩니다.
DST_INTERFACE target.hostname 직접 매핑됩니다.
DST_IP target.ip 직접 매핑됩니다.
DST_PORT target.port 직접 매핑되고 정수로 변환됩니다.
ELEMENT_ID about.labels 키가 'ELEMENT_ID'인 라벨로 직접 매핑됩니다.
EVENT_TIME metadata.event_timestamp 날짜로 파싱된 후 직접 매핑됩니다.
FACILITY metadata.product_event_type CODE와 연결되어 metadata.product_event_type을 형성합니다.
FLOW_EVENT security_result.summary security_result.summary 문자열의 일부로 사용됩니다.
IDENTIFIER about.labels 키가 'IDENTIFIER'인 라벨로 직접 매핑됩니다.
ION_HOST principal.hostname CLOUDGENIX_HOSTNAME 필드가 비어 있으면 직접 매핑됩니다.
MSG metadata.description 직접 매핑됩니다. metadata.event_type를 확인하고 target.ip를 추출하기 위한 정규식 일치에도 사용됩니다.
NAME principal.hostname 직접 매핑됩니다. 있는 경우 CLOUDGENIX_HOSTintermediary.hostname가 됩니다.
PROCESS_NAME principal.process.file.full_path 직접 매핑됩니다.
PROTOCOL_NAME network.ip_protocol 직접 매핑되고 대문자로 변환됩니다.
REMOTE_HOSTNAME target.hostname 직접 매핑됩니다.
REMOTE_IP target.ip 직접 매핑됩니다.
RULE_NAME security_result.rule_name 직접 매핑됩니다.
SEVERITY security_result.severity, security_result.severity_details security_result.severity_details에 매핑됩니다. security_result.severity를 결정하는 데도 사용됩니다 (예: SEVERITY이 'minor'인 경우 security_result.severity이 'LOW'로 설정됨).
SOURCE_ZONE_NAME about.labels 키가 'SOURCE_ZONE_NAME'인 라벨로 직접 매핑됩니다.
SRC_INTERFACE principal.hostname 직접 매핑됩니다.
SRC_IP principal.ip 직접 매핑됩니다.
SRC_PORT principal.port 직접 매핑되고 정수로 변환됩니다.
VPN_LINK_ID target.resource.id 직접 매핑됩니다.
(파서 로직) is_alert log_type이 'alert' 또는 'alarm'인 경우 true로 설정됩니다.
(파서 로직) is_significant log_type이 'alert' 또는 'alarm'인 경우 true로 설정됩니다.
(파서 로직) metadata.event_type CODE, MSG, src_ip, dest_ip 값을 기반으로 한 일련의 조건문에 따라 결정됩니다. 기본값은 'GENERIC_EVENT'입니다.
(파서 로직) metadata.log_type 'CLOUDGENIX_SDWAN'으로 설정합니다.
(파서 로직) metadata.product_event_type 기본값은 CODEFACILITY의 연결입니다. 흐름 로그의 경우 'cgxFlowLogV1'로 설정합니다.
(파서 로직) metadata.product_name 'CloudGenix SD-WAN'으로 설정합니다.
(파서 로직) metadata.vendor_name 'Palo Alto Networks'로 설정됩니다.
(파서 로직) principal.process.pid 흐름 로그의 원시 로그에서 pid 값으로 설정됩니다.
(파서 로직) security_result.action 기본값은 'UNKNOWN_ACTION'입니다.
(파서 로직) security_result.severity 기본값은 'UNKNOWN_SEVERITY'입니다. SEVERITY 값에 따라 설정합니다. 흐름 로그의 경우 'INFORMATIONAL'로 설정합니다.
(파서 로직) security_result.summary syslog 메시지의 CODE 값을 기반으로 설정됩니다. 흐름 로그의 FLOW_EVENT, SRC_IP, DST_IP를 포함하는 설명 문자열로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.