Recopila registros de Delinea PAM

Compatible con:

En este documento, se explica cómo transferir registros de Delinea Privileged Access Manager (PAM) a Google Security Operations con Bindplane. El código del analizador de Logstash extrae datos de eventos de seguridad de los registros de DELINEA_PAM en formato SYSLOG o CSV. Luego, usa patrones de Grok y el análisis de CSV para estructurar los datos, asigna los campos extraídos al Modelo de datos unificado (UDM) y, por último, genera los datos de eventos transformados.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso con privilegios a Delinea Privileged Access Manager

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELINEA_PAM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Delinea Privilege Manager

  1. Accede a la IU web de Delinea PAM.
  2. Ve a Administrador > Configuración > Sistemas externos.
  3. Haz clic en Crear en la página de Syslog.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre descriptivo para el servidor.
    • Protocolo: Selecciona UDP (también puedes seleccionar TCP, según la configuración de tu agente de Bindplane).
    • Host: Ingresa la dirección IP del agente de Bindplane.
    • Puerto: Ingresa el número de puerto del agente de Bindplane. (514 para UDP)
  5. Haz clic en Guardar cambios.

Configura tareas del servidor SysLog en Delinea Privilege Manager

  1. Ve a Admin > Tasks > expand Server Tasks folder > expand Foreign Systems folder.
  2. Selecciona Syslog.
  3. Haz clic en Crear.
  4. Opciones de plantilla:
    • Send SysLog Application Action Events: Usa esta plantilla para enviar eventos de acción de la aplicación a tu sistema SysLog. Los eventos de acción de la aplicación contienen información genérica sobre la aplicación que se ejecutó, qué política se activó, la fecha y la marca de tiempo, la computadora y el usuario, por ejemplo.
    • Send SysLog Application Justification Events: Usa esta plantilla para enviar eventos de justificación de la aplicación a tu sistema SysLog. Por ejemplo, si un usuario ejecuta una aplicación que requiere un flujo de trabajo de justificación.
    • Send SysLog Bad Rated Application Action Events: Usa esta plantilla para enviar un evento a tu sistema SysLog cuando se instale o ejecute una aplicación que se identifique con una mala calificación de seguridad.
    • Send SysLog Change History Events: Usa esta plantilla para enviar eventos del historial de cambios a tu sistema SysLog. Cuando esta tarea se ejecuta por primera vez, envía todo el historial de cambios a tu servidor SysLog. En ejecuciones posteriores, solo envía el delta de los eventos nuevos del historial de cambios.
    • Send SysLog Events: Usa esta plantilla para enviar todos los eventos de SysLog a tu sistema SysLog. Estos eventos se basan en las diferentes opciones que seleccionaste en el servidor SysLog durante la configuración.
    • Send SysLog Newly Discovered File Events: Usa esta plantilla para enviar eventos de archivos recién descubiertos a tu sistema SysLog. Para que esto genere eventos, se debe habilitar la política predeterminada de inventario de archivos y se deben personalizar los programas de descubrimiento de recursos.
    • Send SysLog Password Disclosure Events: Usa esta plantilla para enviar todos los eventos de divulgación de contraseñas a tu sistema SysLog.
  5. Proporciona los siguientes detalles de configuración:
    • Plantilla: Selecciona una plantilla de syslog (por ejemplo, Send Syslog Events para enviar todos los eventos).
    • Nombre: Ingresa un nombre significativo para la tarea (por ejemplo, puedes ingresar el mismo nombre que la plantilla seleccionada).
    • Nombre del evento: Ingresa un nombre para los eventos.
    • Gravedad del evento: Ingresa un umbral de nivel de gravedad para los eventos que se enviarán.
    • Sistema Syslog: Selecciona el servidor externo del sistema Syslog que creaste en el paso anterior.
  6. Haz clic en Crear.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
CEF:0|…|column1 metadata.vendor_name Se extrae de la cadena de CEF, específicamente el valor después del primer "
CEF:0|…|column2 metadata.product_name Se extrae de la cadena de CEF, específicamente el valor después del segundo "
CEF:0|…|column3 metadata.product_version Se extrae de la cadena de CEF, específicamente el valor después del tercer "
CEF:0|…|column5 metadata.product_event_type Se extrae de la cadena de CEF, específicamente el valor después del quinto "
CEF:0|...|column7 security_result.description Se extrae de la cadena de CEF, específicamente el valor después del séptimo "
%{HOSTNAME} principal.hostname Se extrae del mensaje de registro con el patrón de Grok "%{HOSTNAME}".
%{TIMESTAMP_ISO8601} metadata.event_timestamp Se extrae del mensaje de registro con el patrón de Grok "%{TIMESTAMP_ISO8601}".
metadata.event_type Está codificado como "STATUS_UPDATE" en el código del analizador.
metadata.log_type Está codificado como "DELINEA_PAM" en el código del analizador.
timestamp timestamp La marca de tiempo del evento se analiza a partir del campo "timestamp" del registro sin procesar y se convierte a un formato de marca de tiempo de UDM.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.