Raccogliere i log di Delinea PAM

Questo documento spiega come importare i log di Delinea Privileged Access Manager (PAM) in Google Security Operations utilizzando Bindplane. Il codice del parser Logstash estrae i dati degli eventi di sicurezza dai log DELINEA_PAM in formato SYSLOG o CSV. Utilizza quindi i pattern Grok e l'analisi CSV per strutturare i dati, mappa i campi estratti al modello di dati unificato (UDM) e infine restituisce i dati sugli eventi trasformati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Windows 2016 o versioni successive oppure un host Linux con systemd
• Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
• Accesso privilegiato a Delinea Privileged Access Manager

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

1. Accedi al file di configurazione:
   • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELINEA_PAM'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Syslog in Delinea Privilege Manager

1. Accedi all'interfaccia utente web di Delinea PAM.
2. Vai ad Amministrazione > Configurazione > Sistemi esterni.
3. Fai clic su Crea nella pagina Syslog.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome descrittivo per il server.
   • Protocollo: seleziona UDP (puoi selezionare anche TCP, a seconda della configurazione dell'agente Bindplane).
   • Host: inserisci l'indirizzo IP dell'agente Bindplane.
   • Porta: inserisci il numero di porta dell'agente Bindplane. (514 per UDP).
5. Fai clic su Salva modifiche.

Configurare le attività del server SysLog in Delinea Privilege Manager

1. Vai ad Amministratore > Attività > espandi la cartella Attività server > espandi la cartella Sistemi esterni.
2. Seleziona Syslog.
3. Fai clic su Crea.
4. Opzioni del modello:
   • Invia eventi di azione dell'applicazione SysLog: utilizza questo modello per inviare eventi di azione dell'applicazione al tuo sistema SysLog. Gli eventi Azione applicazione contengono informazioni generiche sull'applicazione in esecuzione, sulla norma attivata, sulla data e sul timestamp, sul computer e sull'utente, ad esempio.
   • Invia eventi di giustificazione dell'applicazione SysLog: utilizza questo modello per inviare eventi di giustificazione dell'applicazione al tuo sistema SysLog. Ad esempio, se un utente esegue un'applicazione che richiede un flusso di lavoro di giustificazione.
   • Invia eventi di azione dell'applicazione con classificazione negativa SysLog: utilizza questo modello per inviare un evento al tuo sistema SysLog, quando viene installata o eseguita un'applicazione identificata con una classificazione di sicurezza negativa.
   • Invia eventi della cronologia delle modifiche di SysLog: utilizza questo modello per inviare eventi della cronologia delle modifiche al tuo sistema SysLog. Quando questo task viene eseguito per la prima volta, invia tutta la cronologia delle modifiche al server SysLog. Nelle esecuzioni successive invia solo il delta dei nuovi eventi della cronologia delle modifiche.
   • Invia eventi SysLog: utilizza questo modello per inviare tutti gli eventi SysLog al tuo sistema SysLog. Questi eventi si basano sulle diverse opzioni selezionate sul server SysLog durante la configurazione.
   • Invia eventi di file appena scoperti a SysLog: utilizza questo modello per inviare gli eventi di file appena scoperti al sistema SysLog. Affinché vengano generati eventi, è necessario attivare i criteri di inventario dei file predefiniti e personalizzare le pianificazioni di rilevamento delle risorse.
   • Invia eventi di divulgazione della password SysLog: utilizza questo modello per inviare tutti gli eventi di divulgazione della password al sistema SysLog.
5. Fornisci i seguenti dettagli di configurazione:
   • Modello: seleziona un modello syslog (ad esempio, Send Syslog Events per inviare tutti gli eventi).
   • Nome: inserisci un nome significativo per l'attività (ad esempio, puoi inserire lo stesso nome del modello selezionato).
   • Nome evento: inserisci un nome per gli eventi.
   • Gravità evento: inserisci una soglia del livello di gravità per gli eventi da inviare.
   • Sistema Syslog: seleziona il server Bindplane agent del sistema esterno del server Syslog che hai creato nel passaggio precedente.
6. Fai clic su Crea.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.