Recolha registos de PAM da Delinea

Este documento explica como carregar registos do Delinea Privileged Access Manager (PAM) para o Google Security Operations através do Bindplane. O código do analisador Logstash extrai dados de eventos de segurança dos registos DELINEA_PAM no formato SYSLOG ou CSV. Em seguida, usa padrões Grok e a análise CSV para estruturar os dados, mapeia os campos extraídos para o modelo de dados unificado (UDM) e, finalmente, produz os dados de eventos transformados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Windows 2016 ou posterior, ou um anfitrião Linux com systemd
• Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
• Acesso privilegiado ao Delinea Privileged Access Manager

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELINEA_PAM'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID de cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o Syslog no Delinea Privilege Manager

1. Inicie sessão na IU Web do Delinea PAM.
2. Aceda a Administração > Configuração > Sistemas externos.
3. Clique em Criar na página Syslog.
4. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo para o servidor.
   • Protocolo: selecione UDP (também pode selecionar TCP, consoante a configuração do agente Bindplane).
   • Anfitrião: introduza o endereço IP do agente do Bindplane.
   • Porta: introduza o número da porta do agente do Bindplane. (514 para UDP).
5. Clique em Guardar alterações.

Configure tarefas do servidor SysLog no Delinea Privilege Manager

1. Aceda a Admin > Tasks > expanda a pasta Server Tasks > expanda a pasta Foreign Systems.
2. Selecione Syslog.
3. Clique em Criar.
4. Opções de modelos:
   • Enviar eventos de ação da aplicação SysLog: use este modelo para enviar eventos de ação da aplicação para o seu sistema SysLog. Os eventos de ação da aplicação contêm informações genéricas sobre a aplicação que foi executada, a política que foi acionada, a data e a hora, o computador e o utilizador, por exemplo.
   • Enviar eventos de justificação de aplicações SysLog: use este modelo para enviar eventos de justificação de aplicações para o seu sistema SysLog. Por exemplo, se um utilizador executar uma aplicação que exija um fluxo de trabalho de justificação.
   • Enviar eventos de ação de aplicação com classificação má do SysLog: use este modelo para enviar um evento para o seu sistema SysLog quando uma aplicação com uma classificação de segurança má estiver a ser instalada ou executada.
   • Enviar eventos do histórico de alterações do SysLog: use este modelo para enviar eventos do histórico de alterações para o seu sistema SysLog. Quando esta tarefa é executada pela primeira vez, envia todo o histórico de alterações para o seu servidor SysLog. Nas execuções subsequentes, envia apenas o delta dos novos eventos do histórico de alterações.
   • Enviar eventos SysLog: use este modelo para enviar todos os eventos SysLog para o seu sistema SysLog. Estes eventos baseiam-se nas diferentes opções que selecionou no servidor SysLog durante a configuração.
   • Enviar eventos de ficheiros recém-descobertos do SysLog: use este modelo para enviar eventos de ficheiros recém-descobertos para o seu sistema SysLog. Para que isto produza eventos, a política de inventário de ficheiros predefinida tem de estar ativada e as programações de deteção de recursos têm de ser personalizadas.
   • Enviar eventos de divulgação de palavras-passe do SysLog: use este modelo para enviar todos os eventos de divulgação de palavras-passe para o seu sistema SysLog.
5. Indique os seguintes detalhes de configuração:
   • Modelo: selecione um modelo de syslog (por exemplo, Send Syslog Events para enviar todos os eventos).
   • Nome: introduza um nome significativo para a tarefa (por exemplo, pode introduzir o mesmo nome do modelo selecionado).
   • Nome do evento: introduza um nome para os eventos.
   • Gravidade do evento: introduza um limite de nível de gravidade para os eventos a enviar.
   • Sistema Syslog: selecione o servidor do agente Bindplane do sistema externo do servidor Syslog que criou no passo anterior.
6. Clique em Criar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.