Coletar registros do PAM da Delinea
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Delinea Privileged Access Manager (PAM) no Google Security Operations usando o Bindplane. O código do analisador do Logstash extrai dados de ocorrência de segurança dos registros DELINEA_PAM no formato SYSLOG ou CSV. Em seguida, ele usa padrões do Grok e análise de CSV para estruturar os dados, mapeia os campos extraídos para o Modelo Unificado de Dados (UDM, na sigla em inglês) e, por fim, gera os dados de eventos transformados.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Windows 2016 ou mais recente ou um host Linux com
systemd - Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
- Acesso privilegiado ao Delinea Privileged Access Manager.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELINEA_PAM' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no Delinea Privilege Manager
- Faça login na UI da Web do Delinea PAM.
- Acesse Administrador > Configuração > Sistemas externos.
- Clique em Criar na página Syslog.
- Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo para o servidor.
- Protocolo: selecione UDP. Também é possível selecionar TCP, dependendo da configuração do agente do Bindplane.
- Host: insira o endereço IP do agente do Bindplane.
- Porta: digite o número da porta do agente do Bindplane. (
514para UDP).
- Clique em Salvar alterações.
Configurar tarefas do servidor SysLog no Delinea Privilege Manager
- Acesse Administrador > Tarefas > expanda a pasta "Tarefas do servidor" > expanda a pasta "Sistemas externos".
- Selecione Syslog.
- Clique em Criar.
- Opções de modelo:
- Enviar eventos de ação do aplicativo SysLog: use este modelo para enviar eventos de ação do aplicativo ao seu sistema SysLog. Os eventos de ação do aplicativo contêm informações genéricas sobre o aplicativo em execução, qual política foi acionada, a data e o carimbo de data/hora, o computador e o usuário, por exemplo.
- Enviar eventos de justificativa de aplicativo SysLog: use este modelo para enviar eventos de justificativa de aplicativo ao seu sistema SysLog. Por exemplo, se um usuário executar um aplicativo que exige um fluxo de trabalho de justificativa.
- Enviar eventos de ação de aplicativo com classificação ruim do SysLog: use este modelo para enviar um evento ao seu sistema SysLog quando um aplicativo com uma classificação de segurança ruim for instalado ou executado.
- Enviar eventos do histórico de mudanças do SysLog: use este modelo para enviar eventos do histórico de mudanças ao seu sistema SysLog. Quando essa tarefa é executada pela primeira vez, ela envia todo o histórico de mudanças para o servidor SysLog. Nas execuções subsequentes, ele envia apenas o delta dos novos eventos do histórico de mudanças.
- Enviar eventos SysLog: use este modelo para enviar todos os eventos SysLog ao seu sistema SysLog. Esses eventos são baseados nas diferentes opções selecionadas no servidor SysLog durante a configuração.
- Enviar eventos de arquivo recém-descobertos do SysLog: use esse modelo para enviar eventos de arquivo recém-descobertos ao seu sistema SysLog. Para que isso gere eventos, a política padrão de inventário de arquivos precisa estar ativada, e os programações de descoberta de recursos precisam ser personalizadas.
- Enviar eventos de divulgação de senha do SysLog: use este modelo para enviar todos os eventos de divulgação de senha ao seu sistema SysLog.
- Informe os seguintes detalhes de configuração:
- Modelo: selecione um modelo de syslog (por exemplo,
Send Syslog Eventspara enviar todos os eventos). - Nome: insira um nome significativo para a tarefa. Por exemplo, você pode inserir o mesmo nome do modelo selecionado.
- Nome do evento: insira um nome para os eventos.
- Gravidade do evento: insira um limite de nível de gravidade para que os eventos sejam enviados.
- Sistema Syslog: selecione o servidor do agente do Bindplane do sistema externo do servidor Syslog que você criou na etapa anterior.
- Modelo: selecione um modelo de syslog (por exemplo,
- Clique em Criar.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| CEF:0|...|column1 | metadata.vendor_name | Extraído da string CEF, especificamente o valor após o primeiro " |
| CEF:0|...|column2 | metadata.product_name | Extraído da string CEF, especificamente o valor após o segundo " |
| CEF:0|...|column3 | metadata.product_version | Extraído da string CEF, especificamente o valor após o terceiro " |
| CEF:0|...|column5 | metadata.product_event_type | Extraído da string CEF, especificamente o valor após o quinto " |
| CEF:0|...|column7 | security_result.description | Extraído da string CEF, especificamente o valor após o sétimo " |
| %{HOSTNAME} | principal.hostname | Extraído da mensagem de registro usando o padrão grok "%{HOSTNAME}". |
| %{TIMESTAMP_ISO8601} | metadata.event_timestamp | Extraído da mensagem de registro usando o padrão grok "%{TIMESTAMP_ISO8601}". |
| metadata.event_type | Fixado no código do analisador como "STATUS_UPDATE". | |
| metadata.log_type | Fixado no código do analisador como "DELINEA_PAM". | |
| timestamp | timestamp | O carimbo de data/hora do evento é analisado do campo "timestamp" no log bruto, convertendo-o para um formato de carimbo de data/hora da UDM. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.