收集 Delinea Secret Server 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何收集 Delinea(之前称为 Thycotic)Secret Server 日志。解析器会将原始日志转换为符合 Google Security Operations UDM 的结构化格式。它首先提取时间戳、事件类型和用户信息等关键字段,然后根据特定事件类型使用条件逻辑将数据映射到相应的 UDM 字段,最终丰富数据以供在 Google SecOps 中进行分析。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有对 Delinea 的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace with your specific IP and port listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Path to the ingestion authentication file creds: '/path/to/your/ingestion-auth.json' # Your Chronicle customer ID customer_id: 'your_customer_id' endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: log_type: SYSLOG namespace: thycotic raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Delinea Secret Server 以使用 Syslog 发送日志
- 使用管理员凭据登录 Delinea Secret Server。
- 依次前往管理 > 配置。
- 点击修改。
- 选中启用 Syslog/CEF 日志记录复选框,然后指定以下详细信息:
- Syslog/CEF 服务器:输入 Bindplane 的 IP 地址。
- Syslog/CEF 协议:选择 UDP 或 TCP(具体取决于您的 Bindplane 配置)。
- Syslog/CEF 端口:输入 Bindplane 配置为监听的端口号。
- 点击保存。
UDM 映射
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| Account_Domain | event1.idm.read_only_udm.principal.domain | 该值取自原始日志的“msg”字段中的“Account_Domain”字段。 |
| 按用户 | event1.idm.read_only_udm.principal.user.userid | 该值取自原始日志的“msg”字段中的“By User”字段。 |
| 容器 ID | event1.idm.read_only_udm.principal.asset.asset_id | 该值取自原始日志的“msg”字段中的“Container Id”字段,并以“container_id:”为前缀。 |
| 容器名称 | event1.idm.read_only_udm.principal.resource.name | 该值取自原始日志的“msg”字段中的“容器名称”字段。 |
| cs2 | event1.idm.read_only_udm.additional.fields[].value.string_value | 该值取自原始日志的“msg”字段中的“cs2”字段。 |
| cs3 | event1.idm.read_only_udm.target.file.full_path | 该值取自原始日志的“msg”字段中的“cs3”字段。 |
| cs4 | event1.idm.read_only_udm.principal.user.user_display_name | 该值取自原始日志的“msg”字段中的“cs4”字段。 |
| 详细信息 | event1.idm.read_only_udm.additional.fields[].value.string_value | 该值取自原始日志的“msg”字段中的“详细信息”字段。 |
| fname | event1.idm.read_only_udm.target.file.full_path | 该值取自原始日志的“msg”字段中的“fname”字段。 |
| 主机 | event1.idm.read_only_udm.principal.hostname、event1.idm.read_only_udm.principal.asset.hostname | 该值取自原始日志的“msg”字段中的“Host”字段。 |
| 内容名称 | event1.idm.read_only_udm.target.user.userid | 该值取自原始日志的“msg”字段中的“Item Name”字段。 |
| event1.idm.read_only_udm.additional.fields[].key | 该值硬编码为“fname”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值已硬编码为“群组或用户”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值硬编码为“详细信息”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值硬编码为“type_id”。 | |
| event1.idm.read_only_udm.extensions.auth.type | 该值已硬编码为“MACHINE”。 | |
| event1.idm.read_only_udm.metadata.description | 该值取自“thycotic_event”字段,该字段使用 grok 模式从原始日志中提取。 | |
| event1.idm.read_only_udm.metadata.event_timestamp.seconds | 该值派生自“rt”字段(如果存在),否则派生自“ts”字段。这两个字段都是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.event_type | 该值根据“thycotic_event”字段和其他条件确定。例如,如果“thycotic_event”为“USER - LOGIN”,则事件类型设置为“USER_LOGIN”。 | |
| event1.idm.read_only_udm.metadata.log_type | 该值已硬编码为“THYCOTIC”。 | |
| event1.idm.read_only_udm.metadata.product_event_type | 该值取自“thycotic_event”字段,该字段使用 grok 模式从原始日志中提取。 | |
| event1.idm.read_only_udm.metadata.product_log_id | 该值取自“action_id”字段,该字段使用 grok 模式从原始日志中提取。 | |
| event1.idm.read_only_udm.metadata.product_name | 该值取自“device_product”字段,该字段使用 grok 模式从原始日志中提取。如果该字段为空,则该值会硬编码为“Secret Server”。 | |
| event1.idm.read_only_udm.metadata.product_version | 该值取自“device_version”字段,该字段使用 grok 模式从原始日志中提取。 | |
| event1.idm.read_only_udm.metadata.vendor_name | 该值硬编码为“Thycotic”。 | |
| event1.idm.read_only_udm.network.ip_protocol | 如果“input.type”字段为“tcp”,则该值设置为“TCP”。 | |
| event1.idm.read_only_udm.observer.application | 如果存在,则该值取自“agent.type”字段;否则,该值硬编码为“Secret Server”。 | |
| event1.idm.read_only_udm.observer.asset_id | 此值设置为“代理 ID:”与“agent.id”字段的串联。 | |
| event1.idm.read_only_udm.observer.hostname | 如果存在,则该值取自“agent.hostname”字段,否则取自“server”字段。 | |
| event1.idm.read_only_udm.observer.platform_version | 该值取自“agent.version”字段。 | |
| event1.idm.read_only_udm.observer.user.userid | 该值取自“agent.name”字段。 | |
| event1.idm.read_only_udm.principal.asset.asset_id | 该值设置为“ID:”与“host.id”字段的串联。 | |
| event1.idm.read_only_udm.principal.asset.hardware.cpu_platform | 该值取自“host.architecture”字段。 | |
| event1.idm.read_only_udm.principal.asset.hostname | 如果存在,则该值取自“server”字段;否则,取自“host.hostname”字段。 | |
| event1.idm.read_only_udm.principal.asset.ip | 如果存在,则从“src”字段中获取值,否则从“src_ip”字段中获取值。 | |
| event1.idm.read_only_udm.principal.hostname | 如果存在,则该值取自“host.hostname”字段,否则取自“server”字段。 | |
| event1.idm.read_only_udm.principal.ip | 如果存在,则该值取自“src”字段;否则,取自“src_ip”字段或“host.ip”字段。 | |
| event1.idm.read_only_udm.principal.mac | 该值取自“host.mac”字段。 | |
| event1.idm.read_only_udm.principal.platform | 如果“host_os_platform”字段为“centos”,则该值设置为“LINUX”,否则设置为“host_os_platform”字段的大写值。 | |
| event1.idm.read_only_udm.principal.platform_patch_level | 该值取自“host.os.kernel”字段。 | |
| event1.idm.read_only_udm.principal.platform_version | 该值取自“host.os.version”字段。 | |
| event1.idm.read_only_udm.principal.port | 该值取自“src_port”字段,该字段使用 grok 模式从“log.source.address”字段中提取。 | |
| event1.idm.read_only_udm.principal.user.user_display_name | 该值取自原始日志的“msg”字段中的“cs4”字段。 | |
| event1.idm.read_only_udm.principal.user.userid | 该值取自原始日志的“msg”字段中的“suser”字段,如果“thycotic_event”为“USER - LOGIN”“USER - LOGOUT”“USER - LOGINFAILURE”或“USER - EDIT”,则取自“By User”字段。 | |
| event1.idm.read_only_udm.security_result.action | 该值取自原始日志的“msg”字段中的“Action”字段。还可以根据“thycotic_event”的值将其设置为“ALLOW”或“BLOCK”。 | |
| event1.idm.read_only_udm.security_result.description | 该值取自“temp_message”字段,其中包含提取其他字段后“msg”字段的剩余部分。 | |
| event1.idm.read_only_udm.security_result.severity | 该值根据“syslog_severity”字段确定。例如,如果“syslog_severity”包含“error”或“warning”,则严重程度设置为“HIGH”。如果“thycotic_event”为“系统日志”,则严重程度设置为“信息”。 | |
| event1.idm.read_only_udm.security_result.severity_details | 该值取自“syslog_severity”字段。 | |
| event1.idm.read_only_udm.target.file.full_path | 如果“cs3”和“fname”字段都存在,则通过将这两个字段与“/”分隔符串联来构造该值。如果只存在一个字段,则值取自该字段。 | |
| event1.idm.read_only_udm.target.resource.product_object_id | 该值取自“type_id”字段。 | |
| event1.idm.read_only_udm.target.user.userid | 该值取自原始日志的“msg”字段中的“item_name”字段,如果“thycotic_event”为“USER - LOGIN”“USER - LOGOUT”“USER - LOGINFAILURE”或“USER - EDIT”,则取自“Item Name”字段。 | |
| events.timestamp.seconds | 该值派生自“rt”字段(如果存在),否则派生自“ts”字段。这两个字段都是使用 Grok 模式从原始日志中提取的。 | |
| rt | event1.idm.read_only_udm.metadata.event_timestamp.seconds | 该值取自原始日志的“msg”字段中的“rt”字段,用于设置事件时间戳。 |
| src | event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip | 该值取自原始日志的“msg”字段中的“src”字段。 |
| src_ip | event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip | 该值取自“src_ip”字段,该字段是使用 grok 模式从“log.source.address”字段中提取的。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。