收集 Delinea Secret Server 日志

支持的语言:

本文档介绍了如何收集 Delinea(之前称为 Thycotic)Secret Server 日志。解析器会将原始日志转换为符合 Google Security Operations 统一数据模型 (UDM) 的结构化格式。它首先提取时间戳、事件类型和用户信息等关键字段,然后根据特定事件类型使用条件逻辑将数据映射到相应的 UDM 字段,最终丰富数据以供在 Google SecOps 中进行分析。

准备工作

请确保满足以下前提条件:

  • Google Security Operations 实例
  • Windows 2016 或更高版本或具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口处于开放状态
  • 对 Delinea Secrets Server 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件
    • 将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google Security Operations 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'THYCOTIC'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 根据基础架构的需要替换端口和 IP 地址。
    • <customer_id> 替换为实际的客户 ID。
    • 将“/path/to/ingestion-authentication-file.json”更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Thycotic Secret Server 以使用 Syslog 发送日志

  1. 使用管理员凭据登录 Thycotic Secret Server。
  2. 依次前往管理 > 配置
  3. 点击修改
  4. 选中启用 Syslog/CEF 日志记录复选框,然后指定以下详细信息:
    • Syslog/CEF 服务器:输入 Syslog 服务器/Bindplane 的 IP 地址。
    • Syslog/CEF 协议:选择 UDPTCP(具体取决于您的 Syslog 服务器或 Bindplane 配置)。
    • Syslog/CEF 端口:输入 Syslog 服务器或 Bindplane 配置为侦听的端口号。
  5. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
Account_Domain event1.idm.read_only_udm.principal.domain 该值取自原始日志的 msg 字段中的 Account_Domain 字段。
按用户 event1.idm.read_only_udm.principal.user.userid 该值取自原始日志的 msg 字段中的 By User 字段。
容器 ID event1.idm.read_only_udm.principal.asset.asset_id 该值取自原始日志的 msg 字段中的 Container Id 字段,并以 container_id: 为前缀。
容器名称 event1.idm.read_only_udm.principal.resource.name 该值取自原始日志的 msg 字段中的 Container name 字段。
cs2 event1.idm.read_only_udm.additional.fields[].value.string_value 该值取自原始日志的 msg 字段中的 cs2 字段。
cs3 event1.idm.read_only_udm.target.file.full_path 该值取自原始日志的 msg 字段中的 cs3 字段。
cs4 event1.idm.read_only_udm.principal.user.user_display_name 该值取自原始日志的 msg 字段中的 cs4 字段。
详细信息 event1.idm.read_only_udm.additional.fields[].value.string_value 该值取自原始日志的 msg 字段中的 Details 字段。
fname event1.idm.read_only_udm.target.file.full_path 该值取自原始日志的 msg 字段中的 fname 字段。
主机 event1.idm.read_only_udm.principal.hostname、event1.idm.read_only_udm.principal.asset.hostname 该值取自原始日志的 msg 字段中的 Host 字段。
内容名称 event1.idm.read_only_udm.target.user.userid 该值取自原始日志的 msg 字段中的 Item Name 字段。
event1.idm.read_only_udm.additional.fields[].key 该值已硬编码为 fname
event1.idm.read_only_udm.additional.fields[].key 该值已硬编码为 Group or User
event1.idm.read_only_udm.additional.fields[].key 该值已硬编码为 Details
event1.idm.read_only_udm.additional.fields[].key 该值已硬编码为 type_id
event1.idm.read_only_udm.extensions.auth.type 该值已硬编码为 MACHINE
event1.idm.read_only_udm.metadata.description 该值取自 thycotic_event 字段,该字段使用 grok 模式从原始日志中提取。
event1.idm.read_only_udm.metadata.event_timestamp.seconds 该值派生自 rt 字段(如果存在),否则派生自 ts 字段。这两个字段都是使用 Grok 模式从原始日志中提取的。
event1.idm.read_only_udm.metadata.event_type 该值根据 thycotic_event 字段和其他条件确定。例如,如果 thycotic_eventUSER - LOGIN,则事件类型设置为 USER_LOGIN
event1.idm.read_only_udm.metadata.log_type 该值已硬编码为 THYCOTIC
event1.idm.read_only_udm.metadata.product_event_type 该值取自 thycotic_event 字段,该字段使用 grok 模式从原始日志中提取。
event1.idm.read_only_udm.metadata.product_log_id 该值取自 action_id 字段,该字段使用 grok 模式从原始日志中提取。
event1.idm.read_only_udm.metadata.product_name 该值取自 device_product 字段,该字段使用 grok 模式从原始日志中提取。如果该字段为空,则值会硬编码为 Secret Server
event1.idm.read_only_udm.metadata.product_version 该值取自 device_version 字段,该字段使用 grok 模式从原始日志中提取。
event1.idm.read_only_udm.metadata.vendor_name 该值已硬编码为 Thycotic
event1.idm.read_only_udm.network.ip_protocol 如果 input.type 字段为 tcp,则该值设置为 TCP
event1.idm.read_only_udm.observer.application 如果存在,则该值取自 agent.type 字段;否则,该值会硬编码为 Secret Server
event1.idm.read_only_udm.observer.asset_id 该值设置为 Agent ID:agent.id 字段的串联。
event1.idm.read_only_udm.observer.hostname 如果存在,则该值取自 agent.hostname 字段;否则,取自 server 字段。
event1.idm.read_only_udm.observer.platform_version 该值取自 agent.version 字段。
event1.idm.read_only_udm.observer.user.userid 该值取自 agent.name 字段。
event1.idm.read_only_udm.principal.asset.asset_id 该值设置为 ID:host.id 字段的串联。
event1.idm.read_only_udm.principal.asset.hardware.cpu_platform 该值取自 host.architecture 字段。
event1.idm.read_only_udm.principal.asset.hostname 如果存在,则该值取自 server 字段;否则,取自 host.hostname 字段。
event1.idm.read_only_udm.principal.asset.ip 如果存在,则该值取自 src 字段;否则,取自 src_ip 字段。
event1.idm.read_only_udm.principal.hostname 如果存在,则该值取自 host.hostname 字段;否则,取自 server 字段。
event1.idm.read_only_udm.principal.ip 如果存在,则该值取自 src 字段;否则,取自 src_ip 字段或 host.ip 字段。
event1.idm.read_only_udm.principal.mac 该值取自 host.mac 字段。
event1.idm.read_only_udm.principal.platform 如果 host_os_platform 字段为 centos,则该值设置为 LINUX;否则,该值设置为 host_os_platform 字段的大写值。
event1.idm.read_only_udm.principal.platform_patch_level 该值取自 host.os.kernel 字段。
event1.idm.read_only_udm.principal.platform_version 该值取自 host.os.version 字段。
event1.idm.read_only_udm.principal.port 该值取自 src_port 字段,该字段使用 grok 模式从 log.source.address 字段中提取。
event1.idm.read_only_udm.principal.user.user_display_name 该值取自原始日志的 msg 字段中的 cs4 字段。
event1.idm.read_only_udm.principal.user.userid 该值取自原始日志的 msg 字段中的 suser 字段,如果 thycotic_eventUSER - LOGINUSER - LOGOUTUSER - LOGINFAILUREUSER - EDIT,则取自 By User 字段。
event1.idm.read_only_udm.security_result.action 该值取自原始日志的 msg 字段中的 Action 字段。也可以根据 thycotic_event 的值将其设置为 ALLOWBLOCK
event1.idm.read_only_udm.security_result.description 该值取自 temp_message 字段,其中包含提取其他字段后 msg 字段的剩余部分。
event1.idm.read_only_udm.security_result.severity 该值根据 syslog_severity 字段确定。例如,如果 syslog_severity 包含 errorwarning,则严重程度设置为 HIGH。如果 thycotic_eventSystem Log,则严重程度设置为 INFORMATIONAL
event1.idm.read_only_udm.security_result.severity_details 该值取自 syslog_severity 字段。
event1.idm.read_only_udm.target.file.full_path 如果 cs3fname 字段都存在,则通过使用 / 分隔符连接这两个字段来构造该值。如果只存在一个字段,则值取自该字段。
event1.idm.read_only_udm.target.resource.product_object_id 该值取自 type_id 字段。
event1.idm.read_only_udm.target.user.userid 该值取自原始日志的 msg 字段中的 item_name 字段,如果 thycotic_eventUSER - LOGINUSER - LOGOUTUSER - LOGINFAILUREUSER - EDIT,则取自 Item Name 字段。
events.timestamp.seconds 该值派生自 rt 字段(如果存在),否则派生自 ts 字段。这两个字段都是使用 Grok 模式从原始日志中提取的。
rt event1.idm.read_only_udm.metadata.event_timestamp.seconds 该值取自原始日志的 msg 字段中的 rt 字段,用于设置事件时间戳。
src event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip 该值取自原始日志的 msg 字段中的 src 字段。
src_ip event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip 该值取自 src_ip 字段,该字段使用 grok 模式从 log.source.address 字段中提取。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。