Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Endpoint Protector DLP

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Netwrix Endpoint Protector DLP (Data Loss Protection) dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des messages syslog en utilisant des modèles Grok pour identifier les informations clés. Il mappe ensuite ces champs extraits au modèle de données unifié (UDM), en gérant différents types de données et en enrichissant la sortie avec des métadonnées telles que des informations sur le fournisseur et le produit. L'analyseur effectue également plusieurs transformations de données, y compris la manipulation de chaînes et la fusion conditionnelle de champs en fonction du système d'exploitation et d'autres critères.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié à Netwrix Endpoint Protector

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ENDPOINT_PROTECTOR_DLP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur Netwrix Endpoint Protector

Connectez-vous à l'UI Web Endpoint Protector.
Accédez à Appliance> SIEM Integration (Appliance > Intégration SIEM).
Cliquez sur Add New (Ajouter nouveau).
Fournissez les informations de configuration suivantes :
- État du SIEM : basculez le bouton pour activer le serveur SIEM.
- Désactiver la journalisation : basculez le bouton pour activer la journalisation.
- Nom du serveur : saisissez un nom de serveur unique et explicite.
- Description du serveur : ajoutez une description pour cette intégration.
- Adresse IP ou DNS du serveur : saisissez l'adresse IP de l'agent Bindplane.
- Protocole du serveur : sélectionnez UDP.
- Port du serveur : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Exclure les en-têtes : basculez le bouton pour activer les en-têtes de journaux.
- Types de journaux : sélectionnez les journaux disponibles à envoyer au SIEM.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`Client Computer`	`principal.asset.asset_id`	La valeur de `Client Computer` est attribuée à `principal.asset.asset_id` après avoir ajouté le préfixe "Client Computer: ".
`Client User`	`principal.user.userid`	La valeur de `Client User` est attribuée à `principal.user.userid`.
`Content Policy`	`security_result.rule_name`	La valeur de `Content Policy` est attribuée à `security_result.rule_name`.
`Content Policy Type`	`security_result.rule_id`	La valeur de `Content Policy Type` est attribuée à `security_result.rule_id`.
`Destination`	`metadata.ingestion_labels.value`	La valeur de `Destination` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Destination".
`Destination Type`	`metadata.ingestion_labels.value`	La valeur de `Destination Type` est attribuée au champ `value` d'un objet `ingestion_labels` dont le `key` est "Destination Type" (Type de destination).
`Device PID`	`metadata.ingestion_labels.value`	La valeur de `Device PID` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Device PID".
`Device Serial`	`metadata.ingestion_labels.value`	La valeur de `Device Serial` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Device Serial". Cette opération n'est effectuée que si `Device Serial` n'est pas vide.
`Device VID`	`metadata.ingestion_labels.value`	La valeur de `Device VID` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Device VID".
`File Name`	`target.file.full_path`	La valeur de `File Name` est attribuée à `target.file.full_path`.
`File Size`	`target.file.size`	La valeur de `File Size` est attribuée à `target.file.size` et convertie en entier non signé.
`IP Address`	`principal.ip`	La valeur de `IP Address` est attribuée à `principal.ip`.
`Item Details`	`metadata.ingestion_labels.value`	La valeur de `Item Details` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Détails de l'article".
`Log ID`	`metadata.product_log_id`	La valeur de `Log ID` est attribuée à `metadata.product_log_id`.
`MAC Address`	`principal.mac`	La valeur de `MAC Address` est attribuée à `principal.mac` après avoir remplacé tous les traits d'union par des deux-points.
`Matched Item`	`metadata.ingestion_labels.value`	La valeur de `Matched Item` est attribuée au champ `value` d'un objet `ingestion_labels` où `key` est "Matched Item" (Élément correspondant).
`Message`	`security_result.summary`	La valeur de `Message` est attribuée à `security_result.summary`.
`OS`	`principal.platform`	La valeur de `OS` est utilisée pour déterminer la valeur de `principal.platform`. Si `OS` contient "Windows", `principal.platform` est défini sur "WINDOWS". Si `OS` contient "Mac", `principal.platform` est défini sur "MAC". Si `OS` contient "Lin", `principal.platform` est défini sur "LINUX".
`Serial Number`	`principal.asset.hardware.serial_number`	La valeur de `Serial Number` est attribuée à `principal.asset.hardware.serial_number`. Extrait du champ de message à l'aide de grok et attribué à `intermediary.hostname`. Extrait du champ de message à l'aide de grok et attribué à `metadata.description`. L'horodatage du message syslog est analysé et attribué à `metadata.event_timestamp`. La valeur "SCAN_UNCATEGORIZED" est attribuée à `metadata.event_type`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.log_type`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.product_name`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.vendor_name`. Extrait du champ de message à l'aide de grok et attribué à `principal.hostname`. Extrait du champ de message à l'aide de grok et attribué à `principal.ip`. L'horodatage du message syslog est analysé et attribué au champ `timestamp` de premier niveau.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.