Esta página foi traduzida pela API Cloud Translation.

Coletar registros de DLP do Endpoint Protector

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros de DLP (proteção contra perda de dados) do Netwrix Endpoint Protector no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens syslog, aproveitando padrões grok para identificar informações importantes. Em seguida, ele mapeia esses campos extraídos para o modelo unificado de dados (UDM, na sigla em inglês), processando vários tipos de dados e enriquecendo a saída com metadados, como informações de fornecedor e produto. O analisador também realiza várias transformações de dados, incluindo manipulação de strings e mesclagem condicional de campos com base no sistema operacional e em outros critérios.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Netwrix Endpoint Protector.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ENDPOINT_PROTECTOR_DLP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Netwrix Endpoint Protector

Faça login na UI da Web do Endpoint Protector.
Acesse Appliance > SIEM Integration.
Clique em Add New.
Informe os seguintes detalhes de configuração:
- Status do SIEM: mude a chave para ativar o servidor SIEM.
- Desativar a geração de registros: mude a chave para ativar a geração de registros.
- Nome do servidor: insira um nome exclusivo e significativo.
- Descrição do servidor: adicione uma descrição para essa integração.
- IP ou DNS do servidor: insira o endereço IP do agente do Bindplane.
- Protocolo do servidor: selecione UDP.
- Porta do servidor: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
- Excluir cabeçalhos: alterne a chave para ativar os cabeçalhos de registros.
- Tipos de registros: selecione os registros disponíveis para enviar ao SIEM.
Clique em Salvar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`Client Computer`	`principal.asset.asset_id`	O valor de `Client Computer` é atribuído a `principal.asset.asset_id` depois de adicionar "Client Computer: ".
`Client User`	`principal.user.userid`	O valor de `Client User` é atribuído a `principal.user.userid`.
`Content Policy`	`security_result.rule_name`	O valor de `Content Policy` é atribuído a `security_result.rule_name`.
`Content Policy Type`	`security_result.rule_id`	O valor de `Content Policy Type` é atribuído a `security_result.rule_id`.
`Destination`	`metadata.ingestion_labels.value`	O valor de `Destination` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "Destination".
`Destination Type`	`metadata.ingestion_labels.value`	O valor de `Destination Type` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "Tipo de destino".
`Device PID`	`metadata.ingestion_labels.value`	O valor de `Device PID` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "PID do dispositivo".
`Device Serial`	`metadata.ingestion_labels.value`	O valor de `Device Serial` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "Número de série do dispositivo". Isso só será feito se `Device Serial` não estiver vazio.
`Device VID`	`metadata.ingestion_labels.value`	O valor de `Device VID` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "VID do dispositivo".
`File Name`	`target.file.full_path`	O valor de `File Name` é atribuído a `target.file.full_path`.
`File Size`	`target.file.size`	O valor de `File Size` é atribuído a `target.file.size` e convertido em um número inteiro sem sinal.
`IP Address`	`principal.ip`	O valor de `IP Address` é atribuído a `principal.ip`.
`Item Details`	`metadata.ingestion_labels.value`	O valor de `Item Details` é atribuído ao campo `value` de um objeto `ingestion_labels` em que `key` é "Detalhes do item".
`Log ID`	`metadata.product_log_id`	O valor de `Log ID` é atribuído a `metadata.product_log_id`.
`MAC Address`	`principal.mac`	O valor de `MAC Address` é atribuído a `principal.mac` depois de substituir todos os hífens por dois-pontos.
`Matched Item`	`metadata.ingestion_labels.value`	O valor de `Matched Item` é atribuído ao campo `value` de um objeto `ingestion_labels` em que o `key` é "Item correspondente".
`Message`	`security_result.summary`	O valor de `Message` é atribuído a `security_result.summary`.
`OS`	`principal.platform`	O valor de `OS` é usado para determinar o valor de `principal.platform`. Se `OS` contiver "Windows", `principal.platform` será definido como "WINDOWS". Se `OS` contiver "Mac", `principal.platform` será definido como "MAC". Se `OS` contiver "Lin", `principal.platform` será definido como "LINUX".
`Serial Number`	`principal.asset.hardware.serial_number`	O valor de `Serial Number` é atribuído a `principal.asset.hardware.serial_number`. Extraído do campo de mensagem usando grok e atribuído a `intermediary.hostname`. Extraído do campo de mensagem usando grok e atribuído a `metadata.description`. O carimbo de data/hora da mensagem do syslog é analisado e atribuído a `metadata.event_timestamp`. O valor "SCAN_UNCATEGORIZED" é atribuído a `metadata.event_type`. O valor "ENDPOINT_PROTECTOR_DLP" é atribuído a `metadata.log_type`. O valor "ENDPOINT_PROTECTOR_DLP" é atribuído a `metadata.product_name`. O valor "ENDPOINT_PROTECTOR_DLP" é atribuído a `metadata.vendor_name`. Extraído do campo de mensagem usando grok e atribuído a `principal.hostname`. Extraído do campo de mensagem usando grok e atribuído a `principal.ip`. O carimbo de data/hora da mensagem do syslog é analisado e atribuído ao campo `timestamp` de nível superior.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.