Recoger registros de Epic Systems
Disponible en:
SecOps de Google
SIEM
En este documento se explica cómo recoger registros de Epic Systems en Google Security Operations mediante un agente de Bindplane. El analizador transforma los registros sin procesar del sistema de EHR/EMR de Epic en un modelo de datos unificado (UDM). Primero, limpia y estructura los mensajes de registro, extrae los pares clave-valor y, a continuación, asigna los campos extraídos a los campos de UDM correspondientes. Además, gestiona varios formatos de registro e incoherencias de datos para asegurar una representación de los datos completa y estandarizada.
Antes de empezar
- Asegúrate de que tienes una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con
systemd. - Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
- Asegúrate de que tienes acceso con privilegios a Epic Systems.
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instalar el agente de Bindplane
Instalación de ventanas
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre un terminal con privilegios de superusuario o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para ver otras opciones de instalación, consulta esta guía de instalación.
Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Busca el archivo
config.yaml. Normalmente, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Busca el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: EPIC raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar el servicio SendSIEMSyslogAudit
- Inicia sesión en la consola de Epic Systems.
- Ve a Inicio > Epic > Interconnect >
<your instance>> Editor de configuración. - Selecciona el formulario Servicios para empresas.
- En la pestaña Categoría de servicio, selecciona SendSIEMSyslogAudit.
- Haz clic en Guardar.
Configurar Epic Systems para exportar syslog
- Ve a Definiciones del sistema de Epic > Seguridad > Opciones de auditoría > Ajustes de syslog de SIEM.
- Proporcione los siguientes detalles de configuración:
- Host: introduce la dirección IP del agente de Bindplane.
- Puerto: introduce el número de puerto del agente de Bindplane.
- Formato SIEM: selecciona CEF (Common Event Format).
- Carácter de final de syslog: selecciona Nueva línea "\n".
- En el menú Configuración de syslog de SIEM, selecciona Syslog de SIEM.
- Haz clic en Habilitado.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| APIID | read_only_udm.additional.fields.api.value.string_value | El valor se toma del campo APIID del registro sin procesar. |
| APPLICATIONID | read_only_udm.additional.fields.application_id.value.string_value | El valor se toma del campo APPLICATIONID del registro sin procesar. |
| APP | read_only_udm.target.application | El valor se toma del campo APP del registro sin procesar. |
| SESIÓN DE AUDITORÍA | read_only_udm.network.session_id | El valor se toma del campo AUDIT SESSION del registro sin procesar. |
| AUTH_SOURCE | Este campo no está asignado a UDM | |
| BCAPCS | read_only_udm.target.application | El valor se toma del campo BCAPCS del registro sin procesar. |
| BTGEXPLANATION | read_only_udm.security_result.description | El valor se toma del campo BTGEXPLANATION del registro sin procesar. |
| BTGNOACCESSREAS | read_only_udm.security_result.summary | El valor se toma del campo BTGNOACCESSREAS del registro sin procesar. |
| BTGREASON | read_only_udm.security_result.summary | El valor se toma del campo BTGREASON del registro sin procesar. |
| CLIENTNAME | read_only_udm.principal.hostname | El valor se toma del campo CLIENTNAME del registro sin procesar. |
| CSISESS_TOKEN | read_only_udm.network.session_id | El valor se toma del campo CSISESS_TOKEN del registro sin procesar. |
| CTXT | read_only_udm.metadata.description | El valor se toma del campo CTXT del registro sin procesar. |
| CVG | read_only_udm.additional.fields.cvg.value.string_value | El valor se toma del campo CVG del registro sin procesar. |
| DAT | Este campo no está asignado a UDM | |
| DEP | read_only_udm.principal.user.department | El valor se toma del campo DEP del registro sin procesar. Si los campos NEWDEPARTMENT y PREVDEPARTMENT existen en el registro sin procesar, el valor será PREVDEPARTMENT:-{PREVDEPARTMENT}, NEWDEPARTMENT:-{NEWDEPARTMENT}. Si solo existe NEWDEPARTMENT, el valor será PREVDEPARTMENT:-NONE, NEWDEPARTMENT:{NEWDEPARTMENT}. Si solo existe PREVDEPARTMENT, el valor será PREVDEPARTMENT:{PREVDEPARTMENT}, NEWDEPARTMENT:-NONE. |
| devTime | read_only_udm.metadata.event_timestamp | El valor se toma del campo devTime del registro sin procesar y se convierte a segundos transcurridos desde el inicio del registro de tiempo. |
| devTimeFormat | Este campo no está asignado a UDM | |
| E3MID | read_only_udm.network.session_id | El valor se toma del campo E3MID del registro sin procesar. |
| ENCRIPTADO | read_only_udm.additional.fields.encrypt.value.string_value | El valor se toma del campo ENCRYPTED del registro sin procesar. |
| ERRMSG | read_only_udm.security_result.summary | El valor se toma del campo ERRMSG del registro sin procesar. |
| eventCnt | Este campo no está asignado a UDM | |
| FILENAME | read_only_udm.target.file.full_path | El valor se toma del campo FILENAME del registro sin procesar y todas las instancias de \\\\ se sustituyen por \. |
| bandera | read_only_udm.security_result.description | El valor se toma del campo de marca del registro sin procesar y se eliminan todos los - iniciales y finales. |
| HKUAPVER | read_only_udm.metadata.product_version | El valor se toma del campo HKUAPVER del registro sin procesar. |
| HKUDVCID | read_only_udm.principal.asset_id | El valor se toma del campo HKUDVCID del registro sin procesar y se le da el formato Device ID:{HKUDVCID}. |
| HKUOSNAM | read_only_udm.principal.platform | El valor se toma del campo HKUOSNAM del registro sin procesar y se asigna a WINDOWS, MAC, LINUX o UNKNOWN_PLATFORM en función del valor. |
| HKUOSVER | read_only_udm.principal.platform_version | El valor se toma del campo HKUOSVER del registro sin procesar. |
| INSTANCEURN | read_only_udm.intermediary.hostname | El valor se toma del campo INSTANCEURN del registro sin procesar. |
| IP | read_only_udm.target.ip | El valor se toma del campo IP del registro sin procesar. Si el valor contiene /, se divide en dos direcciones IP. Si el valor contiene ,, se divide en varias direcciones IP. |
| LOGINERROR | read_only_udm.security_result.summary | El valor se toma del campo LOGINERROR del registro sin procesar. |
| LOGIN_CONTEXT | read_only_udm.metadata.description | El valor se toma del campo LOGIN_CONTEXT del registro sin procesar. |
| LOGIN_DEVICE | read_only_udm.additional.fields.login_device.value.string_value | El valor se toma del campo LOGIN_DEVICE del registro sin procesar. |
| LOGIN_LDAP_ID | read_only_udm.principal.user.userid | El valor se toma del campo LOGIN_LDAP_ID del registro sin procesar. |
| LOGIN_REASON | read_only_udm.security_result.summary | El valor se toma del campo LOGIN_REASON del registro sin procesar. |
| LOGIN_REVAL | read_only_udm.additional.fields.login_reval.value.string_value | El valor se toma del campo LOGIN_REVAL del registro sin procesar. |
| MASKMODE | read_only_udm.additional.fields.masked_mode.value.string_value | El valor se toma del campo MASKMODE del registro sin procesar. |
| MYCACCT | read_only_udm.principal.user.userid | El valor se toma del campo MYCACCT del registro sin procesar. |
| NEWDEPARTMENT | read_only_udm.principal.user.department | Ver la lógica del campo DEP |
| NEWUSER | Este campo no está asignado a UDM | |
| NSC | read_only_udm.additional.fields.nsc.value.string_value | El valor se toma del campo NSC del registro sin procesar. |
| OSUSR | read_only_udm.target.user.userid | El valor se toma del campo OSUSR del registro sin procesar. |
| PACIENTE | read_only_udm.target.user.userid | El valor se toma del campo PATIENT del registro sin procesar. |
| PREVDEPARTMENT | read_only_udm.principal.user.department | Ver la lógica del campo DEP |
| PREVPROVIDER | Este campo no está asignado a UDM | |
| PREVUSER | read_only_udm.principal.resource.attribute.labels.prev_user.value | El valor se toma del campo PREVUSER del registro sin procesar. |
| PWREASON | read_only_udm.metadata.description | El valor se toma del campo PWREASON del registro sin procesar. |
| PUESTOS | read_only_udm.principal.user.attribute.roles.name | El valor se toma del campo ROLE del registro sin procesar. |
| recurso | read_only_udm.target.hostname | El valor se toma del campo de recurso del registro sin procesar |
| SERVICEID | read_only_udm.additional.fields.service_id.value.string_value | El valor se toma del campo SERVICEID del registro sin procesar. |
| SERVICECATEGORY | read_only_udm.additional.fields.service_category.value.string_value | El valor se toma del campo SERVICECATEGORY del registro sin procesar. |
| SERVICEMSGID | Este campo no está asignado a UDM | |
| SERVICENAME | read_only_udm.target.resource.name | El valor se toma del campo SERVICENAME del registro sin procesar. |
| SERVICETYPE | read_only_udm.target.resource.type | El valor se toma del campo SERVICETYPE del registro sin procesar. Si event_id es PHI_CLIENT_FILE, el valor se define como FILE. |
| SERVICE_USER | read_only_udm.target.user.userid | El valor se toma del campo SERVICE_USER del registro sin procesar. |
| SERVICE_USERTYP | read_only_udm.additional.fields.service_user_type.value.string_value | El valor se toma del campo SERVICE_USERTYP del registro sin procesar. |
| sev | read_only_udm.security_result.severity | El valor se toma del campo sev del registro sin procesar y se asigna a LOW, HIGH o CRITICAL en función del valor. |
| shost | read_only_udm.target.resource.attribute.labels.workstation_type.value | El valor se toma del campo shost del registro sin procesar. |
| FUENTE | read_only_udm.additional.fields.login_source.value.string_value | El valor se toma del campo SOURCE del registro sin procesar. |
| SE HA REALIZADO CORRECTAMENTE | read_only_udm.additional.fields.success_yes_no.value.string_value | El valor se toma del campo SUCCESS del registro sin procesar. |
| TIEMPO DE ESPERA AGOTADO | read_only_udm.additional.fields.time_out.value.string_value | El valor se toma del campo TIMEOUT del registro sin procesar. |
| ID único | read_only_udm.principal.user.userid | El valor se toma del campo UID del registro sin procesar. |
| USERJOB | Este campo no está asignado a UDM | |
| usrName | read_only_udm.principal.user.userid, read_only_udm.principal.user.user_display_name | Si los campos UID o LOGIN_LDAP_ID están en el registro sin procesar, usrName se usa para read_only_udm.principal.user.user_display_name y el otro campo se usa para read_only_udm.principal.user.userid. De lo contrario, se usa usrName para read_only_udm.principal.user.userid. |
| WEBLGAPP | read_only_udm.target.application | El valor se toma del campo WEBLGAPP del registro sin procesar. |
| read_only_udm.extensions.auth.type | El valor se asigna a SSO si LOGIN_LDAP_ID no está vacío. De lo contrario, se le asigna el valor AUTHTYPE_UNSPECIFIED. |
|
| read_only_udm.intermediary.ip | El valor que se asigna es el de la dirección IP de la fuente de registro. | |
| read_only_udm.metadata.event_type | El valor es RESOURCE_READ si event_id es IC_SERVICE_AUDIT, AC_BREAK_THE_GLASS_FAILED_ACCESS, AC_BREAK_THE_GLASS_INAPPROPRIATE_ATTEMPT, AC_BREAK_THE_GLASS_ACCESS o MCMEMEDISA y target_ip_set es true o resource no está vacío. El valor es USER_LOGIN si event_id es uno de los siguientes: FAILEDLOGIN, LOGIN, ROVER_FAILED_LOGIN, SWITCHUSER, AUTHENTICATION, EW_LOGIN, ROVER_LOGIN, CTO_FAILED_LOGIN, CTO_LOGIN, HKU_FAILED_LOGIN, HKU_LOGIN, WPSEC_SEC_AUTH_OPT_OUT, WPSEC_SEC_AUTH_OPT_IN, BCA_LOGIN_FAILURE, BCA_LOGIN_SUCCESS, BCA_USER_LOCKED, WPSEC_LOGIN_FAIL o WPSEC_LOGIN_SUCCESS, y al menos uno de los siguientes campos no está vacío: target_ip_set, resource, SERVICENAME, SERVICETYPE o shost. El valor se define como USER_CHANGE_PASSWORD si event_id es uno de los siguientes: E_ADMINPASSWORDCHANGE, E_FAILEDPASSWORDCHANGE, E_SELFPASSWORDCHANGE, WPSEC_USER_PASSWORD_CHANGE_FAIL o WPSEC_USER_PASSWORD_CHANGE. El valor es USER_UNCATEGORIZED si event_id es CONTEXTCHANGE. El valor es USER_RESOURCE_ACCESS si event_id es SECURE, UNSECURE, MASKED_DATA_DISPLAY o MASKED_DATA_PRINTING. El valor es USER_RESOURCE_UPDATE_CONTENT si event_id es PHI_CLIENT_FILE. El valor se define como STATUS_UPDATE si CLIENTNAME no está vacío. El valor se define como USER_UNCATEGORIZED si prin_usr_id no está vacío. De lo contrario, se le asigna el valor GENERIC_EVENT. |
|
| read_only_udm.metadata.log_type | El valor se ha definido como EPIC. |
|
| read_only_udm.metadata.product_name | El valor se ha definido como Epic Systems. |
|
| read_only_udm.metadata.vendor_name | El valor se ha definido como EPIC. |
|
| read_only_udm.network.ip_protocol | El valor se deriva del campo proto del registro sin procesar y se asigna al nombre del protocolo IP correspondiente. | |
| read_only_udm.principal.resource.attribute.labels.workstation_type.key | El valor se ha definido como Workstation ID/Type. |
|
| read_only_udm.principal.resource.attribute.labels.prev_user.key | El valor se ha definido como Prev User. |
|
| read_only_udm.security_result.action | El valor es BLOCK si los campos ERRMSG o LOGINERROR están en el registro sin procesar. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.