Recopila registros de Epic Systems
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo recopilar registros de Epic Systems en Google Security Operations con un agente de Bindplane. El analizador transforma los registros sin procesar del sistema de HCE/HME de Epic en un modelo de datos unificado (UDM). Primero, limpia y estructura los mensajes de registro, extrae pares clave-valor y, luego, asigna los campos extraídos a los campos correspondientes del UDM, controlando varios formatos de registro y las inconsistencias de los datos para garantizar una representación de datos integral y estandarizada.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd. - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a Epic Systems.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: EPIC raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura el servicio SendSIEMSyslogAudit
- Accede a la consola de Epic Systems.
- Ve a Inicio > Epic > Interconnect >
<your instance>> Editor de configuración. - Selecciona el formulario Servicios empresariales.
- En la pestaña Categoría de servicio, selecciona SendSIEMSyslogAudit.
- Haz clic en Guardar.
Configura Epic Systems para exportar syslog
- Ve a Epic system definitions > Security > Auditing options > SIEM syslog settings.
- Proporciona los siguientes detalles de configuración:
- Host: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa el número de puerto del agente de Bindplane.
- Formato de SIEM: Selecciona CEF (formato de evento común).
- Carácter final de Syslog: Selecciona Nueva línea "\n".
- En el menú Configuración de syslog del SIEM, selecciona Syslog del SIEM.
- Haz clic en Habilitado.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| APIID | read_only_udm.additional.fields.api.value.string_value | El valor se toma del campo APIID en el registro sin procesar. |
| APPLICATIONID | read_only_udm.additional.fields.application_id.value.string_value | El valor se toma del campo APPLICATIONID en el registro sin procesar. |
| APP | read_only_udm.target.application | El valor se toma del campo APP en el registro sin procesar. |
| SESIÓN DE AUDITORÍA | read_only_udm.network.session_id | El valor se toma del campo AUDIT SESSION en el registro sin procesar. |
| AUTH_SOURCE | Este campo no está asignado al UDM | |
| BCAPCS | read_only_udm.target.application | El valor se toma del campo BCAPCS en el registro sin procesar. |
| BTGEXPLANATION | read_only_udm.security_result.description | El valor se toma del campo BTGEXPLANATION en el registro sin procesar. |
| BTGNOACCESSREAS | read_only_udm.security_result.summary | El valor se toma del campo BTGNOACCESSREAS en el registro sin procesar. |
| BTGREASON | read_only_udm.security_result.summary | El valor se toma del campo BTGREASON en el registro sin procesar. |
| CLIENTNAME | read_only_udm.principal.hostname | El valor se toma del campo CLIENTNAME en el registro sin procesar. |
| CSISESS_TOKEN | read_only_udm.network.session_id | El valor se toma del campo CSISESS_TOKEN en el registro sin procesar. |
| CTXT | read_only_udm.metadata.description | El valor se toma del campo CTXT en el registro sin procesar. |
| CVG | read_only_udm.additional.fields.cvg.value.string_value | El valor se toma del campo CVG en el registro sin procesar. |
| DAT | Este campo no está asignado al UDM | |
| DEP | read_only_udm.principal.user.department | El valor se toma del campo DEP en el registro sin procesar. Si ambos campos, NEWDEPARTMENT y PREVDEPARTMENT, existen en el registro sin procesar, el valor será PREVDEPARTMENT:-{PREVDEPARTMENT}, NEWDEPARTMENT:-{NEWDEPARTMENT}. Si solo existe NEWDEPARTMENT, el valor será PREVDEPARTMENT:-NONE, NEWDEPARTMENT:{NEWDEPARTMENT}. Si solo existe PREVDEPARTMENT, el valor será PREVDEPARTMENT:{PREVDEPARTMENT}, NEWDEPARTMENT:-NONE. |
| devTime | read_only_udm.metadata.event_timestamp | El valor se toma del campo devTime en el registro sin procesar y se convierte en segundos desde la época. |
| devTimeFormat | Este campo no está asignado al UDM | |
| E3MID | read_only_udm.network.session_id | El valor se toma del campo E3MID en el registro sin procesar. |
| ENCRIPTADO | read_only_udm.additional.fields.encrypt.value.string_value | El valor se toma del campo ENCRYPTED en el registro sin procesar. |
| ERRMSG | read_only_udm.security_result.summary | El valor se toma del campo ERRMSG en el registro sin procesar. |
| eventCnt | Este campo no está asignado al UDM | |
| FILENAME | read_only_udm.target.file.full_path | El valor se toma del campo FILENAME en el registro sin procesar y todos los casos de \\\\ se reemplazan por \. |
| marca | read_only_udm.security_result.description | El valor se toma del campo de marcas en el registro sin procesar y se quitan todos los - iniciales y finales. |
| HKUAPVER | read_only_udm.metadata.product_version | El valor se toma del campo HKUAPVER en el registro sin procesar. |
| HKUDVCID | read_only_udm.principal.asset_id | El valor se toma del campo HKUDVCID en el registro sin procesar y se formatea como Device ID:{HKUDVCID}. |
| HKUOSNAM | read_only_udm.principal.platform | El valor se toma del campo HKUOSNAM en el registro sin procesar y se asigna a WINDOWS, MAC, LINUX o UNKNOWN_PLATFORM según el valor. |
| HKUOSVER | read_only_udm.principal.platform_version | El valor se toma del campo HKUOSVER en el registro sin procesar. |
| INSTANCEURN | read_only_udm.intermediary.hostname | El valor se toma del campo INSTANCEURN en el registro sin procesar. |
| IP | read_only_udm.target.ip | El valor se toma del campo IP en el registro sin procesar. Si el valor contiene /, se divide en dos direcciones IP. Si el valor contiene ,, se divide en varias direcciones IP. |
| LOGINERROR | read_only_udm.security_result.summary | El valor se toma del campo LOGINERROR en el registro sin procesar. |
| LOGIN_CONTEXT | read_only_udm.metadata.description | El valor se toma del campo LOGIN_CONTEXT en el registro sin procesar. |
| LOGIN_DEVICE | read_only_udm.additional.fields.login_device.value.string_value | El valor se toma del campo LOGIN_DEVICE en el registro sin procesar. |
| LOGIN_LDAP_ID | read_only_udm.principal.user.userid | El valor se toma del campo LOGIN_LDAP_ID en el registro sin procesar. |
| LOGIN_REASON | read_only_udm.security_result.summary | El valor se toma del campo LOGIN_REASON en el registro sin procesar. |
| LOGIN_REVAL | read_only_udm.additional.fields.login_reval.value.string_value | El valor se toma del campo LOGIN_REVAL en el registro sin procesar. |
| MASKMODE | read_only_udm.additional.fields.masked_mode.value.string_value | El valor se toma del campo MASKMODE en el registro sin procesar. |
| MYCACCT | read_only_udm.principal.user.userid | El valor se toma del campo MYCACCT en el registro sin procesar. |
| NEWDEPARTMENT | read_only_udm.principal.user.department | Consulta la lógica del campo DEP |
| NEWUSER | Este campo no está asignado al UDM | |
| NSC | read_only_udm.additional.fields.nsc.value.string_value | El valor se toma del campo NSC en el registro sin procesar. |
| OSUSR | read_only_udm.target.user.userid | El valor se toma del campo OSUSR en el registro sin procesar. |
| PACIENTE | read_only_udm.target.user.userid | El valor se toma del campo PATIENT en el registro sin procesar. |
| PREVDEPARTMENT | read_only_udm.principal.user.department | Consulta la lógica del campo DEP |
| PREVPROVIDER | Este campo no está asignado al UDM | |
| PREVUSER | read_only_udm.principal.resource.attribute.labels.prev_user.value | El valor se toma del campo PREVUSER en el registro sin procesar. |
| PWREASON | read_only_udm.metadata.description | El valor se toma del campo PWREASON en el registro sin procesar. |
| ROL | read_only_udm.principal.user.attribute.roles.name | El valor se toma del campo ROLE en el registro sin procesar. |
| recurso | read_only_udm.target.hostname | El valor se toma del campo de recursos en el registro sin procesar. |
| SERVICEID | read_only_udm.additional.fields.service_id.value.string_value | El valor se toma del campo SERVICEID en el registro sin procesar. |
| SERVICECATEGORY | read_only_udm.additional.fields.service_category.value.string_value | El valor se toma del campo SERVICECATEGORY en el registro sin procesar. |
| SERVICEMSGID | Este campo no está asignado al UDM | |
| SERVICENAME | read_only_udm.target.resource.name | El valor se toma del campo SERVICENAME en el registro sin procesar. |
| SERVICETYPE | read_only_udm.target.resource.type | El valor se toma del campo SERVICETYPE en el registro sin procesar. Si event_id es PHI_CLIENT_FILE, el valor se establece en FILE. |
| SERVICE_USER | read_only_udm.target.user.userid | El valor se toma del campo SERVICE_USER en el registro sin procesar. |
| SERVICE_USERTYP | read_only_udm.additional.fields.service_user_type.value.string_value | El valor se toma del campo SERVICE_USERTYP en el registro sin procesar. |
| sev | read_only_udm.security_result.severity | El valor se toma del campo sev en el registro sin procesar y se asigna a LOW, HIGH o CRITICAL según el valor. |
| shost | read_only_udm.target.resource.attribute.labels.workstation_type.value | El valor se toma del campo shost en el registro sin procesar. |
| FUENTE | read_only_udm.additional.fields.login_source.value.string_value | El valor se toma del campo SOURCE en el registro sin procesar. |
| SUCCESS | read_only_udm.additional.fields.success_yes_no.value.string_value | El valor se toma del campo SUCCESS en el registro sin procesar. |
| TIMEOUT | read_only_udm.additional.fields.time_out.value.string_value | El valor se toma del campo TIMEOUT en el registro sin procesar. |
| UID | read_only_udm.principal.user.userid | El valor se toma del campo UID en el registro sin procesar. |
| USERJOB | Este campo no está asignado al UDM | |
| usrName | read_only_udm.principal.user.userid, read_only_udm.principal.user.user_display_name | Si existen los campos UID o LOGIN_LDAP_ID en el registro sin procesar, se usa usrName para read_only_udm.principal.user.user_display_name y el otro campo se usa para read_only_udm.principal.user.userid. De lo contrario, se usa usrName para read_only_udm.principal.user.userid. |
| WEBLGAPP | read_only_udm.target.application | El valor se toma del campo WEBLGAPP en el registro sin procesar. |
| read_only_udm.extensions.auth.type | El valor se establece en SSO si LOGIN_LDAP_ID no está vacío. De lo contrario, el valor se establece en AUTHTYPE_UNSPECIFIED. |
|
| read_only_udm.intermediary.ip | El valor se establece en la dirección IP de la fuente de registro. | |
| read_only_udm.metadata.event_type | El valor se establece en RESOURCE_READ si event_id es uno de los siguientes: IC_SERVICE_AUDIT, AC_BREAK_THE_GLASS_FAILED_ACCESS, AC_BREAK_THE_GLASS_INAPPROPRIATE_ATTEMPT, AC_BREAK_THE_GLASS_ACCESS o MCMEMEDISA, y target_ip_set es true o el recurso no está vacío. El valor se establece en USER_LOGIN si event_id es uno de los siguientes: FAILEDLOGIN, LOGIN, ROVER_FAILED_LOGIN, SWITCHUSER, AUTHENTICATION, EW_LOGIN, ROVER_LOGIN, CTO_FAILED_LOGIN, CTO_LOGIN, HKU_FAILED_LOGIN, HKU_LOGIN, WPSEC_SEC_AUTH_OPT_OUT, WPSEC_SEC_AUTH_OPT_IN, BCA_LOGIN_FAILURE, BCA_LOGIN_SUCCESS, BCA_USER_LOCKED, WPSEC_LOGIN_FAIL o WPSEC_LOGIN_SUCCESS, y al menos uno de los campos target_ip_set, resource, SERVICENAME, SERVICETYPE o shost no está vacío. El valor se establece en USER_CHANGE_PASSWORD si event_id es uno de los siguientes: E_ADMINPASSWORDCHANGE, E_FAILEDPASSWORDCHANGE, E_SELFPASSWORDCHANGE, WPSEC_USER_PASSWORD_CHANGE_FAIL o WPSEC_USER_PASSWORD_CHANGE. El valor se establece en USER_UNCATEGORIZED si event_id es CONTEXTCHANGE. El valor se establece en USER_RESOURCE_ACCESS si event_id es uno de los siguientes: SECURE, UNSECURE, MASKED_DATA_DISPLAY o MASKED_DATA_PRINTING. El valor se establece en USER_RESOURCE_UPDATE_CONTENT si event_id es PHI_CLIENT_FILE. El valor se establece en STATUS_UPDATE si CLIENTNAME no está vacío. El valor se establece en USER_UNCATEGORIZED si prin_usr_id no está vacío. De lo contrario, el valor se establece en GENERIC_EVENT. |
|
| read_only_udm.metadata.log_type | El valor se establece en EPIC. |
|
| read_only_udm.metadata.product_name | El valor se establece en Epic Systems. |
|
| read_only_udm.metadata.vendor_name | El valor se establece en EPIC. |
|
| read_only_udm.network.ip_protocol | El valor se deriva del campo proto en el registro sin procesar y se asigna al nombre del protocolo IP correspondiente. | |
| read_only_udm.principal.resource.attribute.labels.workstation_type.key | El valor se establece en Workstation ID/Type. |
|
| read_only_udm.principal.resource.attribute.labels.prev_user.key | El valor se establece en Prev User. |
|
| read_only_udm.security_result.action | El valor se establece en BLOCK si los campos ERRMSG o LOGINERROR existen en el registro sin procesar. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.