Collecter les journaux Epic Systems

Compatible avec :

Ce document explique comment collecter les journaux Epic Systems dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur transforme les journaux bruts du système Epic EMR/EHR en un modèle de données unifié (UDM). Il nettoie et structure d'abord les messages du journal, extrait les paires clé-valeur, puis mappe les champs extraits aux champs UDM correspondants. Il gère différents formats de journaux et incohérences de données pour garantir une représentation complète et standardisée des données.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Epic Systems.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: EPIC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer le service SendSIEMSyslogAudit

  1. Connectez-vous à la console Epic Systems.
  2. Accédez à Démarrer > Epic > Interconnect > <your instance> > Éditeur de configuration.
  3. Sélectionnez le formulaire Services aux entreprises.
  4. Dans l'onglet Catégorie de service, sélectionnez SendSIEMSyslogAudit.
  5. Cliquez sur Enregistrer.

Configurer Epic Systems pour exporter les journaux syslog

  1. Accédez à Définitions du système Epic> Sécurité> Options d'audit> Paramètres Syslog du SIEM.
  2. Fournissez les informations de configuration suivantes :
    • Hôte : saisissez l'adresse IP de l'agent Bindplane.
    • Port : saisissez le numéro de port de l'agent Bindplane.
    • Format SIEM : sélectionnez CEF (Common Event Format).
    • Caractère de fin de syslog : sélectionnez Nouvelle ligne "\n".
  3. Dans le menu Paramètres Syslog du SIEM, sélectionnez Syslog du SIEM.
  4. Cliquez sur Activé.

Table de mappage UDM

Champ du journal Mappage UDM Logique
APIID read_only_udm.additional.fields.api.value.string_value La valeur est extraite du champ "APIID" du journal brut.
APPLICATIONID read_only_udm.additional.fields.application_id.value.string_value La valeur est extraite du champ APPLICATIONID du journal brut.
PPA read_only_udm.target.application La valeur est extraite du champ "APP" du journal brut.
SÉANCE D'AUDIT read_only_udm.network.session_id La valeur est extraite du champ "AUDIT SESSION" du journal brut.
AUTH_SOURCE Ce champ n'est pas mappé à l'UDM
BCAPCS read_only_udm.target.application La valeur est extraite du champ BCAPCS du journal brut.
BTGEXPLANATION read_only_udm.security_result.description La valeur est extraite du champ "BTGEXPLANATION" du journal brut.
BTGNOACCESSREAS read_only_udm.security_result.summary La valeur est extraite du champ "BTGNOACCESSREAS" du journal brut.
BTGREASON read_only_udm.security_result.summary La valeur est extraite du champ BTGREASON du journal brut.
CLIENTNAME read_only_udm.principal.hostname La valeur est extraite du champ CLIENTNAME du journal brut.
CSISESS_TOKEN read_only_udm.network.session_id La valeur est extraite du champ CSISESS_TOKEN du journal brut.
CTXT read_only_udm.metadata.description La valeur est extraite du champ CTXT du journal brut.
CVG read_only_udm.additional.fields.cvg.value.string_value La valeur est extraite du champ "CVG" du journal brut.
DAT Ce champ n'est pas mappé à l'UDM
DEP read_only_udm.principal.user.department La valeur est extraite du champ "DEP" du journal brut. Si les champs NEWDEPARTMENT et PREVDEPARTMENT existent dans le journal brut, la valeur sera PREVDEPARTMENT:-{PREVDEPARTMENT}, NEWDEPARTMENT:-{NEWDEPARTMENT}. Si seule NEWDEPARTMENT existe, la valeur sera PREVDEPARTMENT:-NONE, NEWDEPARTMENT:{NEWDEPARTMENT}. Si seul PREVDEPARTMENT existe, la valeur sera PREVDEPARTMENT:{PREVDEPARTMENT}, NEWDEPARTMENT:-NONE.
devTime read_only_udm.metadata.event_timestamp La valeur est extraite du champ "devTime" du journal brut et convertie en secondes depuis l'epoch.
devTimeFormat Ce champ n'est pas mappé à l'UDM
E3MID read_only_udm.network.session_id La valeur est extraite du champ E3MID du journal brut.
CHIFFRÉ read_only_udm.additional.fields.encrypt.value.string_value La valeur est extraite du champ "ENCRYPTED" (CHIFFRÉ) du journal brut.
ERRMSG read_only_udm.security_result.summary La valeur est extraite du champ ERRMSG du journal brut.
eventCnt Ce champ n'est pas mappé à l'UDM
FILENAME read_only_udm.target.file.full_path La valeur est extraite du champ FILENAME du journal brut et toutes les occurrences de \\\\ sont remplacées par \.
flag read_only_udm.security_result.description La valeur est extraite du champ d'indicateur dans le journal brut, et tous les - de début et de fin sont supprimés.
HKUAPVER read_only_udm.metadata.product_version La valeur est extraite du champ HKUAPVER du journal brut.
HKUDVCID read_only_udm.principal.asset_id La valeur est extraite du champ HKUDVCID du journal brut et mise au format Device ID:{HKUDVCID}.
HKUOSNAM read_only_udm.principal.platform La valeur est extraite du champ HKUOSNAM du journal brut et mappée sur WINDOWS, MAC, LINUX ou UNKNOWN_PLATFORM en fonction de la valeur.
HKUOSVER read_only_udm.principal.platform_version La valeur est extraite du champ HKUOSVER du journal brut.
INSTANCEURN read_only_udm.intermediary.hostname La valeur est extraite du champ INSTANCEURN du journal brut.
IP read_only_udm.target.ip La valeur est extraite du champ "Adresse IP" du journal brut. Si la valeur contient /, elle est divisée en deux adresses IP. Si la valeur contient ,, elle est divisée en plusieurs adresses IP.
LOGINERROR read_only_udm.security_result.summary La valeur est extraite du champ LOGINERROR du journal brut.
LOGIN_CONTEXT read_only_udm.metadata.description La valeur est extraite du champ LOGIN_CONTEXT du journal brut.
LOGIN_DEVICE read_only_udm.additional.fields.login_device.value.string_value La valeur est extraite du champ LOGIN_DEVICE du journal brut.
LOGIN_LDAP_ID read_only_udm.principal.user.userid La valeur est extraite du champ LOGIN_LDAP_ID du journal brut.
LOGIN_REASON read_only_udm.security_result.summary La valeur est extraite du champ LOGIN_REASON du journal brut.
LOGIN_REVAL read_only_udm.additional.fields.login_reval.value.string_value La valeur est extraite du champ LOGIN_REVAL du journal brut.
MASKMODE read_only_udm.additional.fields.masked_mode.value.string_value La valeur est extraite du champ MASKMODE du journal brut.
MYCACCT read_only_udm.principal.user.userid La valeur est extraite du champ MYCACCT du journal brut.
NEWDEPARTMENT read_only_udm.principal.user.department Consulter la logique du champ "DEP"
NEWUSER (NOUVEL UTILISATEUR) Ce champ n'est pas mappé à l'UDM
NSC read_only_udm.additional.fields.nsc.value.string_value La valeur est extraite du champ "NSC" du journal brut.
OSUSR read_only_udm.target.user.userid La valeur est extraite du champ OSUSR du journal brut.
PATIENT read_only_udm.target.user.userid La valeur est extraite du champ "PATIENT" du journal brut.
PREVDEPARTMENT read_only_udm.principal.user.department Consulter la logique du champ "DEP"
PREVPROVIDER (FOURNISSEUR PRÉCÉDENT) Ce champ n'est pas mappé à l'UDM
PREVUSER read_only_udm.principal.resource.attribute.labels.prev_user.value La valeur est extraite du champ PREVUSER du journal brut.
PWREASON read_only_udm.metadata.description La valeur est extraite du champ PWREASON du journal brut.
RÔLE read_only_udm.principal.user.attribute.roles.name La valeur est extraite du champ "ROLE" du journal brut.
ressource read_only_udm.target.hostname La valeur est extraite du champ de ressource dans le journal brut.
SERVICEID read_only_udm.additional.fields.service_id.value.string_value La valeur est extraite du champ SERVICEID du journal brut.
SERVICECATEGORY (CATÉGORIE DE SERVICE) read_only_udm.additional.fields.service_category.value.string_value La valeur est extraite du champ SERVICECATEGORY du journal brut.
SERVICEMSGID Ce champ n'est pas mappé à l'UDM
SERVICENAME read_only_udm.target.resource.name La valeur est extraite du champ SERVICENAME du journal brut.
SERVICETYPE (TYPE DE SERVICE) read_only_udm.target.resource.type La valeur est extraite du champ SERVICETYPE du journal brut. Si event_id est défini sur PHI_CLIENT_FILE, la valeur est définie sur FILE.
SERVICE_USER read_only_udm.target.user.userid La valeur est extraite du champ SERVICE_USER du journal brut.
SERVICE_USERTYP read_only_udm.additional.fields.service_user_type.value.string_value La valeur est extraite du champ SERVICE_USERTYP du journal brut.
sev read_only_udm.security_result.severity La valeur est extraite du champ "sev" du journal brut et est mappée sur LOW, HIGH ou CRITICAL en fonction de la valeur.
shost read_only_udm.target.resource.attribute.labels.workstation_type.value La valeur est extraite du champ "shost" du journal brut.
SOURCE read_only_udm.additional.fields.login_source.value.string_value La valeur est extraite du champ SOURCE du journal brut.
SUCCESS read_only_udm.additional.fields.success_yes_no.value.string_value La valeur est extraite du champ "SUCCESS" du journal brut.
EXPIRATION DU DÉLAI read_only_udm.additional.fields.time_out.value.string_value La valeur est extraite du champ "TIMEOUT" du journal brut.
UID read_only_udm.principal.user.userid La valeur est extraite du champ "UID" du journal brut.
USERJOB Ce champ n'est pas mappé à l'UDM
usrName read_only_udm.principal.user.userid, read_only_udm.principal.user.user_display_name Si les champs UID ou LOGIN_LDAP_ID existent dans le journal brut, usrName est utilisé pour read_only_udm.principal.user.user_display_name et l'autre champ est utilisé pour read_only_udm.principal.user.userid. Sinon, usrName est utilisé pour read_only_udm.principal.user.userid.
WEBLGAPP read_only_udm.target.application La valeur est extraite du champ WEBLGAPP du journal brut.
read_only_udm.extensions.auth.type La valeur est définie sur SSO si LOGIN_LDAP_ID n'est pas vide. Sinon, la valeur est définie sur AUTHTYPE_UNSPECIFIED.
read_only_udm.intermediary.ip La valeur correspond à l'adresse IP de la source du journal.
read_only_udm.metadata.event_type La valeur est définie sur RESOURCE_READ si event_id est l'une des valeurs suivantes : IC_SERVICE_AUDIT, AC_BREAK_THE_GLASS_FAILED_ACCESS, AC_BREAK_THE_GLASS_INAPPROPRIATE_ATTEMPT, AC_BREAK_THE_GLASS_ACCESS ou MCMEMEDISA, et si target_ip_set est true ou si la ressource n'est pas vide. La valeur est définie sur USER_LOGIN si event_id est l'une des valeurs suivantes : FAILEDLOGIN, LOGIN, ROVER_FAILED_LOGIN, SWITCHUSER, AUTHENTICATION, EW_LOGIN, ROVER_LOGIN, CTO_FAILED_LOGIN, CTO_LOGIN, HKU_FAILED_LOGIN, HKU_LOGIN, WPSEC_SEC_AUTH_OPT_OUT, WPSEC_SEC_AUTH_OPT_IN, BCA_LOGIN_FAILURE, BCA_LOGIN_SUCCESS, BCA_USER_LOCKED, WPSEC_LOGIN_FAIL ou WPSEC_LOGIN_SUCCESS, et si au moins l'un des champs target_ip_set, resource, SERVICENAME, SERVICETYPE ou shost n'est pas vide. La valeur est définie sur USER_CHANGE_PASSWORD si event_id est l'une des valeurs suivantes : E_ADMINPASSWORDCHANGE, E_FAILEDPASSWORDCHANGE, E_SELFPASSWORDCHANGE, WPSEC_USER_PASSWORD_CHANGE_FAIL ou WPSEC_USER_PASSWORD_CHANGE. La valeur est définie sur USER_UNCATEGORIZED si event_id est CONTEXTCHANGE. La valeur est définie sur USER_RESOURCE_ACCESS si event_id est l'une des valeurs suivantes : SECURE, UNSECURE, MASKED_DATA_DISPLAY ou MASKED_DATA_PRINTING. La valeur est définie sur USER_RESOURCE_UPDATE_CONTENT si event_id est PHI_CLIENT_FILE. La valeur est définie sur STATUS_UPDATE si CLIENTNAME n'est pas vide. La valeur est définie sur USER_UNCATEGORIZED si prin_usr_id n'est pas vide. Sinon, la valeur est définie sur GENERIC_EVENT.
read_only_udm.metadata.log_type La valeur est définie sur EPIC.
read_only_udm.metadata.product_name La valeur est définie sur Epic Systems.
read_only_udm.metadata.vendor_name La valeur est définie sur EPIC.
read_only_udm.network.ip_protocol La valeur est dérivée du champ proto dans le journal brut et mappée au nom du protocole IP correspondant.
read_only_udm.principal.resource.attribute.labels.workstation_type.key La valeur est définie sur Workstation ID/Type.
read_only_udm.principal.resource.attribute.labels.prev_user.key La valeur est définie sur Prev User.
read_only_udm.security_result.action La valeur est définie sur BLOCK si les champs ERRMSG ou LOGINERROR existent dans le journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.