Esta página foi traduzida pela API Cloud Translation.

Recolha registos do ForgeRock OpenAM

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do ForgeRock OpenAM para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos nos formatos CSV, Syslog + KV ou JSON, normaliza-os e mapeia-os para o modelo de dados unificado (UDM). Processa vários tipos de eventos do OpenAM, incluindo início/fim de sessão, resultados de acesso e registos gerais, enriquecendo os dados com informações do utilizador, do grupo e da rede, ao mesmo tempo que realiza transformações específicas para diferentes formatos de registo e tipos de eventos. O analisador dá prioridade à análise JSON e, em seguida, recorre ao Syslog+KV e, finalmente, ao CSV, ignorando os registos de formatos não suportados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao Forgerock OpenAM (por exemplo, amAdmin)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'OPENAM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o registo de auditoria no Forgerock OpenAM

Inicie sessão na consola do AM.
Aceda a Configurar > Serviços globais > Registo de auditoria.
Ative o registo de auditoria para iniciar a funcionalidade de registo de auditoria.
Nas listas de filtros de lista de permissões de campos e filtros de lista de bloqueios de campos, introduza valores a incluir (lista de permissões) ou excluir (lista de bloqueios) dos registos de eventos de auditoria.
Clique em Guardar.

Configure controladores Syslog para o Forgerock OpenAM

Inicie sessão na consola do AM como administrador, por exemplo, amAdmin.
Para criar o controlador de eventos na configuração global, aceda a Configurar > Serviços globais > Registo de auditoria.
Para criar o controlador de eventos num domínio, aceda a Domínios > Nome do domínio > Serviços > Registo de auditoria.
Clique em Adicionar uma configuração secundária > Syslog.
Indique os seguintes detalhes de configuração:
- Nome: introduza um nome para o controlador de eventos (por exemplo, Google SecOps Syslog Event Handler).
- Nome de anfitrião do servidor: introduza o endereço IP do agente do Bindplane.
- Porta do servidor: introduza o número da porta do agente do Bindplane (por exemplo, 514 para UDP).
- Protocolo de transporte: selecione UDP.
- Tempo limite de ligação: introduza o número de segundos para estabelecer ligação (por exemplo, 120).
- Opcional: ative a opção Armazenamento em buffer.
Clique em Criar.
Depois de criar o controlador de eventos de auditoria do syslog, são apresentados vários separadores de configuração.
No separador Configuração do controlador geral, selecione Ativado para ativar o controlador de eventos, se estiver desativado.
Selecione os tópicos para os registos de auditoria:
- Acesso
- Atividade
- Autenticação
- Configuração
Clique em Guardar.
No separador Configuração do Syslog, faculte os seguintes detalhes de configuração:
- Nome de anfitrião do servidor: introduza o endereço IP do agente do Bindplane.
- Porta do servidor: introduza o número da porta do agente do Bindplane.
- Tempo limite de ligação: introduza o número de segundos para estabelecer ligação (por exemplo, 120).
- Protocolo de transporte: selecione UDP.
- Instalação: selecione Local0.
- Todos os tópicos definem a gravidade como INFORMATIONAL.
Clique em Guardar.
No separador Colocação no buffer, selecione Colocação no buffer ativada para a ativar.

Nota: quando o armazenamento em buffer está ativado, todos os eventos de auditoria gerados são formatados como mensagens syslog e colocados numa fila. Um segmento dedicado extrai constantemente eventos da fila em lotes e transmite-os para o servidor syslog. Se a fila ficar vazia, a thread dedicada entra em suspensão até ser adicionado um novo item. O tamanho predefinido da fila é 5000.
Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`client.ip`	`principal.ip`	O endereço IP do cliente que está a fazer o pedido.
`client.ip`	`principal.asset.ip`	O endereço IP do recurso cliente que está a fazer o pedido.
`client.port`	`principal.port`	A porta usada pelo cliente que faz o pedido.
`entries[0].info.authLevel`	`principal.resource.resource_subtype`	O nível de autenticação associado ao evento. Com o prefixo "authLevel:".
`entries[0].info.displayName`	`security_result.description`	Um nome descritivo para o nó na árvore de autenticação.
`entries[0].info.ipAddress`	`principal.asset.ip`	O endereço IP associado ao principal no evento.
`entries[0].info.ipAddress`	`principal.ip`	O endereço IP associado ao principal no evento.
`entries[0].info.nodeId`	`principal.resource.id`	O identificador exclusivo do nó na árvore de autenticação. Com o prefixo "nodeId:".
`entries[0].info.nodeOutcome`	`principal.resource.attribute.labels.value`	O resultado do nó na árvore de autenticação.
`entries[0].info.nodeType`	`principal.resource.type`	O tipo do nó na árvore de autenticação. Com o prefixo "nodeType:".
`entries[0].info.treeName`	`principal.resource.name`	O nome da árvore de autenticação. Com o prefixo "treeName:".
`eventName`	`metadata.product_event_type`	O nome do evento não processado dos registos do OpenAM.
`http.request.headers.host[0]`	`target.asset.hostname`	O nome do anfitrião do servidor de destino, extraído do cabeçalho `host`.
`http.request.headers.host[0]`	`target.hostname`	O nome do anfitrião do servidor de destino, extraído do cabeçalho `host`.
`http.request.headers.user-agent[0]`	`network.http.user_agent`	O agente do utilizador do pedido HTTP.
`http.request.method`	`network.http.method`	O método HTTP usado no pedido.
`http.request.path`	`target.url`	O caminho do URL do pedido HTTP.
`info.failureReason`	`security_result.summary`	O motivo de uma falha na autenticação. Codificado de forma rígida para "SSO". Determinado pela lógica com base em `eventName` e outros campos. Pode ser `GENERIC_EVENT`, `USER_LOGIN`, `USER_LOGOUT`, `NETWORK_HTTP` ou `STATUS_UPDATE`. Codificado de forma rígida para "OPENAM". Codificado de forma rígida para "OpenAM". Codificado de forma rígida para "ForgeRock".
`principal`	`target.user.userid`	O ID do utilizador envolvido no evento, extraído dos campos `userId`, `principal` ou `runAs`.
`result`	`security_result.action_details`	O resultado do evento (por exemplo, "SUCCESSFUL", "FAILED").
`response.detail.reason`	`security_result.summary`	O motivo de uma falha num evento de resultado do acesso.
`response.status`	`security_result.action_details`	O estado da resposta num evento de resultado do acesso.
`runAs`	`target.user.userid`	O ID do utilizador envolvido no evento, extraído dos campos `userId`, `principal` ou `runAs`.
`security_result.action`	`security_result.action`	A ação realizada como resultado do evento de segurança (por exemplo, "ALLOW", "BLOCK").
`server.ip`	`target.asset.ip`	O endereço IP do servidor de destino.
`server.ip`	`target.ip`	O endereço IP do servidor de destino.
`server.port`	`target.port`	A porta do servidor de destino.
`timestamp`	`metadata.event_timestamp`	A data/hora do evento.
`trackingIds`	`metadata.product_log_id`	O ID de acompanhamento associado ao evento.
`transactionId`	`metadata.product_deployment_id`	O ID da transação associado ao evento.
`userId`	`target.user.userid`	O ID do utilizador envolvido no evento, extraído dos campos `userId`, `principal` ou `runAs`.
`userId`	`target.user.group_identifiers`	Os identificadores de grupos associados ao utilizador.
`am_group`	`target.user.group_identifiers`	Os identificadores de grupos associados ao utilizador.
`am_user`	`target.user.email_addresses`	O endereço de email do utilizador, se estiver presente no campo `am_user`.
`loginID[0]`	`target.user.userid`	O ID de início de sessão usado no evento.
`loginID[0]`	`target.user.email_addresses`	O endereço de email usado para iniciar sessão, se estiver presente no campo `loginID`.
`hostip`	`intermediary.hostname`	O nome do anfitrião de um dispositivo intermediário.
`hostip`	`intermediary.ip`	O endereço IP de um dispositivo intermediário.
`src_ip`	`principal.asset.ip`	O endereço IP de origem.
`src_ip`	`principal.ip`	O endereço IP de origem.
`desc`	`metadata.description`	A descrição do evento.
`payload`	`metadata.description`	O payload do evento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.