Recopila registros de auditoría de HashiCorp

Este analizador procesa los registros de auditoría de HashiCorp en formatos JSON, Syslog o combinados. Extrae campos, realiza el análisis de Grok y de KV para los mensajes estándar y de tipo "ejecutor", controla las cargas útiles de JSON y asigna los datos extraídos al UDM. El analizador también incluye el manejo de errores y el descarte de registros con formato incorrecto.

Antes de comenzar

• Asegúrate de tener una instancia de Google Security Operations.
• Asegúrate de tener un host de Windows 2016 o posterior, o bien un host de Linux con systemd.
• Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso con privilegios a HCP.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración del SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

1. Para la instalación en Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para la instalación en Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

1. Accede a la máquina en la que está instalado el agente de BindPlane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: auditd
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de Bindplane para aplicar los cambios:

   sudo systemctl restart bindplane
   

Habilita Syslog para HCP Vault

1. Accede al HCP Portal.
2. Ve a Vault Clusters.
3. Selecciona tu clúster de Vault en la lista de clústeres implementados.
4. En Cluster Overview, busca y copia la dirección de Vault (por ejemplo, https://vault-cluster-name.hashicorpcloud.com:8200).
5. Ve a la sección Detalles de acceso y copia el token raíz.

Instala la CLI de Vault

• Para Linux:

  curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
  sudo apt update && sudo apt install vault
  

• Para macOS (con Homebrew):

  brew tap hashicorp/tap
  brew install hashicorp/tap/vault
  

• Para Windows:

  Download the executable file.
  Extract it and add the Vault binary to your system's PATH.
  

• Para verificar la instalación de la CLI de Vault, ejecuta el siguiente comando:

  vault --version
  

Configura HCP Vault con la CLI para enviar registros de auditoría a Bindplane

1. Abre la terminal o el símbolo del sistema.

2. Configura la dirección del servidor de Vault con la variable de entorno:

   export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
   

3. Accede a Vault con el token raíz:

   vault login <root-token>
   

Configura la ruta de Syslog en un socket de Syslog externo

1. Ejecuta el siguiente comando para habilitar syslog y enviarlo al agente de Bindplane:

   vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
   

2. Confirma la configuración nueva:

   vault audit list
   

3. El resultado debe mostrar la nueva configuración del socket.

4. Opcional: Automatiza la configuración con Terraform:

   • Crea un archivo de configuración de Terraform (audit.tf):

   resource "vault_audit" "syslog" {
     type        = "syslog"
     description = "Syslog audit logs"
     options = {
       tag      = "vault"
       facility = "LOCAL0"
     }
   }
   
   resource "vault_audit" "socket" {
     type        = "socket"
     description = "Remote syslog socket"
     options = {
       address     = "udp://<syslog-server-ip>:514"
       socket_type = "udp"
       tag         = "vault"
     }
   }
   

   • Aplica la configuración:

   terraform init
   terraform apply
   

No se reciben los registros de solución de problemas

• Verifica que se pueda acceder al servidor syslog:

  ping <syslog-server-ip>
  

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.