Recopila registros de acceso de IBM Verify Identity

En este documento, se describe cómo recopilar registros de acceso de identidad de IBM Verify. El analizador extrae campos comunes con patrones de Grok y aprovecha el análisis de XML para obtener información detallada sobre los eventos incorporada en el campo de descripción, lo que, en última instancia, asigna los datos extraídos al Modelo de datos unificado (UDM) para la representación estandarizada de los eventos de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
• Acceso privilegiado a IBM Verify Identity Access (IVIA)

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:
   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'IBM_SVA'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

1. Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configura el reenvío de Syslog en IVIA

1. Accede a IBM Security Verify Governance.
2. Ve a Monitor > Logs > Remote Syslog Forwarding.
3. En la página Remote Syslog Forwarding, haz clic en Add.
4. Proporciona los siguientes detalles de configuración:
   • Servidor: Ingresa la dirección IP del agente de Bindplane.
   • Puerto: Ingresa el número de puerto del agente de Bindplane.
   • Protocolo: Selecciona UDP (la otra opción posible es TCP, según la configuración de tu agente de Bindplane).
   • Formato: Selecciona el formato (protocolo Syslog o protocolo BSD Syslog) en el que deseas enviar los registros del sistema.
5. Haz clic en Guardar configuración.

Configura las fuentes de registro para el servidor de registro remoto

1. En la página Remote Syslog Forwarding, haz clic en la pestaña Fuentes.
2. Proporciona los siguientes detalles de configuración:
   • Nombre: Selecciona una fuente de registro en la lista desplegable.
   • Nombre de la instancia: La opción solo está disponible si seleccionas Nombre como IsimNode.
   • Archivo de registro: Cuando seleccionas Nombre como IsimNodes, Registros de instalación o IsimDmgr, el archivo de registro correspondiente se muestra automáticamente en el menú desplegable.
   • Etiqueta: Este nombre de etiqueta debe ser único en todas las fuentes y no debe contener espacios (por ejemplo, My_Tag o MyTag).
   • Instalación: Selecciona un nombre de categoría para el registro del sistema que se reenviará.
   • Gravedad: Selecciona Informativa.
3. Haz clic en Guardar configuración.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.