Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux JFrog Artifactory

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Jfrog Artifactory dans Google Security Operations à l'aide de Bindplane. L'analyseur gère deux formats de journaux JFrog Artifactory différents. Il utilise des modèles Grok pour identifier et extraire les champs de chaque format. Il mappe ensuite ces champs à l'UDM, en gérant les charges utiles JSON dans l'un des formats et en supprimant les journaux qui ne correspondent à aucun des formats.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à l'instance Jfrog Artifactory.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'JFROG_ARTIFACTORY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le syslog Jfrog Artifactory

Connectez-vous à l'instance Jfrog Artifactory.
Modifiez le fichier $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml à l'aide de vi :
```
vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
```

Ajoutez l'appender syslog suivant au fichier :

<appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender">
    <syslogHost>Bindplane-Agent-IP</syslogHost>
    <facility>SYSLOG</facility>
    <suffixPattern>[%thread] %logger %msg</suffixPattern>
</appender>

Remplacez Bindplane-Agent-IP dans syslogHost par l'adresse IP réelle configurée pour l'agent Bindplane.

Ajoutez des données de configuration supplémentaires au fichier :

<root>
< level value="debug"/>
<appender-ref ref="CONSOLE"/>
<appender-ref ref="FILE"/>
<appender-ref ref="SYSLOG"/>
</root>

Enregistrez le fichier en cliquant sur le bouton ESC (Échap) de votre clavier et en saisissant :wq.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
action	`read_only_udm.metadata.product_event_type`	La valeur de action du journal brut est convertie en minuscules et mappée.
datetime	`read_only_udm.metadata.event_timestamp`	Le champ datetime du journal brut est analysé et converti en code temporel.
hostname	`read_only_udm.principal.hostname`	Directement mappé à partir du champ hostname du journal brut.
id	`read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ id du journal brut (à partir de la charge utile JSON).
ip	`read_only_udm.principal.ip`	Mappé directement à partir du champ ip du journal brut. Codé en dur sur "USER_RESOURCE_ACCESS". Codé en dur sur "JFROG_ARTIFACTORY". Codé en dur sur "Artifactory". Codé en dur sur "JFROG".
Propriétaire	`read_only_udm.principal.user.userid`	Mappé si username n'est pas présent dans le journal brut (à partir de la charge utile JSON).
repo_name	`read_only_udm.target.resource.name`	Directement mappé à partir du champ repo_name du journal brut.
repo_type	`read_only_udm.target.resource.resource_subtype`	Directement mappé à partir du champ repo_type du journal brut.
scope	`read_only_udm.target.resource.name`	Mappé directement à partir du champ scope du journal brut (à partir de la charge utile JSON).
scope	`read_only_udm.target.resource.resource_subtype`	Codé en dur sur "scope" si scope est présent dans le journal brut.
sequenceId	`read_only_udm.metadata.product_log_id`	Les guillemets sont supprimés du champ sequenceId, puis les valeurs sont mises en correspondance.
subject	`read_only_udm.about.labels.key`	Codé en dur sur "subject" si subject est présent dans le journal brut.
subject	`read_only_udm.about.labels.value`	Mappé directement à partir du champ subject du journal brut (à partir de la charge utile JSON).
type	`read_only_udm.metadata.product_event_type`	Mappé directement à partir du champ type du journal brut (à partir de la charge utile JSON).
Utilisateur	`read_only_udm.principal.user.userid`	Mappé directement à partir du champ user du journal brut.
username	`read_only_udm.principal.user.userid`	Directement mappé à partir du champ username du journal brut (à partir de la charge utile JSON).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.