Esta página foi traduzida pela API Cloud Translation.

Coletar registros do JFrog Artifactory

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Jfrog Artifactory no Google Security Operations usando o Bindplane. O analisador processa dois formatos de registro diferentes do JFrog Artifactory. Ele usa padrões grok para identificar e extrair campos de cada formato. Em seguida, ele mapeia esses campos para a UDM, processando payloads JSON em um dos formatos e descartando os registros que não correspondem a nenhum deles.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado à instância do Jfrog Artifactory.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'JFROG_ARTIFACTORY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog do Jfrog Artifactory

Conecte-se à instância do Jfrog Artifactory.
Edite o arquivo $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml usando vi:
```
vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
```

Adicione o seguinte appender syslog ao arquivo:

<appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender">
    <syslogHost>Bindplane-Agent-IP</syslogHost>
    <facility>SYSLOG</facility>
    <suffixPattern>[%thread] %logger %msg</suffixPattern>
</appender>

Substitua Bindplane-Agent-IP em syslogHost pelo endereço IP real configurado para o agente do Bindplane.

Adicione outros dados de configuração ao arquivo:

<root>
< level value="debug"/>
<appender-ref ref="CONSOLE"/>
<appender-ref ref="FILE"/>
<appender-ref ref="SYSLOG"/>
</root>

Para salvar o arquivo, clique no botão ESC (escape) no teclado e digite :wq.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ação	`read_only_udm.metadata.product_event_type`	O valor de action do registro bruto é convertido em letras minúsculas e mapeado.
datetime	`read_only_udm.metadata.event_timestamp`	O campo datetime do registro bruto é analisado e convertido em um carimbo de data/hora.
hostname	`read_only_udm.principal.hostname`	Mapeado diretamente do campo hostname do registro bruto.
id	`read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo id do log bruto (do payload JSON).
ip	`read_only_udm.principal.ip`	Mapeado diretamente do campo ip do registro bruto. Codificado como "USER_RESOURCE_ACCESS". Codificado como "JFROG_ARTIFACTORY". Codificado como "Artifactory". Codificado como "JFROG".
proprietário	`read_only_udm.principal.user.userid`	Mapeado se username não estiver presente no registro bruto (do payload JSON).
repo_name	`read_only_udm.target.resource.name`	Mapeado diretamente do campo repo_name do registro bruto.
repo_type	`read_only_udm.target.resource.resource_subtype`	Mapeado diretamente do campo repo_type do registro bruto.
scope	`read_only_udm.target.resource.name`	Mapeado diretamente do campo scope do log bruto (do payload JSON).
scope	`read_only_udm.target.resource.resource_subtype`	Codificado como "scope" se scope estiver presente no registro bruto.
sequenceId	`read_only_udm.metadata.product_log_id`	As aspas são removidas do campo sequenceId e mapeadas.
assunto	`read_only_udm.about.labels.key`	Codificado como "subject" se subject estiver presente no registro bruto.
assunto	`read_only_udm.about.labels.value`	Mapeado diretamente do campo subject do log bruto (do payload JSON).
type	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo type do log bruto (do payload JSON).
user	`read_only_udm.principal.user.userid`	Mapeado diretamente do campo user do registro bruto.
username	`read_only_udm.principal.user.userid`	Mapeado diretamente do campo username do registro bruto (do payload JSON).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.