Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de MobileIron

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de MobileIron a Google Security Operations con un agente de Bindplane. El analizador transforma los registros con formato JSON en un modelo de datos unificado (UDM). Extrae campos del JSON sin procesar, los asigna a los atributos de UDM correspondientes y enriquece los datos con detalles específicos de la plataforma y el contexto del evento de seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a MobileIron.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: MOBILEIRON
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configuración de servidores Syslog en MobileIron

Accede al Administrador del sistema.
Ve a Configuración > Exportación de datos > Servidores SysLog.
Haz clic en Agregar.
Se debería abrir la ventana Add SysLog.
Proporciona los siguientes detalles de configuración:
- Servidor: Ingresa la dirección IP y el puerto de Bindplane.
- Protocolo: Selecciona UDP (también puedes seleccionar TCP o TLS sobre TCP según la configuración de Bindplane).
- Opcional: Certificado de servidor de confianza: Este campo solo se muestra si seleccionas TLS sobre TCP en Protocolo.
- Estado de administrador: Selecciona Habilitar.
- Severity (facility.level): Ingresa *.info para todos los mensajes con un nivel de gravedad de info o superior.
Haz clic en Aplicar > Aceptar para guardar los cambios.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
complianceViolationTypeToReason.BLACKLIST_APPS	security_result.description	Valor del campo `complianceViolationTypeToReason.BLACKLIST_APPS`, con el prefijo `Compliance Violation Type To Reason BLACKLIST APPS -`.
complianceViolationTypeToReason.PC	security_result.description	Valor del campo `complianceViolationTypeToReason.PC`, con el prefijo `Compliance Violation Type To Reason PC -`.
complianceViolationTypeToReason.SA	security_result.description	Valor del campo `complianceViolationTypeToReason.SA`, con el prefijo `Compliance Violation Type To Reason SA -`.
displayName	principal.user.user_display_name	Se asigna directamente desde `displayName`.
emailAddress	principal.user.email_addresses	Se asigna directamente desde `emailAddress`.
firstName	principal.user.first_name	Se asigna directamente desde `firstName`.
id	principal.asset.product_object_id	Se asigna directamente desde `id`.
lastName	principal.user.last_name	Se asigna directamente desde `lastName`.
platformType	principal.asset.platform_software.platform	Se asigna desde `platformType` con la siguiente lógica: : Si `platformType` coincide con `Windows` (sin distinguir mayúsculas de minúsculas), se establece en `WINDOWS`. : Si `platformType` coincide con `MAC`, `OS X` o `IOS` (sin distinguir mayúsculas de minúsculas), se establece en `MAC`. : Si `platformType` coincide con `Linux` (sin distinción entre mayúsculas y minúsculas), se establece en `LINUX`. : De lo contrario, configúralo como `UNKNOWN_PLATFORM`.
platformType	principal.asset.platform_software.platform_version	Es la concatenación de `platformType` y `platformVersion` con un delimitador `-`.
platformVersion	principal.asset.platform_software.platform_version	Es la concatenación de `platformType` y `platformVersion` con un delimitador `-`.
policyViolatedAt	metadata.event_timestamp	Se convierte en una marca de tiempo a partir de milisegundos desde el ciclo.
policyViolatedAt	security_result.about.labels.value	Se asigna directamente desde `policyViolatedAt` después de convertirlo en una cadena.
policyViolatedID	security_result.rule_id	Se asigna directamente desde `policyViolatedID`.
prettyModel	principal.asset.hardware.model	Se asigna directamente desde `prettyModel`.
N/A	metadata.event_type	Se codificó como `USER_UNCATEGORIZED`.
N/A	metadata.log_type	Se codificó como `MOBILEIRON`.
N/A	metadata.product_name	Se codificó como `MOBILEIRON`.
N/A	metadata.vendor_name	Se codificó como `MOBILEIRON`.
N/A	principal.asset.type	Se codificó como `MOBILE`.
N/A	security_result.about.labels.key	Se codificó como `Policy Violated At`.
N/A	security_result.category	Se codificó como `POLICY_VIOLATION`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.