Esta página foi traduzida pela API Cloud Translation.

Coletar registros do MobileIron

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros do MobileIron para as operações de segurança do Google usando um agente do Bindplane. O analisador transforma registros formatados em JSON em um modelo de dados unificado (UDM). Ele extrai campos do JSON bruto, os mapeia para os atributos correspondentes do UDM e enriquece os dados com detalhes específicos da plataforma e o contexto do ocorrência de segurança.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao MobileIron.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: MOBILEIRON
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Como configurar servidores Syslog no MobileIron

Faça login no Gerenciador do sistema.
Acesse Configurações > Exportação de dados > Servidores SysLog.
Clique em Adicionar.
A janela Adicionar SysLog será aberta.
Informe os seguintes detalhes de configuração:
- Servidor: insira o endereço IP e a porta do Bindplane.
- Protocolo: selecione UDP. Também é possível selecionar TCP ou TLS sobre TCP, dependendo da configuração do Bindplane.
- Opcional: Certificado de servidor confiável: esse campo aparece somente se você selecionar TLS sobre TCP em Protocolo.
- Estado do administrador: selecione Ativar.
- Gravidade (facility.level): digite *.info para todas as mensagens com gravidade de informações ou mais alta.
Clique em Aplicar > OK para salvar as mudanças.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
complianceViolationTypeToReason.BLACKLIST_APPS	security_result.description	Valor do campo `complianceViolationTypeToReason.BLACKLIST_APPS`, com o prefixo `Compliance Violation Type To Reason BLACKLIST APPS -`.
complianceViolationTypeToReason.PC	security_result.description	Valor do campo `complianceViolationTypeToReason.PC`, com o prefixo `Compliance Violation Type To Reason PC -`.
complianceViolationTypeToReason.SA	security_result.description	Valor do campo `complianceViolationTypeToReason.SA`, com o prefixo `Compliance Violation Type To Reason SA -`.
displayName	principal.user.user_display_name	Mapeado diretamente de `displayName`.
emailAddress	principal.user.email_addresses	Mapeado diretamente de `emailAddress`.
firstName	principal.user.first_name	Mapeado diretamente de `firstName`.
id	principal.asset.product_object_id	Mapeado diretamente de `id`.
lastName	principal.user.last_name	Mapeado diretamente de `lastName`.
platformType	principal.asset.platform_software.platform	Mapeado de `platformType` com a seguinte lógica: : se `platformType` corresponder a `Windows` (sem distinção entre maiúsculas e minúsculas), defina como `WINDOWS`. : se `platformType` corresponder a `MAC`, `OS X` ou `IOS` (sem diferenciação entre maiúsculas e minúsculas), defina como `MAC`. : se `platformType` corresponder a `Linux` (sem diferenciação entre maiúsculas e minúsculas), defina como `LINUX`. : caso contrário, defina como `UNKNOWN_PLATFORM`.
platformType	principal.asset.platform_software.platform_version	Concatenação de `platformType` e `platformVersion` com um delimitador `-`.
platformVersion	principal.asset.platform_software.platform_version	Concatenação de `platformType` e `platformVersion` com um delimitador `-`.
policyViolatedAt	metadata.event_timestamp	Convertido em um carimbo de data/hora de milissegundos desde a época.
policyViolatedAt	security_result.about.labels.value	Mapeado diretamente de `policyViolatedAt` após a conversão em uma string.
policyViolatedID	security_result.rule_id	Mapeado diretamente de `policyViolatedID`.
prettyModel	principal.asset.hardware.model	Mapeado diretamente de `prettyModel`.
N/A	metadata.event_type	Fixado em `USER_UNCATEGORIZED`.
N/A	metadata.log_type	Fixado em `MOBILEIRON`.
N/A	metadata.product_name	Fixado em `MOBILEIRON`.
N/A	metadata.vendor_name	Fixado em `MOBILEIRON`.
N/A	principal.asset.type	Fixado em `MOBILE`.
N/A	security_result.about.labels.key	Fixado em `Policy Violated At`.
N/A	security_result.category	Fixado em `POLICY_VIOLATION`.

Alterações

2024-11-07

Melhoria:

Adição de suporte ao formato syslog.

2023-02-02

Melhoria:

Atualize o mapeamento security_result.summary para security_result.description em complianceViolationTypeToReason.BLACKLIST_APPS.
O mapeamento de "complianceViolationTypeToReason.SA" para "security_result.summary".

2022-04-25

Melhoria:

O event_type foi modificado de "GENERIC_EVENT" para "USER_UNCATEGORIZED".
O mapeamento de "policyViolatedAt" para "metadata.event_timestamp" foi feito.
"platformType" foi associado a "principal.asset.platform_software.platform".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.