Collecter les journaux Micro Focus NetIQ Access Manager
Ce document explique comment collecter les journaux Micro Focus NetIQ Access Manager dans Google Security Operations à l'aide de Bindplane. Micro Focus NetIQ Access Manager est une solution de gestion des identités et des accès (IAM) conçue pour sécuriser les applications et les données en fournissant des fonctionnalités d'authentification, d'autorisation et d'authentification unique (SSO) centralisées.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec
systemd. - Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès privilégié à NetIQ Access Manager.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
- Pour plus d'options d'installation, consultez ce guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5252" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: netiq_access raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsRemplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez
<customer_id>par le numéro client réel.Mettez à jour
/path/to/ingestion-authentication-file.jsonen indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer les événements d'audit Identity Server dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Sélectionnez Appareils> Serveur d'identité> Serveurs> Modifier> Audit et journalisation.
- Pour Journalisation d'audit, sélectionnez Activé.
- Pour auditer tous les événements, sélectionnez Tout sélectionner.
- Cliquez sur Appliquer> OK.
- Cliquez sur Serveurs > Mettre à jour les serveurs.
Configurer les événements d'audit Access Gateway dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Accédez à Appareils> Passerelles d'accès> Modifier> Audit.
- Cliquez sur Tout sélectionner.
- Cliquez sur OK > OK.
- Sur la page Passerelles d'accès, cliquez sur Mettre à jour.
Configurer le serveur de journalisation dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Cliquez sur Audit.
Spécifiez les informations suivantes :
- Auditer les messages à l'aide de syslog : sélectionnez cette option pour envoyer les événements d'audit au serveur d'audit.
- Arrêter le service en cas d'échec du serveur d'audit : laissez ce champ vide.
- Adresse d'écoute du serveur : saisissez l'adresse IP Bindplane.
- Port : spécifiez le port syslog utilisé pour se connecter à Bindplane.
- Format : sélectionnez CSV.
- Événements d'audit de la console d'administration : sélectionnez Tous.
Si syslog est sélectionné pour l'audit, procédez comme suit :
- Dans
nam.conf, remplacez la valeurSYSLOG_DAEMONparrsyslog. Le démon syslog par défaut est alors remplacé parrsyslog. Pour modifier le fichier
Auditlogging.cfget définir les macrosSERVERIPetSERVERPORTcomme vides, exécutez la commande suivante :LOGDEST=syslog FORMAT=JSON SERVERIP= SERVERPORT=
- Dans
Pour configurer UDP, exécutez la commande suivante :
#$ModLoad imtcp # load TCP listener $InputTCPServerRun 1290 $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n" $ModLoad imudp local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormatRedémarrez le service
rsyslog.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.