Collecter les journaux Micro Focus NetIQ Access Manager
Ce document explique comment collecter les journaux Micro Focus NetIQ Access Manager dans Google Security Operations à l'aide de Bindplane. Micro Focus NetIQ Access Manager est une solution de gestion de l'identité et des accès (IAM) conçue pour sécuriser les applications et les données en fournissant des fonctionnalités d'authentification, d'autorisation et d'authentification unique (SSO, Single Sign-On) centralisées.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec
systemd. - Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès privilégié à NetIQ Access Manager.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.
Installer l'agent Bindplane
Installation de Windows
- Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec des droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Autres ressources d'installation
- Pour plus d'options d'installation, consultez ce guide d'installation.
Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps
Accédez au fichier de configuration:
- Recherchez le fichier
config.yaml. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (
nano,viou Bloc-notes, par exemple).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5252" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: netiq_access raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsRemplacez le port et l'adresse IP dans votre infrastructure si nécessaire.
Remplacez
<customer_id>par le numéro client réel.Remplacez
/path/to/ingestion-authentication-file.jsonpar le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer les événements d'audit Identity Server dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Sélectionnez Devices > Identity server > Servers > Edit > Auditing and logging (Appareils > Identité du serveur > Serveurs > Modifier > Audit et journalisation).
- Pour Journalisation d'audit, sélectionnez Activé.
- Pour auditer tous les événements, sélectionnez Tout sélectionner.
- Cliquez sur Appliquer> OK.
- Cliquez sur Servers > Update servers (Serveurs > Mettre à jour les serveurs).
Configurer les événements d'audit Access Gateway dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Accédez à Appareils > passerelles d'accès > Modifier > Audit.
- Cliquez sur Tout sélectionner.
- Cliquez sur OK > OK.
- Sur la page Barrières de contrôle des accès, cliquez sur Mettre à jour.
Configurer le serveur de journalisation dans NetIQ Access Manager
- Connectez-vous à la console d'administration NetIQ.
- Cliquez sur Audit.
Spécifiez les informations suivantes :
- Auditer les messages à l'aide de syslog: sélectionnez cette option pour envoyer des événements d'audit au serveur d'audit.
- Arrêter le service en cas de défaillance du serveur d'audit: laissez ce champ vide.
- Adresse d'écoute du serveur: saisissez l'adresse IP de Bindplane.
- Port: spécifiez le port syslog utilisé pour se connecter à Bindplane.
- Format: sélectionnez CSV.
- Événements d'audit de la console de gestion: sélectionnez Tous.
Si syslog est sélectionné pour l'audit, procédez comme suit:
- Dans
nam.conf, remplacez la valeurSYSLOG_DAEMONparrsyslog. Le démon syslog par défaut est alors remplacé parrsyslog. Pour modifier le fichier
Auditlogging.cfget définir les macrosSERVERIPetSERVERPORTcomme vides, exécutez la commande suivante:LOGDEST=syslog FORMAT=JSON SERVERIP= SERVERPORT=
- Dans
Pour configurer UDP, exécutez la commande suivante:
#$ModLoad imtcp # load TCP listener $InputTCPServerRun 1290 $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n" $ModLoad imudp local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormatRedémarrez le service
rsyslog.
Modifications
2024-12-12
- Analyseur nouvellement créé.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.