Coletar registros do Symantec VIP Authentication Hub

Este documento explica como ingerir registros do Symantec VIP Authentication Hub no Google Security Operations usando o Bindplane. Primeiro, o código do analisador limpa e pré-processa a mensagem de registro de entrada, convertendo campos específicos e reestruturando dados de pares de chave-valor. Em seguida, ele extrai informações relevantes de vários campos usando padrões grok e lógica condicional, mapeando-os para os atributos correspondentes no Modelo de dados unificado (UDM, na sigla em inglês) para representação padronizada de ocorrência de segurança.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

• Instância do Google SecOps
• Host Windows 2016 ou mais recente ou Linux com systemd
• Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
• Acesso privilegiado ao hub de autenticação VIP da Symantec.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'SYMANTEC_VIP_AUTHHUB'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID do cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Syslog no Symantec VIP Authentication Hub

1. Faça login na UI da Web do Symantec VIP Gateway.
2. Acesse Registros > Configuração do Syslog.
3. Se você estiver configurando o Syslog pela primeira vez, será solicitado que você configure as definições dele. Selecione Sim
4. Se você já tiver configurado o Syslog, clique em Editar na parte de baixo da página.
5. Informe os seguintes detalhes de configuração:
   • Facilidade do Syslog: selecione LOG_LOCAL0.
   • Host syslog: insira o endereço IP do agente do Bindplane.
   • Porta do Syslog: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
6. Clique em Salvar.
7. Acesse Provedores de identidade > Configuração do portal de autoatendimento.
8. Edite os seguintes detalhes de configuração:
   • Nível de registro: selecione Informações.
   • Enable Syslog: selecione Yes.
9. Clique em Enviar.
10. Acesse Provedores de identidade > Configuração de autenticação do VIP Manager.
11. Edite os seguintes detalhes de configuração:
    • Nível de registro: selecione Informações.
    • Enable Syslog: selecione Yes.
12. Clique em Enviar.
13. Acesse Repositório de usuários > Sincronização de diretório LDAP.
14. Edite os seguintes detalhes de configuração:
    • Nível do registro: selecione Informações.
    • Enable Syslog: selecione Yes.
15. Clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.