收集 Symantec VIP Authentication Hub 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Symantec VIP Authentication Hub 記錄擷取至 Google Security Operations。剖析器程式碼會先清理及預先處理輸入的記錄訊息,轉換特定欄位,並重組鍵/值組合中的資料。然後,系統會使用 grok 模式和條件式邏輯,從各種欄位擷取相關資訊,並將這些資訊對應至 Unified Data Model (UDM) 中的相應屬性,以標準化安全事件表示法。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本或 Linux 主機 (含 systemd)
- 如果透過 Proxy 執行,防火牆通訊埠已開啟
- Symantec VIP Authentication Hub 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'SYMANTEC_VIP_AUTHHUB' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec VIP Authentication Hub 中設定 Syslog
- 登入 Symantec VIP Gateway 網頁介面。
- 依序前往「記錄」>「系統記錄設定」。
- 如果您是第一次設定系統記錄,系統會提示您設定系統記錄設定。選取 [是]。
- 如果已設定系統記錄,請按一下頁面底部的「編輯」。
- 提供下列設定詳細資料:
- 系統記錄設施:選取「LOG_LOCAL0」。
- 系統記錄檔主機:輸入 Bindplane 代理程式 IP 位址。
- 「Syslog Port」(系統記錄通訊埠):輸入 Bindplane 代理程式通訊埠編號 (例如 UDP 的
514)。
- 按一下 [儲存]。
- 依序前往「身分識別提供者」>「自助服務入口網站設定」。
- 編輯下列設定詳細資料:
- 記錄層級:選取「資訊」。
- 啟用 Syslog:選取「是」。
- 按一下「提交」。
- 依序前往「身分識別提供者」>「VIP 管理員驗證設定」。
- 編輯下列設定詳細資料:
- 記錄層級:選取「資訊」。
- 啟用 Syslog:選取「是」。
- 按一下「提交」。
- 依序前往「使用者存放區」>「LDAP 目錄同步處理」。
- 編輯下列設定詳細資料:
- 記錄層級:選取「資訊」。
- 啟用 Syslog:選取「是」。
- 按一下「提交」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
/auth/v1/authenticate |
security_result.detection_fields[].value |
這個值取自原始記錄中的 /auth/v1/authenticate 欄位,並指派給鍵為 api 的 security_result.detection_fields 物件。 |
__isAuditIdLcmIdStore |
additional.fields[].value.string_value |
這個值取自原始記錄中的 __isAuditIdLcmIdStore 欄位,並指派給鍵為 __isAuditIdLcmIdStore 的 additional.fields 物件。 |
accessTokenScopes |
security_result.detection_fields[].value |
這個值取自原始記錄中的 accessTokenScopes 欄位,並指派給鍵為 accessTokenScopes 的 security_result.detection_fields 物件。 |
accessTokenTid |
security_result.detection_fields[].value |
這個值取自原始記錄中的 accessTokenTid 欄位,並指派給鍵為 accessTokenTid 的 security_result.detection_fields 物件。 |
api |
security_result.detection_fields[].value |
這個值取自原始記錄中的 api 欄位,並指派給鍵為 api 的 security_result.detection_fields 物件。 |
appId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 appId 欄位,並指派給鍵為 appId 的 additional.fields 物件。 |
appName |
principal.application |
這個值取自原始記錄中的 appName 欄位。 |
azpName |
additional.fields[].value.string_value |
這個值取自原始記錄中的 azpName 欄位,並指派給鍵為 azpName 的 additional.fields 物件。 |
bytes_sent |
network.sent_bytes |
這個值取自原始記錄中的 bytes_sent 欄位。 |
client |
principal.asset.ip、principal.ip |
系統會使用 grok 模式從原始記錄的 client 欄位中擷取 IP 位址,並新增至 principal.ip 和 principal.asset.ip 欄位。 |
clientId |
additional.fields[].value.string_value、principal.user.userid |
這個值取自原始記錄中的 clientId 欄位,並指派給鍵為 clientId 的 additional.fields 物件。如果 clientId 欄位不為空白,系統也會用來填入 principal.user.userid 欄位。 |
clientIp |
principal.asset.ip、principal.ip |
系統會從原始記錄的 clientIp 欄位取得值,並新增至 principal.ip 和 principal.asset.ip 欄位。 |
clientTid |
additional.fields[].value.string_value |
這個值取自原始記錄中的 clientTid 欄位,並指派給鍵為 clientTid 的 additional.fields 物件。 |
clientTxnId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 clientTxnId 欄位,並指派給鍵為 clientTxnId 的 additional.fields 物件。 |
contentType |
additional.fields[].value.string_value |
這個值取自原始記錄中的 contentType 欄位,並指派給鍵為 contentType 的 additional.fields 物件。 |
countryISO |
principal.location.country_or_region |
這個值取自原始記錄中的 countryISO 欄位。 |
eventId |
metadata.product_event_type |
這個值取自原始記錄中的 eventId 欄位。 |
flowStateId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 flowStateId 欄位,並指派給鍵為 flowStateId 的 additional.fields 物件。 |
geo.city_name |
principal.location.city |
這個值取自原始記錄中的 geo.city_name 欄位。 |
geo.country_name |
principal.location.country_or_region |
這個值取自原始記錄中的 geo.country_name 欄位。 |
geo.location.lat |
principal.location.region_coordinates.latitude |
這個值取自原始記錄中的 geo.location.lat 欄位,並轉換為浮點數,然後重新命名為 principal.location.region_coordinates.latitude。 |
geo.location.lon |
principal.location.region_coordinates.longitude |
這個值取自原始記錄中的 geo.location.lon 欄位,並轉換為浮點數,然後重新命名為 principal.location.region_coordinates.longitude。 |
guid |
metadata.product_log_id |
這個值取自原始記錄中的 guid 欄位。 |
host |
principal.asset.hostname、principal.hostname |
系統會從原始記錄的 host 欄位中擷取值,並移除所有引號,然後新增至 principal.hostname 和 principal.asset.hostname 欄位。 |
httpMethod |
network.http.method |
這個值取自原始記錄中的 httpMethod 欄位。 |
httpReferrer |
network.http.referral_url |
這個值取自原始記錄中的 httpReferrer 欄位。 |
identitySourceId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 identitySourceId 欄位,並指派給鍵為 identitySourceId 的 additional.fields 物件。 |
internal-user-sync-ext-resourceGuid |
target.user.userid |
這個值取自原始記錄中的 internal-user-sync-ext-resourceGuid 欄位。 |
internal-user-sync-ext-resourceName |
target.user.email_addresses |
這個值取自原始記錄中的 internal-user-sync-ext-resourceName 欄位,並新增至 target.user.email_addresses 欄位。 |
issuerUrl |
target.url |
這個值取自原始記錄中的 issuerUrl 欄位。 |
kubernetes.annotations.cni.projectcalico.org_containerID |
target.resource.product_object_id |
這個值取自原始記錄中的 kubernetes.annotations.cni.projectcalico.org_containerID 欄位。 |
kubernetes.annotations.cni.projectcalico.org_podIP |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.annotations.cni.projectcalico.org_podIP 欄位,並指派給鍵為 podIP 的 target.resource.attribute.labels 物件。 |
kubernetes.annotations.cni.projectcalico.org_podIPs |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.annotations.cni.projectcalico.org_podIPs 欄位,並指派給鍵為 podIPs 的 target.resource.attribute.labels 物件。 |
kubernetes.container_hash |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.container_hash 欄位,並指派給鍵為 container_hash 的 target.resource.attribute.labels 物件。 |
kubernetes.container_image |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.container_image 欄位,並指派給鍵為 container_image 的 target.resource.attribute.labels 物件。 |
kubernetes.container_name |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.container_name 欄位,並指派給鍵為 container_name 的 target.resource.attribute.labels 物件。 |
kubernetes.docker_id |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.docker_id 欄位,並指派給鍵為 docker_id 的 target.resource.attribute.labels 物件。 |
kubernetes.host |
principal.asset.hostname、principal.hostname |
系統會從原始記錄的 kubernetes.host 欄位取得值,並新增至 principal.hostname 和 principal.asset.hostname 欄位。 |
kubernetes.labels.app |
這個欄位不會對應至 UDM 中的 IDM 物件。 | |
kubernetes.labels.app.kubernetes.io/component |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/component 欄位,並指派給鍵為 io_component 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.app.kubernetes.io/instance |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/instance 欄位,並指派給鍵為 io_instance 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.app.kubernetes.io/managed-by |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/managed-by 欄位,並指派給鍵為 io_managed-by 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.app.kubernetes.io/name |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/name 欄位,並指派給鍵為 io_name 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.app.kubernetes.io/part-of |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/part-of 欄位,並指派給鍵為 io_part-of 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.app.kubernetes.io/version |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.app.kubernetes.io/version 欄位,並指派給鍵為 io_version 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.helm.sh/chart |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.helm.sh/chart 欄位,並指派給鍵為 helm_sh_chart 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.helmChartName |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.helmChartName 欄位,並指派給鍵為 helmChartName 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.imageTag |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.imageTag 欄位,並指派給鍵為 imageTag 的 target.resource.attribute.labels 物件。 |
kubernetes.labels.pod-template-hash |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.labels.pod-template-hash 欄位,並指派給鍵為 pod-template-hash 的 target.resource.attribute.labels 物件。 |
kubernetes.namespace_name |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.namespace_name 欄位,並指派給鍵為 namespace_name 的 target.resource.attribute.labels 物件。 |
kubernetes.pod_id |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.pod_id 欄位,並指派給鍵為 pod_id 的 target.resource.attribute.labels 物件。 |
kubernetes.pod_name |
target.resource.attribute.labels[].value |
這個值取自原始記錄中的 kubernetes.pod_name 欄位,並指派給鍵為 pod_name 的 target.resource.attribute.labels 物件。 |
level |
security_result.severity |
如果原始記錄中的 level 欄位與 notice 或 info (不區分大小寫) 相符,系統會將 security_result.severity 欄位設為 INFORMATIONAL。 |
log |
security_result.description、level、kv_data |
系統會使用 grok 模式,從原始記錄的 log 欄位中擷取 level 和 kv_data 欄位。security_result.description 欄位會填入整個 log 欄位。 |
logtag |
additional.fields[].value.string_value |
這個值取自原始記錄中的 logtag 欄位,並指派給鍵為 logtag 的 additional.fields 物件。 |
method |
network.http.method |
這個值取自原始記錄中的 method 欄位。 |
msg |
metadata.event_type、security_result.description |
這個值取自原始記錄中的 msg 欄位,並用於填入 security_result.description 欄位。metadata.event_type 欄位會根據 msg 欄位的內容決定:* 如果 msg 包含 Internal user created or updated,則為 USER_CREATION。* 如果 msg 包含 Authorization Initiated Succesfully、Authentication Initiated Successfully 或 Authentication Successful,則為 USER_LOGIN。* 如果 msg 包含 Token Generated 或 token verified,則為 USER_RESOURCE_ACCESS。* 如果 has_principal 和 has_target 均為 true,則為 NETWORK_CONNECTION。* 如果 has_principal 為 true,則為 STATUS_UPDATE。* GENERIC_EVENT。 |
path |
principal.file.full_path |
這個值取自原始記錄中的 path 欄位。 |
principalId |
additional.fields[].value.string_value、principal.user.userid |
這個值取自原始記錄中的 principalId 欄位,並指派給鍵為 principalId 的 additional.fields 物件。如果 principalId 欄位不是 clientId 且不為空白,系統也會使用該欄位填入 principal.user.userid 欄位。 |
principalType |
additional.fields[].value.string_value |
這個值取自原始記錄中的 principalType 欄位,並指派給鍵為 principalType 的 additional.fields 物件。 |
protocol |
network.application_protocol |
如果原始記錄中的 protocol 欄位與 HTTP (不區分大小寫) 相符,則 network.application_protocol 欄位會設為 HTTP。 |
referrer |
network.http.referral_url |
這個值取自原始記錄中的 referrer 欄位,並會移除所有引號,然後指派給 network.http.referral_url 欄位。 |
relVersion |
metadata.product_version |
這個值取自原始記錄中的 relVersion 欄位。 |
remoteAddr |
additional.fields[].value.string_value |
這個值取自原始記錄中的 remoteAddr 欄位,並指派給鍵為 remoteAddr 的 additional.fields 物件。 |
requestId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 requestId 欄位,並指派給鍵為 requestId 的 additional.fields 物件。 |
requestTime |
additional.fields[].value.string_value |
這個值取自原始記錄中的 requestTime 欄位,並指派給鍵為 requestTime 的 additional.fields 物件。 |
responseCode |
network.http.response_code |
系統會使用 grok 模式從原始記錄的 responseCode 欄位中擷取數值,並轉換為整數,然後指派給 network.http.response_code 欄位。 |
request |
method、path、protocol |
系統會先去除所有引號,然後使用 grok 模式從原始記錄的 request 欄位中擷取 method、path 和 protocol 欄位。 |
server |
target.asset.hostname、target.hostname |
系統會從原始記錄的 server 欄位取得值,並新增至 target.hostname 和 target.asset.hostname 欄位。 |
service |
additional.fields[].value.string_value |
這個值取自原始記錄中的 service 欄位,並指派給鍵為 service 的 additional.fields 物件。 |
status |
network.http.response_code |
這個值取自原始記錄中的 status 欄位,轉換為整數後,指派給 network.http.response_code 欄位。 |
stream |
additional.fields[].value.string_value |
這個值取自原始記錄中的 stream 欄位,並指派給鍵為 stream 的 additional.fields 物件。 |
sub |
additional.fields[].value.string_value |
這個值取自原始記錄中的 sub 欄位,並指派給鍵為 sub 的 additional.fields 物件。 |
subType |
additional.fields[].value.string_value |
這個值取自原始記錄中的 subType 欄位,並指派給鍵為 subType 的 additional.fields 物件。 |
tid |
additional.fields[].value.string_value |
這個值取自原始記錄中的 tid 欄位,並指派給鍵為 tid 的 additional.fields 物件。 |
timestamp |
metadata.event_timestamp |
這個值取自原始記錄中的 timestamp 欄位,並剖析為 ISO8601 時間戳記。 |
tname |
additional.fields[].value.string_value |
這個值取自原始記錄中的 tname 欄位,並指派給鍵為 tname 的 additional.fields 物件。 |
txnId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 txnId 欄位,並指派給鍵為 txnId 的 additional.fields 物件。 |
type |
additional.fields[].value.string_value |
這個值取自原始記錄中的 type 欄位,並指派給鍵為 type 的 additional.fields 物件。 |
userAgent |
network.http.parsed_user_agent、network.http.user_agent |
這個值取自原始記錄中的 userAgent 欄位,並指派給 network.http.user_agent 和 network.http.parsed_user_agent 欄位。接著,系統會將 network.http.parsed_user_agent 欄位轉換為已剖析的使用者代理程式物件。 |
userDN |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userDN 欄位,並指派給鍵為 userDN 的 additional.fields 物件。 |
userGuid |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userGuid 欄位,並指派給鍵為 userGuid 的 additional.fields 物件。 |
userIdpGuid |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userIdpGuid 欄位,並指派給鍵為 userIdpGuid 的 additional.fields 物件。 |
userIP |
principal.asset.ip、principal.ip、target.asset.ip、target.ip、intermediary.ip |
系統會使用 grok 模式,從原始記錄的 userIP 欄位中擷取 IP 位址。第一個 IP 位址會新增至 principal.ip 和 principal.asset.ip 欄位。第二個 IP 位址會新增至 target.ip 和 target.asset.ip 欄位。第三個 IP 位址會新增至 intermediary.ip 欄位。 |
userLoginId |
target.user.email_addresses |
如果原始記錄中的 userLoginId 欄位不為空白,且符合電子郵件地址模式,系統會將其新增至 target.user.email_addresses 欄位。 |
userLoginIdAttributeMappingName |
target.user.user_display_name |
這個值取自原始記錄中的 userLoginIdAttributeMappingName 欄位。 |
userRiskLevel |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userRiskLevel 欄位,並指派給鍵為 userRiskLevel 的 additional.fields 物件。 |
userRiskScore |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userRiskScore 欄位,並指派給鍵為 userRiskScore 的 additional.fields 物件。 |
userIp |
principal.asset.ip、principal.ip |
系統會從原始記錄的 userIp 欄位取得值,並新增至 principal.ip 和 principal.asset.ip 欄位。 |
userUniversalId |
additional.fields[].value.string_value |
這個值取自原始記錄中的 userUniversalId 欄位,並指派給鍵為 userUniversalId 的 additional.fields 物件。 |
vhost |
additional.fields[].value.string_value |
這個值取自原始記錄中的 vhost 欄位,並指派給鍵為 vhost 的 additional.fields 物件。 |
| 不適用 | extensions.auth.type |
如果 metadata.event_type 欄位為 USER_LOGIN,則值會設為 SSO。 |
| 不適用 | metadata.log_type |
值會設為 SYMANTEC_VIP_AUTHHUB。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。