Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Varonis

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Varonis a Google Security Operations con Bindplane. El analizador extrae campos de los registros (SYSLOG + KV [CEF], LEEF) con patrones de Grok, y controla específicamente los formatos CEF, LEEF y otros formatos específicos de Varonis. Luego, asigna los campos extraídos al modelo de datos unificado (UDM) y controla varios formatos de datos y casos extremos para garantizar una representación coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Host de Windows 2016 o posterior, o de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
Acceso con privilegios a Varonis

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, "nano", "vi" o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura la exportación de Syslog en Varonis

Accede a la IU web de Varonis.
Ve a Herramientas > DatAlert > Seleccionar DatAlert.
Selecciona Configuración.
Proporciona los siguientes detalles de configuración:
- Dirección IP del mensaje de Syslog: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (por ejemplo, 514 para UDP).
- Nombre de la instalación: Selecciona una instalación.
Haz clic en Aplicar.

Configura el formato de Syslog en Varonis

Ve a Herramientas > DatAlert > Plantillas de alerta.
Haz clic en Editar plantilla de alerta y selecciona Plantilla predeterminada del sistema externo.
En Aplicar a los métodos de alerta, selecciona Mensaje de Syslog en la lista.
En el menú, selecciona Rules > Alert Method.
Selecciona Mensaje de Syslog.
Haz clic en Aceptar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`act`	`security_result.summary`	Valor del campo `act` en el mensaje de CEF.
`cn1`	`security_result.rule_id`	Valor del campo `cn1` en el mensaje de CEF.
`cs1`	`network.email.to`	Valor del campo `cs1` en el mensaje de CEF, específicamente el destinatario del correo electrónico.
`cs2`	`security_result.rule_name`	Valor del campo `cs2` en el mensaje de CEF.
`device_version`	`metadata.product_version`	Valor del campo `device_version` en el mensaje de CEF.
`dhost`	`principal.hostname`	Valor del campo `dhost` en el mensaje de CEF, que representa el nombre de host principal. Si `file_server` está presente y no es "DirectoryServices", se anula este valor.
`duser`	`target.user.userid`	Valor del campo `duser` en el mensaje de CEF. Se somete a una transformación gsub para quitar las barras inversas y dividir en `target.user.userid` y `target.administrative_domain`.
`dvchost`	`target.hostname`	Valor del campo `dvchost` en el mensaje de CEF.
`filePath`	`target.file.full_path`	Valor del campo `filePath` en el mensaje de CEF.
`rt`	`metadata.event_timestamp`	Es el valor del campo `rt` en el mensaje de CEF, analizado como una marca de tiempo.
`severity`	`security_result.severity`	Valor del campo `severity` en el mensaje CEF o LEEF. Se convirtió a mayúsculas. Se asigna a los valores de gravedad del UDM (BAJA, INFORMATIVA, MEDIA, ALTA, CRÍTICA) según el valor numérico o la palabra clave.
`Acting Object`	`target.user.user_display_name`	Valor del campo `Acting Object` en los datos de clave-valor. Se divide por "\" para extraer el nombre visible.
`Acting Object SAM Account Name`	`target.user.userid`	Valor del campo `Acting Object SAM Account Name` en los datos de clave-valor.
`Device hostname`	`target.hostname`	Valor del campo `Device hostname` en los datos de clave-valor.
`Device IP address`	`target.ip`	Valor del campo `Device IP address` en los datos de clave-valor.
`Event Time`	`metadata.event_timestamp`	Valor del campo `Event Time` en los datos de clave-valor, analizado como una marca de tiempo.
`Event Type`	`target.application`, `metadata.event_type`	Valor del campo `Event Type` en los datos de clave-valor. Se usa para derivar `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valor del campo `File Server/Domain` en los datos de clave-valor. Si no es "DirectoryServices", se reemplaza el `principal.hostname` derivado de `dhost`.
`Path`	`target.file.full_path`	Valor del campo `Path` en los datos de clave-valor.
`Rule Description`	`metadata.description`	Valor del campo `Rule Description` en los datos de clave-valor.
`Rule ID`	`security_result.rule_id`	Valor del campo `Rule ID` en los datos de clave-valor.
`Rule Name`	`security_result.rule_name`	Valor del campo `Rule Name` en los datos de clave-valor.
`intermediary_host`	`intermediary.hostname`	Es el valor extraído por Grok, que representa el nombre de host intermedio.
`log_type`	`metadata.log_type`	Se codificó como `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Se deriva en función de los valores de `evt_typ`, `act` y `filepath`. El valor predeterminado es STATUS_UPDATE si `event_type` es GENERIC_EVENT y `principal_hostname` está presente.
`metadata.product_name`	`metadata.product_name`	Está codificado de forma rígida como `VARONIS`, pero se puede anular con el campo `product_name` del mensaje LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Está codificado de forma rígida como `VARONIS`, pero se puede anular con el campo `vendor` del mensaje LEEF.
`prin_host`	`principal.hostname`	Es el valor extraído por grok, que representa el nombre de host principal.
`product_name`	`metadata.product_name`	Valor del mensaje LEEF.
`security_result.action`	`security_result.action`	Se deriva del campo `result` o `Event Status`. Se establece en "ALLOW" si el resultado es `Success`; de lo contrario, se establece en `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	La marca de tiempo del evento se deriva de varios campos (`datetime1`, `event_time`, `start_datetime`, `datetime2`) según la disponibilidad. El `create_time` del registro sin procesar se usa como alternativa y se asigna a `timestamp` y `metadata.event_timestamp` si no hay otros campos de marca de tiempo disponibles.
`vendor`	`metadata.vendor_name`	Valor del mensaje LEEF.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.