Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Varonis

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Varonis dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux (SYSLOG + KV (CEF), LEEF) à l'aide de modèles Grok, en gérant spécifiquement les formats CEF, LEEF et d'autres formats spécifiques à Varonis. Il mappe ensuite les champs extraits au modèle de données unifié (UDM), en gérant différents formats de données et cas extrêmes pour assurer une représentation cohérente.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps
Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié à Varonis

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, "nano", "vi" ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer l'exportation Syslog dans Varonis

Connectez-vous à l'interface utilisateur Web Varonis.
Accédez à Outils> DatAlert> Sélectionnez DatAlert.
Sélectionnez Configuration.
Fournissez les informations de configuration suivantes :
- Adresse IP du message Syslog : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Nom de l'établissement : sélectionnez un établissement.
Cliquez sur Appliquer.

Configurer le format Syslog dans Varonis

Accédez à Outils > DatAlert > Modèles d'alertes.
Cliquez sur Modifier le modèle d'alerte, puis sélectionnez Modèle par défaut du système externe.
Dans Appliquer aux méthodes d'alerte, sélectionnez Message Syslog dans la liste.
Dans le menu, sélectionnez Règles> Méthode d'alerte.
Sélectionnez Message Syslog.
Cliquez sur OK.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`act`	`security_result.summary`	Valeur du champ `act` dans le message CEF.
`cn1`	`security_result.rule_id`	Valeur du champ `cn1` dans le message CEF.
`cs1`	`network.email.to`	Valeur du champ `cs1` dans le message CEF, plus précisément le destinataire de l'e-mail.
`cs2`	`security_result.rule_name`	Valeur du champ `cs2` dans le message CEF.
`device_version`	`metadata.product_version`	Valeur du champ `device_version` dans le message CEF.
`dhost`	`principal.hostname`	Valeur du champ `dhost` dans le message CEF, représentant le nom d'hôte principal. Si `file_server` est présent et n'est pas défini sur "DirectoryServices", il remplace cette valeur.
`duser`	`target.user.userid`	Valeur du champ `duser` dans le message CEF. Subit une transformation gsub pour supprimer les barres obliques inverses et est divisé en `target.user.userid` et `target.administrative_domain`.
`dvchost`	`target.hostname`	Valeur du champ `dvchost` dans le message CEF.
`filePath`	`target.file.full_path`	Valeur du champ `filePath` dans le message CEF.
`rt`	`metadata.event_timestamp`	Valeur du champ `rt` du message CEF, analysée en tant qu'horodatage.
`severity`	`security_result.severity`	Valeur du champ `severity` dans le message CEF ou LEEF. Converti en majuscules. Mappé aux valeurs de gravité UDM (FAIBLE, INFORMATIF, MOYEN, ÉLEVÉ, CRITIQUE) en fonction de la valeur numérique ou du mot clé.
`Acting Object`	`target.user.user_display_name`	Valeur du champ `Acting Object` dans les données clé-valeur. Divisez par "\" pour extraire le nom à afficher.
`Acting Object SAM Account Name`	`target.user.userid`	Valeur du champ `Acting Object SAM Account Name` dans les données clé-valeur.
`Device hostname`	`target.hostname`	Valeur du champ `Device hostname` dans les données clé-valeur.
`Device IP address`	`target.ip`	Valeur du champ `Device IP address` dans les données clé-valeur.
`Event Time`	`metadata.event_timestamp`	Valeur du champ `Event Time` dans les données clé/valeur, analysée en tant qu'horodatage.
`Event Type`	`target.application`, `metadata.event_type`	Valeur du champ `Event Type` dans les données clé-valeur. Utilisé pour dériver `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valeur du champ `File Server/Domain` dans les données clé-valeur. Si la valeur n'est pas "DirectoryServices", elle écrase le `principal.hostname` dérivé de `dhost`.
`Path`	`target.file.full_path`	Valeur du champ `Path` dans les données clé-valeur.
`Rule Description`	`metadata.description`	Valeur du champ `Rule Description` dans les données clé-valeur.
`Rule ID`	`security_result.rule_id`	Valeur du champ `Rule ID` dans les données clé-valeur.
`Rule Name`	`security_result.rule_name`	Valeur du champ `Rule Name` dans les données clé-valeur.
`intermediary_host`	`intermediary.hostname`	Valeur extraite par grok, représentant le nom d'hôte intermédiaire.
`log_type`	`metadata.log_type`	Codé en dur sur `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Dérivé des valeurs de `evt_typ`, `act` et `filepath`. La valeur par défaut est STATUS_UPDATE si `event_type` est GENERIC_EVENT et que `principal_hostname` est présent.
`metadata.product_name`	`metadata.product_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `product_name` du message LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `vendor` du message LEEF.
`prin_host`	`principal.hostname`	Valeur extraite par grok, représentant le nom d'hôte principal.
`product_name`	`metadata.product_name`	Valeur du message LEEF.
`security_result.action`	`security_result.action`	Dérivé du champ `result` ou `Event Status`. Définissez sur "ALLOW" si le résultat est `Success`, sinon définissez sur `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	Le code temporel de l'événement est dérivé de différents champs (`datetime1`, `event_time`, `start_datetime`, `datetime2`) en fonction de leur disponibilité. Le `create_time` du journal brut est utilisé comme solution de secours et est mappé à `timestamp` et `metadata.event_timestamp` si aucun autre champ d'horodatage n'est disponible.
`vendor`	`metadata.vendor_name`	Valeur du message LEEF.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.