收集 Varonis 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Varonis 記錄擷取至 Google Security Operations。剖析器會使用 grok 模式從記錄 (SYSLOG + KV (CEF)、LEEF) 中擷取欄位,特別處理 CEF、LEEF 和其他 Varonis 專用格式。然後將擷取的欄位對應至整合式資料模型 (UDM),處理各種資料格式和極端情況,確保資料呈現方式一致。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本或 Linux 主機 (含 systemd)
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • Varonis 的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如「nano」、「vi」或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Varonis 中設定 Syslog 匯出功能

  1. 登入 Varonis 網頁版 UI。
  2. 依序前往「工具」>「DatAlert」> 選取「DatAlert」
  3. 選取「設定」
  4. 提供下列設定詳細資料:
    • 系統記錄訊息 IP 位址:輸入 Bindplane 代理程式 IP 位址。
    • 「通訊埠」:輸入 Bindplane 代理程式通訊埠編號 (例如 UDP514)。
    • 設施名稱:選取設施。
  5. 按一下 [套用]

在 Varonis 中設定 Syslog 格式

  1. 依序前往「工具」>「DatAlert」>「快訊範本」
  2. 按一下「編輯快訊範本」,然後選取「外部系統預設範本」
  3. 在「套用至快訊方法」中,從清單選取「系統記錄訊息」
  4. 從選單中選取「規則」>「快訊方法」
  5. 選取「Syslog message」(系統記錄訊息)。
  6. 按一下 [確定]

UDM 對應表

記錄欄位 UDM 對應 邏輯
act security_result.summary CEF 訊息中 act 欄位的值。
cn1 security_result.rule_id CEF 訊息中 cn1 欄位的值。
cs1 network.email.to CEF 訊息中 cs1 欄位的值,具體來說是電子郵件收件者。
cs2 security_result.rule_name CEF 訊息中 cs2 欄位的值。
device_version metadata.product_version CEF 訊息中 device_version 欄位的值。
dhost principal.hostname CEF 訊息中 dhost 欄位的值,代表主機名稱。如果 file_server 存在且不是「DirectoryServices」,系統會覆寫這個值。
duser target.user.userid CEF 訊息中 duser 欄位的值。經過 gsub 轉換,移除反斜線並分割為 target.user.useridtarget.administrative_domain
dvchost target.hostname CEF 訊息中 dvchost 欄位的值。
filePath target.file.full_path CEF 訊息中 filePath 欄位的值。
rt metadata.event_timestamp CEF 訊息中 rt 欄位的值,會剖析為時間戳記。
severity security_result.severity CEF 訊息或 LEEF 訊息中 severity 欄位的值。轉換為大寫。根據數值或關鍵字對應至 UDM 嚴重程度值 (LOW、INFORMATIONAL、MEDIUM、HIGH、CRITICAL)。
Acting Object target.user.user_display_name 鍵/值資料中 Acting Object 欄位的值。以「\」做為分隔符號,擷取顯示名稱。
Acting Object SAM Account Name target.user.userid 鍵/值資料中 Acting Object SAM Account Name 欄位的值。
Device hostname target.hostname 鍵/值資料中 Device hostname 欄位的值。
Device IP address target.ip 鍵/值資料中 Device IP address 欄位的值。
Event Time metadata.event_timestamp 鍵/值資料中 Event Time 欄位的值,會剖析為時間戳記。
Event Type target.applicationmetadata.event_type 鍵/值資料中 Event Type 欄位的值。用於衍生 metadata.event_type (FILE_OPEN、USER_CHANGE_PERMISSIONS、USER_CHANGE_PASSWORD、USER_UNCATEGORIZED)。
File Server/Domain principal.hostname 鍵/值資料中 File Server/Domain 欄位的值。如果不是「DirectoryServices」,則會覆寫從 dhost 衍生的 principal.hostname
Path target.file.full_path 鍵/值資料中 Path 欄位的值。
Rule Description metadata.description 鍵/值資料中 Rule Description 欄位的值。
Rule ID security_result.rule_id 鍵/值資料中 Rule ID 欄位的值。
Rule Name security_result.rule_name 鍵/值資料中 Rule Name 欄位的值。
intermediary_host intermediary.hostname 由 grok 擷取的值,代表中介主機名稱。
log_type metadata.log_type 硬式編碼為 VARONIS
metadata.event_type metadata.event_type 根據 evt_typactfilepath 的值衍生而來。如果 event_type 為 GENERIC_EVENT 且 principal_hostname 存在,則預設為 STATUS_UPDATE。
metadata.product_name metadata.product_name 硬式編碼為 VARONIS,但可由 LEEF 訊息中的 product_name 欄位覆寫。
metadata.vendor_name metadata.vendor_name 硬式編碼為 VARONIS,但可由 LEEF 訊息中的 vendor 欄位覆寫。
prin_host principal.hostname 由 grok 擷取的值,代表主機名稱。
product_name metadata.product_name LEEF 訊息中的值。
security_result.action security_result.action 衍生自 resultEvent Status 欄位。如果結果為 Success,請設為「ALLOW」,否則請設為 BLOCK
timestamp timestampmetadata.event_timestamp 系統會根據可用性,從各種欄位 (datetime1event_timestart_datetimedatetime2) 衍生事件時間戳記。如果沒有其他時間戳記欄位,系統會使用原始記錄中的 create_time 做為備用時間戳記,並對應至 timestampmetadata.event_timestamp
vendor metadata.vendor_name LEEF 訊息中的值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。