Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Veridium ID

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Veridium ID para o Google Security Operations através do Bindplane. O analisador extrai primeiro os campos das mensagens syslog e categoriza-os com base no "log_identifier". Em seguida, usa a lógica condicional e a análise de chave-valor para mapear os campos extraídos numa estrutura de modelo de dados unificado (UDM), processando os formatos ActionLog e EventLog.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado ao Veridium ID

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VERIDIUM_ID'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Veridium ID

Inicie sessão no anfitrião do Veridium ID através de SSH ou CLI.
Edite o ficheiro /etc/rsyslog.conf ou /etc/rsyslog.d/events.conf através do VI.
```
vi /etc/rsyslog.conf
```

Introduza os seguintes detalhes, substituindo <bindplane-ip> e <bindplane-port> pelos detalhes reais do agente do Bindplane.

module(load="imfile" PollingInterval="10")
input(type="imfile" File="/var/log/veridiumid/websecadmin/events.log" Tag="ver-adminevents" reopenOnTruncate="on")
input(type="imfile" File="/var/log/veridiumid/tomcat/events.log" Tag="ver-events" reopenOnTruncate="on")

if $programname == 'ver-events' then @@<bindplane-ip>:<bindplane-port>
if $programname == 'ver-adminevents' then @@<bindplane-ip>:<bindplane-port>

Guarde o ficheiro e saia do VI.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`_caller.accountId`	`principal.user.userid`	Mapeado diretamente a partir do campo `_caller.accountId`.
`_caller.accountEmailAddressInfo`	`principal.user.email_addresses`	Mapeado diretamente a partir do campo `_caller.accountEmailAddressInfo`.
`_caller.accountExternalId`	`principal.user.email_addresses`	Mapeado diretamente a partir do campo `_caller.accountExternalId`.
`_caller.accountStatus`	`principal.user.attribute.labels[account_status].value`	Mapeado diretamente a partir do campo `_caller.accountStatus`.
`_caller.deviceId`	`principal.asset.asset_id`	Tem o prefixo "VERIDIUM_ID:" e é mapeado a partir do campo `_caller.deviceId`.
`_caller.deviceDescription`	`principal.asset.attribute.labels[device_description].value`	Mapeado diretamente a partir do campo `_caller.deviceDescription`.
`_caller.deviceManufacturer`	`principal.asset.attribute.labels[device_manufacturer].value`	Mapeado diretamente a partir do campo `_caller.deviceManufacturer`.
`_caller.deviceName`	`principal.asset.attribute.labels[device_name].value`	Mapeado diretamente a partir do campo `_caller.deviceName`.
`_caller.deviceOs`	`principal.asset.platform_software.platform`	Mapeado a partir do campo `_caller.deviceOs`. Se o valor for "iOS", é mapeado para "IOS". Se o valor for "Android", é mapeado para "ANDROID". Se o valor for "WIN" ou "Windows", é mapeado para "WINDOWS".
`_caller.deviceStatus`	`principal.asset.attribute.labels[device_status].value`	Mapeado diretamente a partir do campo `_caller.deviceStatus`.
`_caller.deviceType`	`principal.asset.attribute.labels[device_type].value`	Mapeado diretamente a partir do campo `_caller.deviceType`.
`actionDate`	`additional.fields[action_date].value.string_value`	Mapeado diretamente a partir do campo `actionDate`.
`actionName`	`metadata.product_event_type`	Mapeado diretamente a partir do campo `actionName`.
`accountEmail`	`principal.user.email_addresses`	Mapeado diretamente a partir do campo `accountEmail`.
`accountExternalId`	`principal.user.email_addresses`	Mapeado diretamente a partir do campo `accountExternalId`.
`accountId`	`principal.user.userid`	Mapeado diretamente a partir do campo `accountId`.
`authenticatorDeviceContext.deviceMake`	`intermediary.asset.hardware.manufacturer`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.deviceMake`.
`authenticatorDeviceContext.ip`	`intermediary.ip`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.ip`.
`authenticatorDeviceContext.location.city`	`intermediary.asset.location.city`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.location.coordinates.latitude`.
`authenticatorDeviceContext.location.coordinates.latitude`	`intermediary.asset.location.region_latitude`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.location.coordinates.latitude`.
`authenticatorDeviceContext.location.coordinates.longitude`	`intermediary.asset.location.region_longitude`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.location.coordinates.longitude`.
`authenticatorDeviceContext.location.countryName`	`intermediary.asset.location.country_or_region`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.location.countryName`.
`authenticatorDeviceContext.location.ip`	`intermediary.ip`	Mapeado diretamente a partir do campo `authenticatorDeviceContext.location.ip`.
`authenticationDeviceDescription`	`intermediary.asset.attribute.labels[authentication_device_description].value`	Mapeado diretamente a partir do campo `authenticationDeviceDescription`.
`authenticationDeviceName`	`intermediary.asset.asset_id`	Tem o prefixo "VERIDIUM_ID:" e é mapeado a partir do campo `authenticationDeviceName`.
`authenticationDeviceOs`	`intermediary.asset.platform_software.platform`	Mapeado a partir do campo `authenticationDeviceOs`. Se o valor for "iOS", é mapeado para "IOS". Se o valor for "Android", é mapeado para "ANDROID". Se o valor for "WIN" ou "Windows", é mapeado para "WINDOWS".
`authenticationDeviceOsVersion`	`intermediary.asset.platform_software.platform_version`	Mapeado diretamente a partir do campo `authenticationDeviceOsVersion`.
`authenticationDevicePhone`	`intermediary.asset.attribute.labels[authentication_device_phone].value`	Mapeado diretamente a partir do campo `authenticationDevicePhone`.
`authenticationDevicePhoneModel`	`intermediary.asset.attribute.labels[authentication_device_phone_model].value`	Mapeado diretamente a partir do campo `authenticationDevicePhoneModel`.
`authenticationDeviceRegistrationTime`	`intermediary.asset.attribute.labels[authentication_device_registeration_time].value`	Mapeado diretamente a partir do campo `authenticationDeviceRegistrationTime`.
`authenticationDeviceType`	`intermediary.asset.attribute.labels[authentication_device_type].value`	Mapeado diretamente a partir do campo `authenticationDeviceType`.
`authenticationResult`	`extensions.auth.auth_details`	Mapeado diretamente a partir do campo `authenticationResult`.
`context.deviceMake`	`principal.asset.hardware.manufacturer`	Mapeado diretamente a partir do campo `context.deviceMake`.
`context.ip`	`principal.ip`	Mapeado diretamente a partir do campo `context.ip`.
`context.location.countryName`	`principal.location.country_or_region`	Mapeado diretamente a partir do campo `context.location.countryName`.
`context.location.ip`	`principal.ip`	Mapeado diretamente a partir do campo `context.location.ip`.
`context.osVersion`	`principal.asset.platform_software.platform_version`	Mapeado diretamente a partir do campo `context.osVersion`.
`context.userAgentRaw`	`network.http.user_agent`	Mapeado diretamente a partir do campo `context.userAgentRaw`.
`exploiterDeviceContext.deviceMake`	`src.asset.hardware.manufacturer`	Mapeado diretamente a partir do campo `exploiterDeviceContext.deviceMake`.
`exploiterDeviceContext.ip`	`src.ip`	Mapeado diretamente a partir do campo `exploiterDeviceContext.ip`.
`exploiterDeviceContext.location.city`	`src.asset.location.city`	Mapeado diretamente a partir do campo `exploiterDeviceContext.location.city`.
`exploiterDeviceContext.location.coordinates.latitude`	`src.asset.location.region_latitude`	Mapeado diretamente a partir do campo `exploiterDeviceContext.location.coordinates.latitude`.
`exploiterDeviceContext.location.coordinates.longitude`	`src.asset.location.region_longitude`	Mapeado diretamente a partir do campo `exploiterDeviceContext.location.coordinates.longitude`.
`exploiterDeviceContext.location.countryName`	`src.asset.location.country_or_region`	Mapeado diretamente a partir do campo `exploiterDeviceContext.location.countryName`.
`exploiterDeviceContext.location.ip`	`src.ip`	Mapeado diretamente a partir do campo `exploiterDeviceContext.location.ip`.
`exploiterDeviceContext.osName`	`src.asset.platform_software.platform`	Mapeado a partir do campo `exploiterDeviceContext.osName`. Se o valor for "WIN" ou "Windows", é mapeado para "WINDOWS". Se o valor for "iOS", é mapeado para "IOS". Se o valor for "Android", é mapeado para "ANDROID".
`exploiterDeviceContext.osVersion`	`src.asset.platform_software.platform_version`	Mapeado diretamente a partir do campo `exploiterDeviceContext.osVersion`.
`exploiterDeviceName`	`src.asset.attribute.labels[exploiter_device_name].value`	Mapeado diretamente a partir do campo `exploiterDeviceName`.
`hostname`	`principal.hostname`	Mapeado diretamente a partir do campo `hostname`.
`ipAddress`	`principal.ip`	Mapeado diretamente a partir do campo `ipAddress`.
`location`	`principal.location.city`	Mapeado diretamente a partir do campo `location`.
`location.city`	`about.location.city`	Mapeado diretamente a partir do campo `location.city`.
`location.coordinates.latitude`	`about.location.region_latitude`	Mapeado diretamente a partir do campo `location.coordinates.latitude`.
`location.coordinates.longitude`	`about.location.region_longitude`	Mapeado diretamente a partir do campo `location.coordinates.longitude`.
`location.countryName`	`about.location.country_or_region`	Mapeado diretamente a partir do campo `location.countryName`.
`location.ip`	`about.ip`	Mapeado diretamente a partir do campo `location.ip`.
`metadata.collected_timestamp`	`metadata.collected_timestamp`	Mapeado diretamente a partir do campo `collected_time`.
`metadata.event_timestamp`	`metadata.event_timestamp`	Mapeado diretamente a partir do campo `event_time`.
`metadata.event_type`	`metadata.event_type`	Definido como "USER_UNCATEGORIZED".
`metadata.product_event_type`	`metadata.product_event_type`	Mapeado diretamente a partir do campo `actionName`.
`metadata.product_name`	`metadata.product_name`	Definido como "VERIDIUM_ID".
`namespace`	`principal.namespace`	Mapeado diretamente a partir do campo `namespace`.
`pid`	`principal.process.pid`	Mapeado diretamente a partir do campo `pid`.
`request.context.userAgentRaw`	`network.http.user_agent`	Mapeado diretamente a partir do campo `request.context.userAgentRaw`.
`request.sessionId`	`network.session_id`	Mapeado diretamente a partir do campo `request.sessionId`.
`requestMethod`	`network.http.method`	Mapeado diretamente a partir do campo `requestMethod`.
`requestURI`	`network.http.referral_url`	Mapeado diretamente a partir do campo `requestURI`.
`security_result.severity`	`security_result.severity`	Mapeado a partir do campo `severity`. Se o valor for "INFO", é mapeado para "INFORMATIONAL".
	`principal.application`	Mapeado diretamente a partir do campo `application`.
	`principal.asset.hostname`	Mapeado diretamente a partir do campo `hostname`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.