Collecter les journaux Absolute Secure Endpoint

Ce document explique comment ingérer les journaux Absolute Secure Endpoint (anciennement Absolute Data & Device Security) dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux du connecteur SIEM au format SYSLOG + KV (CEF). Il utilise des modèles Grok pour identifier et extraire des champs, puis utilise une logique conditionnelle basée sur la présence de données kv_pair ou cef pour mapper les champs extraits au schéma UDM. Des mappages et des transformations spécifiques sont appliqués en fonction des champs identifiés et de leurs valeurs, en traitant à la fois les données d'état et les données d'événements de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un hôte Windows 2016 ou version ultérieure, ou Linux avec systemd pour exécuter l'agent Bindplane
• Un serveur Windows (2012 ou version ultérieure) pour héberger le service Absolute SIEM Connector
• Microsoft .NET Framework 4.0 ou version ultérieure installé sur le serveur Windows hébergeant le connecteur SIEM
• Accès privilégié à la console Absolute Secure Endpoint avec l'intégration SIEM activée
• Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent BindPlane.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.
3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec les droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez au fichier de configuration :

   1. Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'ABSOLUTE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
   • Remplacez <CUSTOMER_ID> par le numéro client réel.
   • Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Installer le connecteur Absolute SIEM sur Windows Server

Absolute SIEM Connector est un service Windows qui récupère les données d'événements d'alerte depuis Absolute Monitoring Center et les transmet à l'aide de syslog au format CEF. Le connecteur SIEM est fourni sous la forme d'un programme d'installation MSI et est disponible en téléchargement gratuit pour les clients Absolute Data & Device Security (DDS) Professional et Premium via l'Absolute Customer Center.

1. Connectez-vous à la console Absolute Secure Endpoint sur https://cc.absolute.com/.
2. Accédez à la section Customer Center (Centre client) ou Downloads (Téléchargements).
3. Téléchargez le programme d'installation MSI du connecteur Absolute SIEM.
4. Transférez le programme d'installation vers votre serveur Windows.
5. Exécutez le programme d'installation sur votre serveur Windows en tant qu'administrateur.
6. Suivez l'assistant d'installation pour terminer l'installation.
7. Notez le répertoire d'installation (généralement C:\Program Files\Absolute Software\Absolute SIEM Connector).

Activer l'intégration du SIEM dans la console Absolute Secure Endpoint

Avant que le connecteur SIEM puisse récupérer des événements, vous devez activer l'intégration SIEM dans la console Absolute Secure Endpoint.

1. Connectez-vous à la console Absolute Secure Endpoint sur https://cc.absolute.com/.
2. Accédez à la section Paramètres ou Administration.
3. Recherchez les paramètres SIEM Integration (Intégration SIEM).
4. Cliquez sur Enable SIEM Integration (Activer l'intégration SIEM) ou activez le paramètre d'intégration SIEM en le définissant sur On (Activé).
5. Sélectionnez les types d'événements que vous souhaitez transférer vers votre SIEM :
   • Vous pouvez également sélectionner Tous les types d'événements pour transférer tous les journaux disponibles.
6. Cliquez sur Enregistrer ou Appliquer la configuration.

Configurer le connecteur Absolute SIEM

Après avoir installé le connecteur SIEM et activé l'intégration SIEM dans la console, configurez le connecteur pour qu'il envoie des événements à l'agent BindPlane.

1. Sur le serveur Windows sur lequel le connecteur Absolute SIEM est installé, ouvrez l'outil de configuration du connecteur Absolute SIEM.
   • Vous trouverez cette option dans le menu Démarrer, sous Absolute Software, ou dans le répertoire d'installation.
2. Fournissez les informations de configuration suivantes :
   • Hôte du serveur Syslog : saisissez l'adresse IP ou le nom d'hôte de l'agent Bindplane.
   • Port du serveur Syslog : saisissez 514 (ou le port configuré dans Bindplane).
   • Protocole : sélectionnez UDP ou TCP en fonction de la configuration Bindplane réelle.
   • Format : vérifiez que CEF (Common Event Format) est sélectionné.
   • Intervalle de mise à jour : définissez la fréquence à laquelle le connecteur récupère les événements depuis Absolute (minimum 2 minutes, maximum 1 440 minutes/24 heures ; la valeur par défaut est de 60 minutes).
   • Fuseau horaire : les événements sont transmis dans le fuseau horaire UTC pour assurer une cohérence universelle entre les systèmes.
3. Cliquez sur Enregistrer.
4. Démarrez ou redémarrez le service Absolute SIEM Connector :
   • Ouvrez Services (services.msc).
   • Recherchez le service Absolute SIEM Connector.
   • Cliquez sur Démarrer ou Redémarrer.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.