Raccogliere i log di Absolute Secure Endpoint

Questo documento spiega come importare i log di Absolute Secure Endpoint (in precedenza Absolute Data & Device Security) in Google Security Operations utilizzando Bindplane. L'analizzatore estrae i campi dai log del connettore SIEM in formato SYSLOG + KV (CEF). Utilizza i pattern grok per identificare ed estrarre i campi, quindi utilizza la logica condizionale in base alla presenza di dati kv_pair o cef per mappare i campi estratti allo schema UDM. Vengono applicate mappature e trasformazioni specifiche a seconda dei campi identificati e dei relativi valori, gestendo sia i dati heartbeat di stato sia quelli degli eventi di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un host Windows 2016 o versioni successive o Linux con systemd per eseguire l'agente Bindplane
• Un server Windows (2012 o versioni successive) per ospitare il servizio Absolute SIEM Connector
• Microsoft .NET Framework 4.0 o versioni successive installato sul server Windows che ospita SIEM Connector
• Accesso con privilegi alla console Absolute Secure Endpoint con l'integrazione SIEM abilitata
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente BindPlane

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'ABSOLUTE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Installa il connettore Absolute SIEM su Windows Server

Absolute SIEM Connector è un servizio Windows che recupera i dati sugli eventi di avviso da Absolute Monitoring Center e li inoltra utilizzando syslog in formato CEF. Il connettore SIEM viene fornito come programma di installazione MSI ed è disponibile come download gratuito per i clienti di Absolute Data & Device Security (DDS) Professional e Premium tramite l'Absolute Customer Center.

1. Accedi alla console Absolute Secure Endpoint all'indirizzo https://cc.absolute.com/.
2. Vai alla sezione Customer Center o Download.
3. Scarica il programma di installazione MSI del connettore SIEM Absolute.
4. Trasferisci il programma di installazione su Windows Server.
5. Esegui il programma di installazione su Windows Server come amministratore.
6. Segui la procedura guidata di installazione per completare l'installazione.
7. Prendi nota della directory di installazione (in genere C:\Program Files\Absolute Software\Absolute SIEM Connector).

Abilitare l'integrazione SIEM nella console Absolute Secure Endpoint

Prima che il connettore SIEM possa recuperare gli eventi, devi abilitare l'integrazione SIEM nella console Absolute Secure Endpoint.

1. Accedi alla console Absolute Secure Endpoint all'indirizzo https://cc.absolute.com/.
2. Vai alla sezione Impostazioni o Amministrazione.
3. Individua le impostazioni di Integrazione SIEM.
4. Fai clic su Enable SIEM Integration (Abilita integrazione SIEM) o attiva l'impostazione di integrazione SIEM su On (Attiva).
5. Seleziona i tipi di eventi che vuoi inoltrare al tuo SIEM:
   • In alternativa, seleziona Tutti i tipi di eventi per inoltrare tutti i log disponibili.
6. Fai clic su Salva o Applica la configurazione.

Configura il connettore SIEM Absolute

Dopo aver installato il connettore SIEM e abilitato l'integrazione SIEM nella console, configura il connettore per inviare gli eventi all'agente BindPlane.

1. Su Windows Server in cui è installato Absolute SIEM Connector, apri lo strumento di configurazione di Absolute SIEM Connector.
   • Puoi trovarlo nel menu Start in Absolute Software o nella directory di installazione.
2. Fornisci i seguenti dettagli di configurazione:
   • Host del server Syslog: inserisci l'indirizzo IP o il nome host dell'agente Bindplane.
   • Porta server Syslog: inserisci 514 (o la porta configurata in Bindplane).
   • Protocollo: seleziona UDP o TCP a seconda della configurazione Bindplane effettiva.
   • Formato: verifica che sia selezionato CEF (Common Event Format).
   • Intervallo di aggiornamento: imposta la frequenza con cui il connettore recupera gli eventi da Absolute (minimo 2 minuti, massimo 1440 minuti/24 ore; il valore predefinito è 60 minuti).
   • Fuso orario: gli eventi vengono trasmessi nel fuso orario UTC per garantire la coerenza universale tra i sistemi.
3. Fai clic su Salva.
4. Avvia o riavvia il servizio Absolute SIEM Connector:
   • Apri Servizi (services.msc).
   • Individua il servizio Absolute SIEM Connector.
   • Fai clic su Avvia o Riavvia.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.