Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Absolute Secure Endpoint

Suportado em:

Google secops SIEM

Este documento explica como carregar registos do Absolute Secure Endpoint (anteriormente Absolute Data & Device Security) para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos do conetor SIEM no formato SYSLOG + KV (CEF). Usa padrões grok para identificar e extrair campos e, em seguida, usa lógica condicional com base na presença de dados kv_pair ou cef para mapear os campos extraídos para o esquema UDM. São aplicadas transformações e mapeamentos específicos consoante os campos identificados e os respetivos valores, processando os dados de eventos de segurança e de pulsação de estado.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou Linux com systemd para executar o agente Bindplane
Um Windows Server (2012 ou posterior) para alojar o serviço Absolute SIEM Connector
Microsoft .NET Framework 4.0 ou superior instalado no Windows Server que aloja o conetor SIEM
Acesso privilegiado à consola do Absolute Secure Endpoint com a integração do SIEM ativada
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente BindPlane

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Instale o Absolute SIEM Connector no Windows Server

O conetor SIEM absoluto é um serviço do Windows que obtém dados de eventos de alerta do Absolute Monitoring Center e encaminha-os através do syslog no formato CEF. O conetor SIEM é fornecido como um instalador MSI e está disponível como uma transferência gratuita para clientes do Absolute Data & Device Security (DDS) Professional e Premium através do Absolute Customer Center.

Inicie sessão na Absolute Secure Endpoint Console em https://cc.absolute.com/.
Aceda ao centro de clientes ou à secção Transferências.
Transfira o instalador MSI do Absolute SIEM Connector.
Transfira o instalador para o seu Windows Server.
Execute o instalador no Windows Server como administrador.
Siga o assistente de instalação para concluir a instalação.
Tenha em atenção o diretório de instalação (normalmente, C:\Program Files\Absolute Software\Absolute SIEM Connector).

Ative a integração do SIEM na Absolute Secure Endpoint Console

Antes de o conetor SIEM poder obter eventos, tem de ativar a integração do SIEM na consola do Absolute Secure Endpoint.

Inicie sessão na Absolute Secure Endpoint Console em https://cc.absolute.com/.
Aceda à secção Definições ou Administração.
Localize as definições de integração do SIEM.
Clique em Ativar integração do SIEM ou ative a definição de integração do SIEM.
Selecione os tipos de eventos que quer encaminhar para o seu SIEM:
- Em alternativa, selecione Todos os tipos de eventos para encaminhar todos os registos disponíveis.
Clique em Guardar ou Aplicar a configuração.

Configure o conetor SIEM absoluto

Depois de instalar o conetor SIEM e ativar a integração SIEM na consola, configure o conetor para enviar eventos para o agente BindPlane.

No Windows Server onde o Absolute SIEM Connector está instalado, abra a ferramenta de configuração do Absolute SIEM Connector.
- Pode encontrá-lo no menu Iniciar em Absolute Software ou no diretório de instalação.
Forneça os seguintes detalhes de configuração:
- Anfitrião do servidor Syslog: introduza o endereço IP ou o nome de anfitrião do agente Bindplane.
- Porta do servidor Syslog: introduza 514 (ou a porta configurada no Bindplane).
- Protocolo: selecione UDP ou TCP, consoante a configuração real do Bindplane.
- Formato: confirme que o CEF (formato de evento comum) está selecionado.
- Intervalo de atualização: defina a frequência com que o conetor obtém eventos do Absolute (mínimo de 2 minutos, máximo de 1440 minutos/24 horas; a predefinição é de 60 minutos).
- Fuso horário: os eventos são transmitidos no fuso horário UTC para garantir a consistência universal entre sistemas.
Clique em Guardar.
Inicie ou reinicie o serviço Absolute SIEM Connector:
- Abra os Serviços (services.msc).
- Localize o serviço Absolute SIEM Connector.
- Clique em Iniciar ou Reiniciar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
`actorID`	`principal.user.product_object_id`	O valor de `actorID` do registo não processado é mapeado para este campo da UDM.
`actorName`	`principal.hostname`	Se `actorType` for "Device", o valor de `actorName` é mapeado para este campo UDM.
`actorName`	`principal.user.userid`	Se `actorType` for "User", o valor de `actorName` é mapeado para este campo da UDM.
`actorType`	`principal.user.attribute.roles.name`	O valor de `actorType` é mapeado para este campo da UDM.
`Alert ID`	`security_result.threat_id`	O valor de `Alert ID` do registo não processado é mapeado para este campo da UDM.
`Alert Name`	`security_result.threat_name`	O valor de `Alert Name` do registo não processado é mapeado para este campo da UDM.
`Alert Time`	`metadata.event_timestamp`	O valor de `Alert Time` do registo não processado é analisado e mapeado para este campo de UDM. Usado como alternativa se o campo `date` não estiver presente ou for inválido.
`cef`	`metadata.product_event_type`	O campo `eventType` extraído da string CEF é mapeado para este campo UDM.
`cef`	`principal.hostname`	O campo `objectName` extraído da string CEF é mapeado para este campo UDM.
`cef`	`principal.resource.product_object_id`	O campo `objectID` extraído da string CEF é mapeado para este campo UDM.
`cef`	`principal.user.product_object_id`	O campo `actorID` extraído da string CEF é mapeado para este campo UDM.
`cef`	`principal.user.userid`	O campo `actorName` extraído da string CEF é mapeado para este campo UDM se `actorType` for "User".
`cef`	`security_result.summary`	O campo `verb` extraído da string CEF é mapeado para este campo UDM.
`cef`	`target.labels.key`	O analisador define o valor como "objectProperties".
`cef`	`target.labels.value`	O campo `objectProperties` extraído da string CEF é mapeado para este campo UDM.
`Computer Name`	`principal.hostname`	O valor de `Computer Name` do registo não processado é mapeado para este campo da UDM.
`Condition`	`security_result.description`	O valor de `Condition` do registo não processado é mapeado para este campo da UDM.
`date`	`metadata.event_timestamp`	O valor de `date` do registo não processado é analisado e mapeado para este campo de UDM.
`datetime`	`timestamp.seconds`	Os segundos da época extraídos do campo `datetime` são usados para preencher o campo `timestamp.seconds`.
`dvc_ip`	`intermediary.ip`	O valor de `dvc_ip` do registo não processado é mapeado para este campo da UDM.
`device_product`	`metadata.product_name`	O valor é definido como "ABSOLUTE_PLATFORM".
`device_vendor`	`metadata.vendor_name`	O valor é definido como "ABSOLUTE".
`device_version`	`metadata.product_version`	O valor de `device_version` do registo não processado é mapeado para este campo da UDM.
`ESN`	`security_result.detection_fields.key`	O analisador sintático define o valor como "ESN".
`ESN`	`security_result.detection_fields.value`	O valor de `ESN` extraído do campo `kv_pair` é mapeado para este campo da UDM.
`event_class`	`metadata.product_event_type`	O valor de `event_class` do registo não processado é mapeado para este campo do UDM se `eventType` não estiver presente.
`eventType`	`metadata.product_event_type`	O valor de `eventType` do registo não processado é mapeado para este campo da UDM.
`hostname`	`intermediary.hostname`	O valor de `hostname` do registo não processado é mapeado para este campo da UDM.
`is_alert`	`is_alert`	O valor é definido como "true" e convertido em booleano.
`is_significant`	`is_significant`	O valor é definido como "true" e convertido em booleano.
`kv_pair`	`metadata.event_type`	Se `kv_pair` estiver presente, `metadata.event_type` é definido como "STATUS_HEARTBEAT".
`kv_pair`	`principal.asset.asset_id`	O valor de `Serial Number` extraído do campo `kv_pair` é usado para construir o ID do recurso no formato "serialNumber:".
`log_type`	`metadata.log_type`	O valor é definido como "ABSOLUTE".
`objectID`	`principal.resource.product_object_id`	O valor de `objectID` do registo não processado é mapeado para este campo da UDM.
`objectName`	`principal.hostname`	O valor de `objectName` do registo não processado é mapeado para este campo da UDM.
`objectProperties`	`target.labels.key`	O analisador define o valor como "objectProperties".
`objectProperties`	`target.labels.value`	O valor de `objectProperties` do registo não processado é mapeado para este campo da UDM.
`objectType`	`principal.resource.resource_type`	Se `objectType` for "Device", é convertido em maiúsculas ("DEVICE") e mapeado para este campo da UDM.
`pid`	`about.process.pid`	O valor de `pid` do registo não processado é mapeado para este campo da UDM.
`Serial Number`	`principal.asset.asset_id`	O valor de `Serial Number` do registo não processado é usado para construir o ID do recurso no formato "serialNumber:".
`verb`	`security_result.summary`	O valor de `verb` do registo não processado é mapeado para este campo da UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.