Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Absolute Secure Endpoint

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Absolute Secure Endpoint (antigo Absolute Data &Device Security) no Google Security Operations usando o Bindplane. O analisador extrai campos dos registros do conector SIEM no formato SYSLOG + KV (CEF). Ele usa padrões grok para identificar e extrair campos e, em seguida, usa a lógica condicional com base na presença de dados kv_pair ou cef para mapear os campos extraídos para o esquema UDM. Mapeamentos e transformações específicos são aplicados dependendo dos campos identificados e dos valores deles, processando dados de pulsação de status e ocorrência de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Um host do Windows 2016 ou mais recente ou do Linux com systemd para executar o agente do Bindplane
Um Windows Server (2012 ou mais recente) para hospedar o serviço do conector SIEM absoluto
O Microsoft .NET Framework 4.0 ou mais recente instalado no Windows Server que hospeda o conector SIEM
Acesso privilegiado ao console do Absolute Secure Endpoint com a integração do SIEM ativada
Se estiver executando em um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho do arquivo em que o arquivo de autenticação foi salvo na etapa 1.

Reiniciar o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Instalar o conector SIEM absoluto no Windows Server

O conector SIEM absoluto é um serviço do Windows que recupera dados de eventos de alerta do Absolute Monitoring Center e os encaminha via syslog no formato CEF. O conector SIEM é fornecido como um instalador MSI e está disponível como um download sem custo financeiro para clientes do Absolute Data &Device Security (DDS) Professional e Premium pelo Absolute Customer Center.

Faça login no console do Absolute Secure Endpoint em https://cc.absolute.com/.
Acesse a seção Customer Center ou Downloads.
Faça o download do instalador MSI do conector SIEM absoluto.
Transfira o instalador para o Windows Server.
Execute o instalador no Windows Server como administrador.
Siga o assistente de instalação para concluir a instalação.
Anote o diretório de instalação (normalmente C:\Program Files\Absolute Software\Absolute SIEM Connector).

Ativar a integração do SIEM no console do Absolute Secure Endpoint

Antes que o conector SIEM possa recuperar eventos, é necessário ativar a integração do SIEM no console do Absolute Secure Endpoint.

Faça login no console do Absolute Secure Endpoint em https://cc.absolute.com/.
Acesse a seção Configurações ou Administração.
Localize as configurações de integração do SIEM.
Clique em Ativar integração do SIEM ou ative a configuração de integração do SIEM para Ativado.
Selecione os tipos de evento que você quer encaminhar para o SIEM:
- Ou selecione Todos os tipos de evento para encaminhar todos os registros disponíveis.
Clique em Salvar ou Aplicar a configuração.

Configurar o conector SIEM absoluto

Depois de instalar o conector SIEM e ativar a integração do SIEM no console, configure o conector para enviar eventos ao agente do Bindplane.

No Windows Server em que o conector SIEM absoluto está instalado, abra a ferramenta de configuração do conector SIEM absoluto.
- É possível encontrar essa ferramenta no menu Iniciar em Absolute Software ou no diretório de instalação.
Informe os seguintes detalhes de configuração:
- Host do servidor Syslog: insira o endereço IP ou o nome do host do agente do Bindplane.
- Porta do servidor Syslog: insira 514 (ou a porta configurada no Bindplane).
- Protocolo: selecione UDP ou TCP dependendo da configuração do Bindplane.
- Formato: confirme se CEF (formato de evento comum) está selecionado.
- Intervalo de atualização: defina a frequência com que o conector recupera eventos do Absolute (mínimo de 2 minutos, máximo de 1.440 minutos/24 horas; o padrão é de 60 minutos).
- Fuso horário: os eventos são transmitidos no fuso horário UTC para consistência universal em todos os sistemas.
Clique em Salvar.
Inicie ou reinicie o serviço conector SIEM absoluto :
- Abra Serviços (services.msc).
- Localize o serviço conector SIEM absoluto.
- Clique em Iniciar ou Reiniciar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`actorID`	`principal.user.product_object_id`	O valor de `actorID` do registro bruto é mapeado para esse campo do UDM.
`actorName`	`principal.hostname`	Se `actorType` for "Device", o valor de `actorName` será mapeado para esse campo do UDM.
`actorName`	`principal.user.userid`	Se `actorType` for "User", o valor de `actorName` será mapeado para esse campo do UDM.
`actorType`	`principal.user.attribute.roles.name`	O valor de `actorType` é mapeado para esse campo do UDM.
`Alert ID`	`security_result.threat_id`	O valor de `Alert ID` do registro bruto é mapeado para esse campo do UDM.
`Alert Name`	`security_result.threat_name`	O valor de `Alert Name` do registro bruto é mapeado para esse campo do UDM.
`Alert Time`	`metadata.event_timestamp`	O valor de `Alert Time` do registro bruto é analisado e mapeado para esse campo do UDM. Usado como um substituto se o campo `date` não estiver presente ou for inválido.
`cef`	`metadata.product_event_type`	O campo `eventType` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.hostname`	O campo `objectName` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.resource.product_object_id`	O campo `objectID` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.user.product_object_id`	O campo `actorID` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.user.userid`	O campo `actorName` extraído da string CEF é mapeado para esse campo do UDM se `actorType` for "User".
`cef`	`security_result.summary`	O campo `verb` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`target.labels.key`	O analisador define o valor como "objectProperties".
`cef`	`target.labels.value`	O campo `objectProperties` extraído da string CEF é mapeado para esse campo do UDM.
`Computer Name`	`principal.hostname`	O valor de `Computer Name` do registro bruto é mapeado para esse campo do UDM.
`Condition`	`security_result.description`	O valor de `Condition` do registro bruto é mapeado para esse campo do UDM.
`date`	`metadata.event_timestamp`	O valor de `date` do registro bruto é analisado e mapeado para esse campo do UDM.
`datetime`	`timestamp.seconds`	Os segundos de época extraídos do campo `datetime` são usados para preencher o campo `timestamp.seconds`.
`dvc_ip`	`intermediary.ip`	O valor de `dvc_ip` do registro bruto é mapeado para esse campo do UDM.
`device_product`	`metadata.product_name`	O valor é definido como "ABSOLUTE_PLATFORM".
`device_vendor`	`metadata.vendor_name`	O valor é definido como "ABSOLUTE".
`device_version`	`metadata.product_version`	O valor de `device_version` do registro bruto é mapeado para esse campo do UDM.
`ESN`	`security_result.detection_fields.key`	O analisador define o valor como "ESN".
`ESN`	`security_result.detection_fields.value`	O valor de `ESN` extraído do campo `kv_pair` é mapeado para esse campo do UDM.
`event_class`	`metadata.product_event_type`	O valor de `event_class` do registro bruto é mapeado para esse campo do UDM se `eventType` não estiver presente.
`eventType`	`metadata.product_event_type`	O valor de `eventType` do registro bruto é mapeado para esse campo do UDM.
`hostname`	`intermediary.hostname`	O valor de `hostname` do registro bruto é mapeado para esse campo do UDM.
`is_alert`	`is_alert`	O valor é definido como "true" e convertido em booleano.
`is_significant`	`is_significant`	O valor é definido como "true" e convertido em booleano.
`kv_pair`	`metadata.event_type`	Se `kv_pair` estiver presente, `metadata.event_type` será definido como "STATUS_HEARTBEAT".
`kv_pair`	`principal.asset.asset_id`	O valor de `Serial Number` extraído do campo `kv_pair` é usado para construir o código do recurso no formato "serialNumber:".
`log_type`	`metadata.log_type`	O valor é definido como "ABSOLUTE".
`objectID`	`principal.resource.product_object_id`	O valor de `objectID` do registro bruto é mapeado para esse campo do UDM.
`objectName`	`principal.hostname`	O valor de `objectName` do registro bruto é mapeado para esse campo do UDM.
`objectProperties`	`target.labels.key`	O analisador define o valor como "objectProperties".
`objectProperties`	`target.labels.value`	O valor de `objectProperties` do registro bruto é mapeado para esse campo do UDM.
`objectType`	`principal.resource.resource_type`	Se `objectType` for "Device", ele será convertido em maiúsculas ("DEVICE") e mapeado para esse campo do UDM.
`pid`	`about.process.pid`	O valor de `pid` do registro bruto é mapeado para esse campo do UDM.
`Serial Number`	`principal.asset.asset_id`	O valor de `Serial Number` do registro bruto é usado para construir o código do recurso no formato "serialNumber:".
`verb`	`security_result.summary`	O valor de `verb` do registro bruto é mapeado para esse campo do UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.