Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Absolute Secure Endpoint

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Absolute Secure Endpoint (antigo Absolute Data & Device Security) no Google Security Operations usando o Bindplane. O analisador extrai campos dos registros do conector SIEM no formato SYSLOG + KV (CEF). Ele usa padrões grok para identificar e extrair campos e, em seguida, usa lógica condicional com base na presença de dados kv_pair ou cef para mapear os campos extraídos no esquema UDM. Mapeamentos e transformações específicos são aplicados dependendo dos campos identificados e dos valores deles, processando dados de pulsação de status e de ocorrência de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd para executar o agente do Bindplane
Um Windows Server (2012 ou mais recente) para hospedar o serviço do conector do Absolute SIEM
Microsoft .NET Framework 4.0 ou superior instalado no Windows Server que hospeda o conector do SIEM
Acesso privilegiado ao console do Absolute Secure Endpoint com a integração do SIEM ativada
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente BindPlane.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ABSOLUTE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Instalar o conector do Absolute SIEM no Windows Server

O conector do Absolute SIEM é um serviço do Windows que recupera dados de eventos de alerta do Absolute Monitoring Center e os encaminha usando syslog no formato CEF. O conector SIEM é fornecido como um instalador MSI e está disponível para download gratuito para clientes do Absolute Data & Device Security (DDS) Professional e Premium na Central do cliente da Absolute.

Faça login no Absolute Secure Endpoint Console em https://cc.absolute.com/.
Acesse a seção Central do cliente ou Downloads.
Faça o download do instalador MSI do Absolute SIEM Connector.
Transfira o instalador para o Windows Server.
Execute o instalador no Windows Server como administrador.
Siga o assistente de instalação para concluir o processo.
Anote o diretório de instalação (normalmente C:\Program Files\Absolute Software\Absolute SIEM Connector).

Ativar a integração do SIEM no console do Absolute Secure Endpoint

Antes que o conector do SIEM possa recuperar eventos, é necessário ativar a integração do SIEM no console do Absolute Secure Endpoint.

Faça login no Absolute Secure Endpoint Console em https://cc.absolute.com/.
Acesse a seção Configurações ou Administração.
Localize as configurações de Integração do SIEM.
Clique em Ativar integração do SIEM ou ative a configuração de integração do SIEM.
Selecione os tipos de eventos que você quer encaminhar para o SIEM:
- Ou selecione Todos os tipos de evento para encaminhar todos os registros disponíveis.
Clique em Salvar ou Aplicar a configuração.

Configurar o conector do Absolute SIEM

Depois de instalar o conector SIEM e ativar a integração do SIEM no console, configure o conector para enviar eventos ao agente do BindPlane.

No Windows Server em que o conector do Absolute SIEM está instalado, abra a Ferramenta de configuração do conector do Absolute SIEM.
- Você pode encontrar isso no Menu Iniciar em Absolute Software ou no diretório de instalação.
Informe os seguintes detalhes de configuração:
- Host do servidor Syslog: insira o endereço IP ou o nome do host do agente do Bindplane.
- Porta do servidor Syslog: insira 514 (ou a porta configurada no Bindplane).
- Protocolo: selecione UDP ou TCP, dependendo da configuração real do Bindplane.
- Formato: confirme se CEF (Common Event Format) está selecionado.
- Intervalo de atualização: defina a frequência com que o conector recupera eventos do Absolute (mínimo de 2 minutos, máximo de 1.440 minutos/24 horas; o padrão é de 60 minutos).
- Fuso horário: os eventos são transmitidos no fuso horário UTC para consistência universal em todos os sistemas.
Clique em Salvar.
Inicie ou reinicie o serviço Absolute SIEM Connector:
- Abra Serviços (services.msc).
- Localize o serviço Absolute SIEM Connector.
- Clique em Iniciar ou Reiniciar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`actorID`	`principal.user.product_object_id`	O valor de `actorID` do registro bruto é mapeado para esse campo do UDM.
`actorName`	`principal.hostname`	Se `actorType` for "Device", o valor de `actorName` será mapeado para esse campo da UDM.
`actorName`	`principal.user.userid`	Se `actorType` for "User", o valor de `actorName` será mapeado para esse campo da UDM.
`actorType`	`principal.user.attribute.roles.name`	O valor de `actorType` é mapeado para esse campo da UDM.
`Alert ID`	`security_result.threat_id`	O valor de `Alert ID` do registro bruto é mapeado para esse campo do UDM.
`Alert Name`	`security_result.threat_name`	O valor de `Alert Name` do registro bruto é mapeado para esse campo do UDM.
`Alert Time`	`metadata.event_timestamp`	O valor de `Alert Time` do registro bruto é analisado e mapeado para esse campo da UDM. Usado como substituto se o campo `date` não estiver presente ou for inválido.
`cef`	`metadata.product_event_type`	O campo `eventType` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.hostname`	O campo `objectName` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.resource.product_object_id`	O campo `objectID` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.user.product_object_id`	O campo `actorID` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`principal.user.userid`	O campo `actorName` extraído da string CEF é mapeado para esse campo da UDM se `actorType` for "User".
`cef`	`security_result.summary`	O campo `verb` extraído da string CEF é mapeado para esse campo do UDM.
`cef`	`target.labels.key`	O analisador define o valor como "objectProperties".
`cef`	`target.labels.value`	O campo `objectProperties` extraído da string CEF é mapeado para esse campo do UDM.
`Computer Name`	`principal.hostname`	O valor de `Computer Name` do registro bruto é mapeado para esse campo do UDM.
`Condition`	`security_result.description`	O valor de `Condition` do registro bruto é mapeado para esse campo do UDM.
`date`	`metadata.event_timestamp`	O valor de `date` do registro bruto é analisado e mapeado para esse campo da UDM.
`datetime`	`timestamp.seconds`	Os segundos de época extraídos do campo `datetime` são usados para preencher o campo `timestamp.seconds`.
`dvc_ip`	`intermediary.ip`	O valor de `dvc_ip` do registro bruto é mapeado para esse campo do UDM.
`device_product`	`metadata.product_name`	O valor é definido como "ABSOLUTE_PLATFORM".
`device_vendor`	`metadata.vendor_name`	O valor é definido como "ABSOLUTE".
`device_version`	`metadata.product_version`	O valor de `device_version` do registro bruto é mapeado para esse campo do UDM.
`ESN`	`security_result.detection_fields.key`	O analisador define o valor como "ESN".
`ESN`	`security_result.detection_fields.value`	O valor de `ESN` extraído do campo `kv_pair` é mapeado para esse campo do UDM.
`event_class`	`metadata.product_event_type`	O valor de `event_class` do registro bruto é mapeado para esse campo da UDM se `eventType` não estiver presente.
`eventType`	`metadata.product_event_type`	O valor de `eventType` do registro bruto é mapeado para esse campo do UDM.
`hostname`	`intermediary.hostname`	O valor de `hostname` do registro bruto é mapeado para esse campo do UDM.
`is_alert`	`is_alert`	O valor é definido como "true" e convertido em booleano.
`is_significant`	`is_significant`	O valor é definido como "true" e convertido em booleano.
`kv_pair`	`metadata.event_type`	Se `kv_pair` estiver presente, `metadata.event_type` será definido como "STATUS_HEARTBEAT".
`kv_pair`	`principal.asset.asset_id`	O valor de `Serial Number` extraído do campo `kv_pair` é usado para criar o ID do recurso no formato "serialNumber:".
`log_type`	`metadata.log_type`	O valor é definido como "ABSOLUTE".
`objectID`	`principal.resource.product_object_id`	O valor de `objectID` do registro bruto é mapeado para esse campo do UDM.
`objectName`	`principal.hostname`	O valor de `objectName` do registro bruto é mapeado para esse campo do UDM.
`objectProperties`	`target.labels.key`	O analisador define o valor como "objectProperties".
`objectProperties`	`target.labels.value`	O valor de `objectProperties` do registro bruto é mapeado para esse campo do UDM.
`objectType`	`principal.resource.resource_type`	Se `objectType` for "Device", ele será convertido para maiúsculas ("DEVICE") e mapeado para esse campo da UDM.
`pid`	`about.process.pid`	O valor de `pid` do registro bruto é mapeado para esse campo do UDM.
`Serial Number`	`principal.asset.asset_id`	O valor de `Serial Number` do registro bruto é usado para construir o ID do recurso no formato "serialNumber:".
`verb`	`security_result.summary`	O valor de `verb` do registro bruto é mapeado para esse campo do UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.