Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Kiteworks (in precedenza Accellion)

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Kiteworks (precedentemente Accellion) in Google Security Operations utilizzando Bindplane. Il parser estrae il campo audit_message dai messaggi SYSLOG, gestendo sia i messaggi in formato JSON (utilizzando grok per estrarre textPayload) sia i messaggi di testo normale. Applica quindi un insieme comune di trasformazioni definito in auditd.include e aggiunge mappature specifiche per gli eventi di tipo SYSCALL, arricchendo i campi UDM con i dati estratti.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Un host Windows 2012 SP2 o versioni successive o Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso con privilegi alla console di gestione o all'appliance Kiteworks (in precedenza Accellion)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ACCELLION'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'inoltro di Syslog su Kiteworks (precedentemente Accellion)

Accedi alla console di gestione di Kiteworks come amministratore.
Vai alla pagina Località utilizzando uno dei seguenti percorsi:
- UI legacy: vai a Sistema > Posizioni.
- Nuova UI: vai a Configurazione del sistema > Posizioni.
Seleziona la località di destinazione dall'elenco.
Vai alla sezione Servizi esterni.
Espandi il riquadro Impostazioni Syslog.
Fai clic su Aggiungi per creare una nuova configurazione del server syslog.
Fornisci i seguenti dettagli di configurazione:
- Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Protocollo: seleziona UDP o TCP, a seconda della configurazione effettiva dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 514).
- Formato: seleziona Formato JSON (consigliato per l'analisi strutturata).
- Fuso orario: seleziona il fuso orario UTC per una coerenza universale tra i sistemi.
Fai clic su Salva per applicare la configurazione.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`acct`	`principal.user.user_display_name`	Il valore di `acct` dal campo `msg` del log non elaborato.
`acct`	`target.user.user_display_name`	Il valore di `acct` dal campo `msg` del log non elaborato.
`addr`	`principal.ip`	Il valore di `addr` dal campo `msg` del log non elaborato.
`a0`	`security_result.about.labels.value`	Il valore di `a0` dal campo `msg` del log non elaborato, dove il valore `key` corrispondente è "a0".
`a1`	`security_result.about.labels.value`	Il valore di `a1` dal campo `msg` del log non elaborato, dove il valore corrispondente di `key` è "a1".
`a2`	`security_result.about.labels.value`	Il valore di `a2` dal campo `msg` del log non elaborato, dove il `key` corrispondente è "a2".
`a3`	`security_result.about.labels.value`	Il valore di `a3` dal campo `msg` del log non elaborato, dove il `key` corrispondente è "a3".
`arch`	`security_result.about.platform_version`	Il valore di `arch` dal campo `msg` del log non elaborato. Applicabile solo per `type_name` SYSCALL.
`auid`	`about.user.userid`	Il valore di `auid` dal campo `msg` del log non elaborato.
`auid`	`security_result.detection_fields.value`	Il valore di `auid` dal campo `msg` del log non elaborato, dove il `key` corrispondente è "auid".
`comm`	`principal.application`	Il valore di `comm` dal campo `msg` del log non elaborato.
`cmd`	`principal.process.command_line`	Il valore di `cmd` dal campo `msg` del log non elaborato.
`cwd`	`security_result.detection_fields.value`	Il valore di `cwd` dal campo `msg` del log non elaborato, dove il `key` corrispondente è "cwd".
`cwd`	`target.process.file.full_path`	Il valore di `cwd` dal campo `msg` del log non elaborato.
`exe`	`principal.process.file.full_path`	Il valore di `exe` dal campo `msg` del log non elaborato.
`exe`	`target.process.file.full_path`	Il valore di `exe` dal campo `msg` del log non elaborato.
`exit`	`security_result.about.labels.value`	Il valore di `exit` dal campo `msg` del log non elaborato, dove il `key` corrispondente è "Exit Code".
`hostname`	`principal.hostname`	Il valore di `hostname` dal campo `msg` del log non elaborato. Valore hardcoded "zing-h2" dal campo `msg` del log non elaborato.
`key`	`security_result.about.registry.registry_key`	Il valore di `key` dal campo `msg` del log non elaborato. Applicabile solo per `type_name` SYSCALL.
`log_type`	`metadata.log_type`	Il valore di `log_type` dal log non elaborato.
`msg`	`security_result.action_details`	Il valore dopo `res=` nel campo `msg` del log non elaborato.
`msg`	`security_result.summary`	Combinazione di campi del campo `msg` del log non elaborato. Ad esempio, "session_open success" o "setcred success". Analizzato dalla sezione `audit` del campo `msg` nel log non elaborato. Mappatura eseguita in base al campo `type` nel log non elaborato. Ad esempio, "USER_START" corrisponde a "USER_LOGIN", "CRED_DISP" corrisponde a "USER_LOGOUT", "CRED_ACQ" corrisponde a "USER_LOGIN", "USER_END" corrisponde a "USER_LOGOUT", "CRED_REFR" corrisponde a "USER_LOGIN", "USER_CMD" corrisponde a "USER_LOGIN", "CWD" corrisponde a "STATUS_UPDATE", "PROCTITLE" corrisponde a "STATUS_UPDATE", "USER_ACCT" corrisponde a "USER_UNCATEGORIZED" e "SYSCALL" corrisponde a "USER_UNCATEGORIZED". Il valore del campo `type` dal campo `msg` del log non elaborato. Estratto dalla sezione `audit` del campo `msg` nel log non elaborato.
`node`	`principal.hostname`	Il valore di `node` dal campo `msg` del log non elaborato.
`pid`	`principal.process.pid`	Il valore di `pid` dal campo `msg` del log non elaborato.
`ppid`	`principal.process.parent_process.pid`	Il valore di `ppid` dal campo `msg` del log non elaborato.
`proctitle`	`target.process.file.full_path`	Valore esadecimale decodificato di `proctitle` dal campo `msg` del log non elaborato. Codificato come "LINUX". Imposta su "ALLOW" se `res=success` è presente nel campo `msg` del log non elaborato.
`ses`	`network.session_id`	Il valore di `ses` dal campo `msg` del log non elaborato.
`syscall`	`security_result.about.labels.value`	Il valore di `syscall` dal campo `msg` del log non elaborato, dove il valore `key` corrispondente è "Syscall".
`success`	`security_result.summary`	Combinato con altri campi per formare il riepilogo. Per gli eventi SYSCALL, la logica è: se success=yes, allora "yes, The System call succeeded", altrimenti "no, The System call failed".
`terminal`	`principal.terminal`	Il valore di `terminal` dal campo `msg` del log non elaborato.
`timestamp`	`timestamp`	Il valore di `timestamp` dalla voce di log non elaborata.
`tty`	`principal.terminal`	Il valore di `tty` dal campo `msg` del log non elaborato.
`type`	`metadata.product_event_type`	Il valore di `type` dal campo `msg` del log non elaborato.
`uid`	`about.user.userid`	Il valore di `uid` dal campo `msg` del log non elaborato. Applicabile solo per `type_name` SYSCALL.
`uid`	`target.user.userid`	Il valore di `uid` dal campo `msg` del log non elaborato. Imposta su "SETTING" se `type` è "USER_ACCT".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.