Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Kiteworks (anteriormente Accellion)

Suportado em:

Google secops SIEM

Este documento explica como carregar registos do Kiteworks (anteriormente Accellion) para o Google Security Operations através do Bindplane. O analisador extrai o campo audit_message das mensagens SYSLOG, processando mensagens formatadas em JSON (usando grok para extrair o textPayload) e mensagens de texto simples. Em seguida, aplica um conjunto comum de transformações definidas em auditd.include e adiciona mapeamentos específicos para eventos do tipo SYSCALL, enriquecendo os campos do UDM com dados extraídos.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Um anfitrião Windows 2012 SP2 ou posterior, ou Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado à consola de gestão ou ao dispositivo do Kiteworks (anteriormente Accellion)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ACCELLION'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog no Kiteworks (anteriormente Accellion)

Inicie sessão na consola de gestão do Kiteworks como administrador.
Navegue para a página Localizações através de um destes caminhos:
- Interface do utilizador antiga: aceda a Sistema > Localizações.
- Nova IU: aceda a Configuração do sistema > Localizações.
Selecione a localização de destino na lista.
Aceda à secção Serviços externos.
Expanda o painel Definições do Syslog.
Clique em Adicionar para criar uma nova configuração do servidor Syslog.
Forneça os seguintes detalhes de configuração:
- Servidor Syslog: introduza o endereço IP do agente do Bindplane.
- Protocolo: selecione UDP ou TCP, consoante a configuração real do agente Bindplane.
- Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514).
- Formato: selecione Formato JSON (recomendado para análise estruturada).
- Fuso horário: selecione o fuso horário UTC para uma consistência universal entre sistemas.
Clique em Guardar para aplicar a configuração.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
`acct`	`principal.user.user_display_name`	O valor de `acct` do campo `msg` do registo não processado.
`acct`	`target.user.user_display_name`	O valor de `acct` do campo `msg` do registo não processado.
`addr`	`principal.ip`	O valor de `addr` do campo `msg` do registo não processado.
`a0`	`security_result.about.labels.value`	O valor de `a0` do campo `msg` do registo não processado, onde o `key` correspondente é "a0".
`a1`	`security_result.about.labels.value`	O valor de `a1` do campo `msg` do registo não processado, onde o `key` correspondente é "a1".
`a2`	`security_result.about.labels.value`	O valor de `a2` do campo `msg` do registo não processado, onde o `key` correspondente é "a2".
`a3`	`security_result.about.labels.value`	O valor de `a3` do campo `msg` do registo não processado, onde o `key` correspondente é "a3".
`arch`	`security_result.about.platform_version`	O valor de `arch` do campo `msg` do registo não processado. Aplicável apenas a `type_name` SYSCALL.
`auid`	`about.user.userid`	O valor de `auid` do campo `msg` do registo não processado.
`auid`	`security_result.detection_fields.value`	O valor de `auid` do campo `msg` do registo não processado, onde o `key` correspondente é "auid".
`comm`	`principal.application`	O valor de `comm` do campo `msg` do registo não processado.
`cmd`	`principal.process.command_line`	O valor de `cmd` do campo `msg` do registo não processado.
`cwd`	`security_result.detection_fields.value`	O valor de `cwd` do campo `msg` do registo não processado, onde o `key` correspondente é "cwd".
`cwd`	`target.process.file.full_path`	O valor de `cwd` do campo `msg` do registo não processado.
`exe`	`principal.process.file.full_path`	O valor de `exe` do campo `msg` do registo não processado.
`exe`	`target.process.file.full_path`	O valor de `exe` do campo `msg` do registo não processado.
`exit`	`security_result.about.labels.value`	O valor de `exit` do campo `msg` do registo não processado, onde o `key` correspondente é "Código de saída".
`hostname`	`principal.hostname`	O valor de `hostname` do campo `msg` do registo não processado. Valor codificado "zing-h2" do campo `msg` do registo não processado.
`key`	`security_result.about.registry.registry_key`	O valor de `key` do campo `msg` do registo não processado. Aplicável apenas a `type_name` SYSCALL.
`log_type`	`metadata.log_type`	O valor de `log_type` do registo não processado.
`msg`	`security_result.action_details`	O valor após `res=` no campo `msg` do registo não processado.
`msg`	`security_result.summary`	Combinação de campos do campo `msg` do registo não processado. Por exemplo, "session_open success" ou "setcred success". Analisado a partir da secção `audit` do campo `msg` no registo não processado. Mapeado com base no campo `type` no registo não processado. Por exemplo, "USER_START" é mapeado para "USER_LOGIN", "CRED_DISP" é mapeado para "USER_LOGOUT", "CRED_ACQ" é mapeado para "USER_LOGIN", "USER_END" é mapeado para "USER_LOGOUT", "CRED_REFR" é mapeado para "USER_LOGIN", "USER_CMD" é mapeado para "USER_LOGIN", "CWD" é mapeado para "STATUS_UPDATE", "PROCTITLE" é mapeado para "STATUS_UPDATE", "USER_ACCT" é mapeado para "USER_UNCATEGORIZED" e "SYSCALL" é mapeado para "USER_UNCATEGORIZED". O valor do campo `type` do campo `msg` do registo não processado. Extraído da secção `audit` do campo `msg` no registo não processado.
`node`	`principal.hostname`	O valor de `node` do campo `msg` do registo não processado.
`pid`	`principal.process.pid`	O valor de `pid` do campo `msg` do registo não processado.
`ppid`	`principal.process.parent_process.pid`	O valor de `ppid` do campo `msg` do registo não processado.
`proctitle`	`target.process.file.full_path`	Valor hexadecimal descodificado de `proctitle` do campo `msg` do registo não processado. Codificado de forma rígida para "LINUX". Definido como "ALLOW" se `res=success` estiver presente no campo `msg` do registo não processado.
`ses`	`network.session_id`	O valor de `ses` do campo `msg` do registo não processado.
`syscall`	`security_result.about.labels.value`	O valor de `syscall` do campo `msg` do registo não processado, onde o `key` correspondente é "Syscall".
`success`	`security_result.summary`	Combinado com outros campos para formar o resumo. Para eventos SYSCALL, a lógica é: se success=yes, então "sim, a chamada do sistema foi bem-sucedida", caso contrário, "não, a chamada do sistema falhou".
`terminal`	`principal.terminal`	O valor de `terminal` do campo `msg` do registo não processado.
`timestamp`	`timestamp`	O valor de `timestamp` da entrada de registo não processada.
`tty`	`principal.terminal`	O valor de `tty` do campo `msg` do registo não processado.
`type`	`metadata.product_event_type`	O valor de `type` do campo `msg` do registo não processado.
`uid`	`about.user.userid`	O valor de `uid` do campo `msg` do registo não processado. Aplicável apenas a `type_name` SYSCALL.
`uid`	`target.user.userid`	O valor de `uid` do campo `msg` do registo não processado. Definido como "SETTING" se `type` for "USER_ACCT".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.