Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux AIDE (Advanced Intrusion Detection Environment)

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux AIDE (Advanced Intrusion Detection Environment) dans Google Security Operations à l'aide de Bindplane. AIDE est un outil de surveillance de l'intégrité des fichiers qui détecte les modifications apportées aux fichiers sur les systèmes Linux/Unix.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Un hôte Linux avec systemd exécutant AIDE version 0.18 ou ultérieure (pour la prise en charge du format JSON)
Si vous exécutez l'outil derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Un accès privilégié aux fichiers de configuration AIDE

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez l'ID client dans la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Linux en suivant les instructions ci-dessous.

Installation Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano ou vi).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIDE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <CUSTOMER_ID> par l'ID client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès au fichier où le fichier d'authentification a été enregistré à l'étape 1.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```

Configurer le transfert Syslog sur AIDE

Ouvrez le fichier de configuration AIDE :
```
sudo vi /etc/aide/aide.conf
```
Accédez à la section "Reporting" (Rapports).
Ajoutez la configuration suivante :
- report_level : saisissez list_entries.
- report_format : saisissez json (pour AIDE 0.18+) ou plain.
- report_url : saisissez syslog:authpriv.
Exemple de configuration :
```
```ini
report_level=list_entries
report_format=json
report_url=syslog:authpriv
```
```
Enregistrez la configuration.
Configurez rsyslog pour transférer les journaux AIDE à l'agent Bindplane. Ouvrez la configuration rsyslog :
```
sudo vi /etc/rsyslog.d/aide-forward.conf
```
Ajoutez la configuration suivante pour transférer les journaux de la fonctionnalité authpriv à l'agent Bindplane :
```
authpriv.* @<BINDPLANE_AGENT_IP>:514
```
- Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'hôte de l'agent Bindplane.
- Utilisez @ pour le transfert UDP ou @@ pour le transfert TCP.
Redémarrez rsyslog :
```
sudo systemctl restart rsyslog
```

Initialisez la base de données AIDE s'il s'agit d'une nouvelle installation :

sudo aide --init
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Testez la configuration :
```
sudo aide --check
```
Configurez des vérifications automatisées à l'aide de cron :
```
sudo crontab -e
```
Ajoutez la ligne suivante pour exécuter AIDE tous les jours à 4h05 :
```
05 4 * * * root /usr/sbin/aide --check
```

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`added_label`	`principal.asset.attribute.labels`	Fusionné
`changed_label`	`principal.asset.attribute.labels`	Fusionné
`old_acl_label`	`principal.asset.attribute.labels`	Fusionné
`old_md5_label`	`principal.asset.attribute.labels`	Fusionné
`old_perms_label`	`principal.asset.attribute.labels`	Fusionné
`old_sha256_label`	`principal.asset.attribute.labels`	Fusionné
`old_ts_label`	`principal.asset.attribute.labels`	Fusionné
`removed_label`	`principal.asset.attribute.labels`	Fusionné
`total_label`	`principal.asset.attribute.labels`	Fusionné
`file_path`	`principal.file.full_path`	Mappé directement
`path`	`principal.file.full_path`	Mappé directement
`old_size`	`principal.file.size`	Mappé directement
`host`	`principal.hostname`	Mappé directement
`sr`	`security_result`	Fusionné
`new_acl_label`	`target.asset.attribute.labels`	Fusionné
`new_md5_label`	`target.asset.attribute.labels`	Fusionné
`new_perms_label`	`target.asset.attribute.labels`	Fusionné
`new_sha256_label`	`target.asset.attribute.labels`	Fusionné
`new_ts_label`	`target.asset.attribute.labels`	Fusionné
`path`	`target.file.full_path`	Mappé directement
`new_size`	`target.file.size`	Mappé directement
N/A	`metadata.event_type`	Constante : `GENERIC_EVENT`
N/A	`metadata.product_name`	Constante : `AIDE`
N/A	`metadata.vendor_name`	Constante : `AIDE`
N/A	`principal.application`	Constante : `aide`
N/A	`principal.file.size`	Constante : `sizedata`
N/A	`target.file.size`	Constante : `sizedata_target`

Journal des modifications

Consulter le journal des modifications de ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.