Recolha registos do AIDE (Advanced Intrusion Detection Environment)

Este documento explica como carregar registos do AIDE (Advanced Intrusion Detection Environment) para o Google Security Operations através do Bindplane. O AIDE é uma ferramenta de monitorização da integridade dos ficheiros que deteta alterações aos ficheiros em sistemas Linux/Unix.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Um anfitrião Linux com o systemd a executar a versão 0.18 ou posterior do AIDE (para compatibilidade com o formato JSON)
• Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
• Acesso privilegiado aos ficheiros de configuração do AIDE

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:

   1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'AIDE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

Configure o encaminhamento de Syslog no AIDE

1. Abra o ficheiro de configuração do AIDE:

   sudo vi /etc/aide/aide.conf
   

2. Aceda à secção de relatórios.

3. Adicione a seguinte configuração:

   • report_level: introduza list_entries.
   • report_format: introduza json (para AIDE 0.18 ou superior) ou plain.

   • report_url: introduza syslog:authpriv.

     • Exemplo de configuração:

     report_level=list_entries
     report_format=json
     report_url=syslog:authpriv
     

4. Guarde a configuração.

5. Configure o rsyslog para encaminhar os registos do AIDE para o agente do Bindplane. Abra a configuração do rsyslog:

   sudo vi /etc/rsyslog.d/aide-forward.conf
   

6. Adicione a seguinte configuração para encaminhar os registos de instalações authpriv para o agente do Bindplane:

   authpriv.* @<BINDPLANE_AGENT_IP>:514
   

   • Substitua <BINDPLANE_AGENT_IP> pelo endereço IP do anfitrião do agente do Bindplane.
   • Use @ para o encaminhamento UDP ou @@ para o encaminhamento TCP.

7. Reinicie o rsyslog:

   sudo systemctl restart rsyslog
   

8. Inicialize a base de dados do AIDE se esta for uma instalação nova:

   sudo aide --init
   sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
   

9. Teste a configuração:

   sudo aide --check
   

10. Configure verificações automáticas com o cron:

    sudo crontab -e
    

11. Adicione a seguinte linha para executar o AIDE diariamente às 04:05:

    05 4 * * * root /usr/sbin/aide --check
    

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.