Recopila registros de identidades privilegiadas de BeyondTrust

Compatible con:

En este documento, se explica cómo transferir registros de identidades privilegiadas de BeyondTrust a Google Security Operations con el agente de Bindplane.

BeyondTrust Privileged Identity es una solución de administración de cuentas con privilegios que genera mensajes de syslog en formatos CEF y no CEF para eventos de seguridad, autenticación y actividad de la cuenta. El analizador normaliza los campos y los asigna al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y la instancia de BeyondTrust Privileged Identity
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso con privilegios a una instancia de BeyondTrust Privileged Identity

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia

  4. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.

  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecuta el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

    El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecuta el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

    El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  • Reemplaza todo el contenido de config.yaml por la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/beyondtrust_pi:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BEYONDTRUST_PI
        raw_log_field: body

service:
    pipelines:
        logs/beyondtrust_pi_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/beyondtrust_pi

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

  • Configuración del receptor:

    • listen_address: Dirección IP y puerto para escuchar:
      • 0.0.0.0 para escuchar en todas las interfaces (recomendado)
      • El puerto 514 es el puerto estándar de syslog (requiere acceso raíz en Linux; usa 1514 para acceso no raíz).

  • Configuración del exportador:

    • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: ID de cliente copiado de la consola de Google SecOps
    • endpoint: URL del extremo regional:
      • EE.UU.: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

  • Después de editarlo, guarda el archivo:
    • Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
    • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica que el servicio esté en ejecución:

      sudo systemctl status observiq-otel-collector

    2. Revisa los registros en busca de errores:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:

    • Símbolo del sistema o PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.
      3. Haz clic con el botón derecho y selecciona Reiniciar.

      4. Verifica que el servicio esté en ejecución:

        sc query observiq-otel-collector

      5. Revisa los registros en busca de errores:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura syslog en BeyondTrust Privileged Identity

  1. Accede al dispositivo privilegiado de BeyondTrust.
  2. Ve a Appliance > Security > Appliance Administration.
  3. Ve a la sección Syslog.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre de host: Ingresa la dirección IP del agente de BindPlane.
    • Puerto: El puerto predeterminado está configurado como 514 (UDP).
    • Formato: Selecciona RFC 5424.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
cs1 additional.fields[0].key Se asigna directamente desde el campo de registro sin procesar cs1Label.
cs1Label additional.fields[0].value.string_value Se asigna directamente desde el campo de registro sin procesar cs1.
cs3 additional.fields[1].value.string_value Se asigna directamente desde el campo de registro sin procesar cs3Label.
cs3Label additional.fields[1].key Se asigna directamente desde el campo de registro sin procesar cs3.
cs4 additional.fields[2].value.string_value Se asigna directamente desde el campo de registro sin procesar cs4Label.
cs4Label additional.fields[2].key Se asigna directamente desde el campo de registro sin procesar cs4.
datos metadata.description En el caso de los mensajes de CEF, el campo msg (extraído de data) se asigna a metadata.description. En el caso de los mensajes que no son de CEF, el campo sMessage (o partes de él, según el formato específico del mensaje) se asigna a metadata.description.
dhost target.hostname Se asigna directamente desde el campo de registro sin procesar dhost.
dntdom target.administrative_domain Se asigna directamente desde el campo de registro sin procesar dntdom.
duser target.user.user_display_name Se asigna directamente desde el campo de registro sin procesar duser.
msg metadata.description Se asigna directamente desde el campo de registro sin procesar msg en los mensajes de CEF.
rt metadata.event_timestamp.seconds La marca de tiempo de época se extrae del campo rt en los mensajes de CEF.
sEventType metadata.product_event_type Se asigna directamente desde el campo de registro sin procesar sEventType en los mensajes que no son de CEF.
shost principal.ip Se asigna directamente desde el campo de registro sin procesar shost.
sIpAddress principal.ip Se asigna directamente desde el campo de registro sin procesar sIpAddress en los mensajes que no son de CEF.
sLoginName principal.user.userid Se extrae del campo sLoginName con una expresión regular para separar el dominio y el ID de usuario.
sMessage security_result.description Se asigna directamente desde el campo de registro sin procesar sMessage en mensajes que no son de CEF, o bien se usan partes extraídas de él para security_result.description.
sntdom principal.administrative_domain Se asigna directamente desde el campo de registro sin procesar sntdom.
sOriginatingAccount principal.user.userid Se extrae del campo sOriginatingAccount con una expresión regular para separar el dominio y el ID de usuario.
sOriginatingApplicationComponent principal.application Se usa en combinación con sOriginatingApplicationName para propagar principal.application.
sOriginatingApplicationName principal.application Se usa en combinación con sOriginatingApplicationComponent para propagar principal.application.
sOriginatingSystem principal.hostname Se asigna directamente desde el campo de registro sin procesar sOriginatingSystem en los mensajes que no son de CEF.
suser principal.user.user_display_name Se asigna directamente desde el campo de registro sin procesar suser. La lógica del analizador determina este valor en función de la presencia y los valores de otros campos, como dst, src, shost y suid. Los valores posibles son NETWORK_CONNECTION, STATUS_UPDATE, USER_UNCATEGORIZED y GENERIC_EVENT. Se debe establecer en "BEYONDTRUST_PI". Establece el valor en "BeyondTrust Remote Support". Se extrae del encabezado de CEF en los mensajes de CEF. Se establece en "BeyondTrust". Se establece en "ALLOW" o "BLOCK" según los campos status, reason o sMessage. Se establece en LOW.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.