Collecter les journaux BeyondTrust Privileged Identity

Compatible avec :

Ce document explique comment ingérer les journaux BeyondTrust Privileged Identity dans Google Security Operations à l'aide de l'agent Bindplane.

BeyondTrust Privileged Identity est une solution de gestion des comptes privilégiés qui génère des messages syslog aux formats CEF et non-CEF pour les événements de sécurité, l'authentification et l'activité des comptes. L'analyseur normalise les champs et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et l'instance BeyondTrust Privileged Identity
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à une instance de BeyondTrust Privileged Identity

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.

  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/beyondtrust_pi:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BEYONDTRUST_PI
        raw_log_field: body

service:
    pipelines:
        logs/beyondtrust_pi_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/beyondtrust_pi

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • listen_address : adresse IP et port à écouter :
      • 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
      • Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non racine).

  • Configuration de l'exportateur :

    • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
      • Linux : /etc/bindplane-agent/ingestion-auth.json
      • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id : ID client copié depuis la console Google SecOps
    • endpoint : URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe : europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
      • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.
      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer syslog dans BeyondTrust Privileged Identity

  1. Connectez-vous à l'appliance privilégiée BeyondTrust.
  2. Accédez à Appliance > Sécurité > Administration de l'appliance.
  3. Accédez à la section Syslog.
  4. Fournissez les informations de configuration suivantes :
    • Nom d'hôte : saisissez l'adresse IP de l'agent Bindplane.
    • Port : le port par défaut est défini sur 514 (UDP).
    • Format : sélectionnez RFC 5424.
  5. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
cs1 additional.fields[0].key Mappé directement à partir du champ de journal brut cs1Label.
cs1Label additional.fields[0].value.string_value Mappé directement à partir du champ de journal brut cs1.
cs3 additional.fields[1].value.string_value Mappé directement à partir du champ de journal brut cs3Label.
cs3Label additional.fields[1].key Mappé directement à partir du champ de journal brut cs3.
cs4 additional.fields[2].value.string_value Mappé directement à partir du champ de journal brut cs4Label.
cs4Label additional.fields[2].key Mappé directement à partir du champ de journal brut cs4.
données metadata.description Pour les messages CEF, le champ msg (extrait de data) est mappé sur metadata.description. Pour les messages non CEF, le champ sMessage (ou certaines de ses parties, selon le format spécifique du message) est mappé sur metadata.description.
dhost target.hostname Mappé directement à partir du champ de journal brut dhost.
dntdom target.administrative_domain Mappé directement à partir du champ de journal brut dntdom.
duser target.user.user_display_name Mappé directement à partir du champ de journal brut duser.
Message metadata.description Directement mappé à partir du champ de journal brut msg dans les messages CEF.
rt metadata.event_timestamp.seconds L'horodatage epoch est extrait du champ rt des messages CEF.
sEventType metadata.product_event_type Mappé directement à partir du champ de journal brut sEventType dans les messages non CEF.
shost principal.ip Mappé directement à partir du champ de journal brut shost.
sIpAddress principal.ip Mappé directement à partir du champ de journal brut sIpAddress dans les messages non CEF.
sLoginName principal.user.userid Extrait du champ sLoginName à l'aide d'une expression régulière pour séparer le domaine et l'ID utilisateur.
sMessage security_result.description security_result.description est directement mappé à partir du champ de journal brut sMessage dans les messages non CEF, ou des parties extraites de celui-ci sont utilisées pour security_result.description.
sntdom principal.administrative_domain Mappé directement à partir du champ de journal brut sntdom.
sOriginatingAccount principal.user.userid Extrait du champ sOriginatingAccount à l'aide d'une expression régulière pour séparer le domaine et l'ID utilisateur.
sOriginatingApplicationComponent principal.application Utilisé en association avec sOriginatingApplicationName pour remplir principal.application.
sOriginatingApplicationName principal.application Utilisé en association avec sOriginatingApplicationComponent pour remplir principal.application.
sOriginatingSystem principal.hostname Mappé directement à partir du champ de journal brut sOriginatingSystem dans les messages non CEF.
suser principal.user.user_display_name Mappé directement à partir du champ de journal brut suser. Déterminé par la logique de l'analyseur en fonction de la présence et des valeurs d'autres champs tels que dst, src, shost et suid. Les valeurs possibles sont NETWORK_CONNECTION, STATUS_UPDATE, USER_UNCATEGORIZED et GENERIC_EVENT. Définissez-le sur "BEYONDTRUST_PI". Définissez-le sur "BeyondTrust Remote Support". Extrait de l'en-tête CEF des messages CEF. Définissez-le sur "BeyondTrust". Définissez la valeur sur "ALLOW" (AUTORISER) ou "BLOCK" (BLOQUER) en fonction des champs status, reason ou sMessage. Définissez cet élément sur LOW.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.