Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di BeyondTrust Privileged Identity

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di BeyondTrust Privileged Identity in Google Security Operations utilizzando l'agente Bindplane.

BeyondTrust Privileged Identity è una soluzione di gestione degli account con privilegi che genera messaggi syslog in formato CEF e non CEF per eventi di sicurezza, autenticazione e attività dell'account. Il parser normalizza i campi e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'istanza BeyondTrust Privileged Identity
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato a un'istanza di BeyondTrust Privileged Identity

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/beyondtrust_pi:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BEYONDTRUST_PI
        raw_log_field: body

service:
    pipelines:
        logs/beyondtrust_pi_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/beyondtrust_pi

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog in BeyondTrust Privileged Identity

Accedi all'appliance con privilegi BeyondTrust.
Vai a Appliance > Sicurezza > Amministrazione appliance.
Vai alla sezione Syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: la porta predefinita è impostata su 514 (UDP).
- Formato: seleziona RFC 5424.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
cs1	additional.fields[0].key	Mappato direttamente dal campo del log non elaborato `cs1Label`.
cs1Label	additional.fields[0].value.string_value	Mappato direttamente dal campo del log non elaborato `cs1`.
cs3	additional.fields[1].value.string_value	Mappato direttamente dal campo del log non elaborato `cs3Label`.
cs3Label	additional.fields[1].key	Mappato direttamente dal campo del log non elaborato `cs3`.
cs4	additional.fields[2].value.string_value	Mappato direttamente dal campo del log non elaborato `cs4Label`.
cs4Label	additional.fields[2].key	Mappato direttamente dal campo del log non elaborato `cs4`.
dati	metadata.description	Per i messaggi CEF, il campo `msg` (estratto da `data`) viene mappato a `metadata.description`. Per i messaggi non CEF, il campo `sMessage` (o parti di esso, a seconda del formato specifico del messaggio) viene mappato a `metadata.description`.
dhost	target.hostname	Mappato direttamente dal campo del log non elaborato `dhost`.
dntdom	target.administrative_domain	Mappato direttamente dal campo del log non elaborato `dntdom`.
duser	target.user.user_display_name	Mappato direttamente dal campo del log non elaborato `duser`.
msg	metadata.description	Mappato direttamente dal campo di log grezzo `msg` nei messaggi CEF.
rt	metadata.event_timestamp.seconds	Il timestamp epoch viene estratto dal campo `rt` nei messaggi CEF.
sEventType	metadata.product_event_type	Mappato direttamente dal campo del log non elaborato `sEventType` nei messaggi non CEF.
spettro	principal.ip	Mappato direttamente dal campo del log non elaborato `shost`.
sIpAddress	principal.ip	Mappato direttamente dal campo del log non elaborato `sIpAddress` nei messaggi non CEF.
sLoginName	principal.user.userid	Estratto dal campo `sLoginName` utilizzando un'espressione regolare per separare il dominio e l'ID utente.
sMessage	security_result.description	Mappato direttamente dal campo del log non elaborato `sMessage` nei messaggi non CEF o le parti estratte vengono utilizzate per `security_result.description`.
sntdom	principal.administrative_domain	Mappato direttamente dal campo del log non elaborato `sntdom`.
sOriginatingAccount	principal.user.userid	Estratto dal campo `sOriginatingAccount` utilizzando un'espressione regolare per separare il dominio e l'ID utente.
sOriginatingApplicationComponent	principal.application	Utilizzato in combinazione con `sOriginatingApplicationName` per compilare `principal.application`.
sOriginatingApplicationName	principal.application	Utilizzato in combinazione con `sOriginatingApplicationComponent` per compilare `principal.application`.
sOriginatingSystem	principal.hostname	Mappato direttamente dal campo del log non elaborato `sOriginatingSystem` nei messaggi non CEF.
suser	principal.user.user_display_name	Mappato direttamente dal campo del log non elaborato `suser`. Determinato dalla logica del parser in base alla presenza e ai valori di altri campi come `dst`, `src`, `shost` e `suid`. I valori possibili sono `NETWORK_CONNECTION`, `STATUS_UPDATE`, `USER_UNCATEGORIZED` e `GENERIC_EVENT`. Imposta il valore su "BEYONDTRUST_PI". Imposta su "BeyondTrust Remote Support". Estratto dall'intestazione CEF nei messaggi CEF. Imposta su "BeyondTrust". Imposta "ALLOW" (CONSENTI) o "BLOCK" (BLOCCA) in base ai campi `status`, `reason` o `sMessage`. Imposta su `LOW`.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.