Recopila registros de auditoría del portal de asistencia de Broadcom

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de auditoría del portal de asistencia de Broadcom a Google Security Operations con el agente de Bindplane.

El portal de asistencia de Broadcom proporciona acceso centralizado a recursos de asistencia, administración de casos y descargas de productos para los productos empresariales de Broadcom. La plataforma genera registros de auditoría que capturan eventos de autenticación de usuarios, actividades de ejecución de trabajos, acceso a recursos y operaciones administrativas en toda la infraestructura del portal.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y la infraestructura del portal de asistencia al cliente de Broadcom
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso administrativo al portal de asistencia de Broadcom con permisos para configurar el reenvío de syslog

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere customer ID para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows
1. Abre el símbolo del sistema o PowerShell como administrador.
2. Ejecuta el comando siguiente:
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Espera a que se complete la instalación.
4. Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
  El servicio debe mostrarse como RUNNING.
Instalación en Linux
1. Abre una terminal con privilegios de administrador o sudo.
2. Ejecuta el comando siguiente:
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Espera a que se complete la instalación.
4. Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/broadcom:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BROADCOM_SUPPORT_PORTAL
    raw_log_field: body

service:
  pipelines:
    logs/broadcom_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/broadcom

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- listen_address: Dirección IP y puerto para escuchar:
  - 0.0.0.0:514 para escuchar en todas las interfaces del puerto 514 (requiere acceso de administrador en Linux)
  - 0.0.0.0:1514 para escuchar en un puerto sin privilegios (recomendado para Linux no root)
- Opciones de tipo de receptor:
  - udplog para el registro del sistema UDP (predeterminado)
  - tcplog para el registro del sistema TCP
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia de datos de Google SecOps:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Tu customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:
1. Ejecuta el comando siguiente:
```
sudo systemctl restart observiq-otel-collector
```
2. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```

Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:
1. Elige una de las siguientes opciones:
  - Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Consola de Services:
    1. Presiona Win+R, escribe services.msc y presiona Intro.
    2. Busca observIQ OpenTelemetry Collector.
    3. Haz clic con el botón derecho y selecciona Reiniciar.
2. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de syslog del portal de asistencia de Broadcom

El portal de asistencia de Broadcom puede reenviar eventos de registro de auditoría a través de syslog a recopiladores externos para la integración de SIEM.

Configura el registro remoto de syslog

Accede a la Consola del administrador del Portal de asistencia de Broadcom.
Ve a Administración > Registros > Registro remoto.
Habilita Syslog remoto.
Configura los siguientes parámetros de syslog:
- Dirección del servidor de Syslog: Ingresa la dirección IP o el nombre de host del host del agente de Bindplane (por ejemplo, 192.168.1.100).
- Puerto: Ingresa el puerto que coincide con el agente de BindPlane listen_address (por ejemplo, 514).
- Protocolo: Selecciona UDP (predeterminado) o TCP para que coincida con el tipo de receptor del agente de Bindplane.
Haz clic en Guardar.

Selecciona categorías de eventos de auditoría

En la configuración de Registro remoto, selecciona las categorías de eventos de auditoría que se reenviarán:
- Eventos de autenticación del usuario: Actividades de acceso y cierre de sesión
- Eventos de trabajo: Cambios de estado y estado de ejecución del trabajo
- Eventos de acceso a recursos: Acceso a recursos de asistencia y descargas
- Eventos administrativos: Cambios en la configuración y operaciones administrativas
Haz clic en Guardar.

Nota: Las categorías de eventos y las opciones de configuración específicas dependen de la implementación del portal de asistencia de Broadcom y del nivel de licencia. Consulta la documentación del portal de asistencia de Broadcom para tu versión específica.

Verifica el reenvío de Syslog

Después de guardar la configuración de syslog, realiza una acción de prueba en el portal de asistencia de Broadcom (por ejemplo, inicia sesión o accede a un recurso).
Verifica los registros del agente de BindPlane para ver los mensajes de syslog entrantes:
- Linux: sudo journalctl -u observiq-otel-collector -f
- Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Verifica que los mensajes de registro de auditoría aparezcan en los registros.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
ParallelDestination, STORAGE_TYPE, JOB_NAME, kubernetes.docker_id, kubernetes.pod_id	target.resource.attribute.labels	Se combinaron con las etiquetas correspondientes
destinationName, responseDestinationName, DESTINATION_NAME	target.application	Valor de DESTINATION_NAME si no está vacío; de lo contrario, responseDestinationName si no es nulo ni está vacío; de lo contrario, destinationName
kubernetes.container_hash	target.file.full_path	Se extrajo con el patrón grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
kubernetes.container_hash	target.file.sha256	Se extrajo con el patrón grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
groupId	target.user.group_identifiers	Se fusionó desde groupId
dispatch, companyId	additional.fields	Se combinó con dispatch_label y companyId_label
response, responseId	security_result.detection_fields	Se combinó con response_label y responseId_label
kubernetes.container_image, kubernetes.container_name, kubernetes.namespace_name, kubernetes.pod_name	principal.resource.attribute.labels	Se combinaron con las etiquetas correspondientes
GROUP_NAME	principal.group.group_display_name	Valor copiado directamente
kubernetes.host	principal.asset.hostname	Valor copiado directamente
kubernetes.host	principal.hostname	Valor copiado directamente
carga útil	principal.resource.product_object_id	Valor copiado directamente
gravedad,	security_result.severity	Se establece en mayúsculas y se configura si está en la lista de entidades permitidas
description, JOB_STATE	security_result.description	Valor de la descripción si no está vacío; de lo contrario, JOB_STATE
timestramp	metadata.event_timestamp	Se analiza con ISO8601, aaaa-MM-ddTHH:mm:ss.SSSSSSSSSZ, aaaa-MM-dd HH:mm:ss.SSS
	metadata.event_type	Se establece en "USER_LOGIN" si tiene principal, tiene destino y es inicio de sesión del usuario; en "USER_LOGOUT" si tiene principal, tiene destino y es cierre de sesión del usuario; en "STATUS_UPDATE" si tiene principal; de lo contrario, en "GENERIC_EVENT".
	extensions.auth.type	Se establece en "AUTHTYPE_UNSPECIFIED" si se trata de un evento de acceso o salida del usuario.
	metadata.product_name	Se estableció en "BROADCOM_SUPPORT_PORTAL"
	metadata.vendor_name	Se estableció en "BROADCOM_SUPPORT_PORTAL"

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.