Coletar registros de auditoria do portal de suporte da Broadcom

Compatível com:

Este documento explica como ingerir registros de auditoria do portal de suporte da Broadcom no Google Security Operations usando o agente do Bindplane.

O portal de suporte da Broadcom oferece acesso centralizado a recursos de suporte, gerenciamento de casos e downloads de produtos empresariais da Broadcom. A plataforma gera registros de auditoria que capturam eventos de autenticação do usuário, atividades de execução de jobs, acesso a recursos e operações administrativas em toda a infraestrutura do portal.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e a infraestrutura do portal de suporte da Broadcom
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso administrativo ao portal de suporte da Broadcom com permissões para configurar o encaminhamento de syslog

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.

  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

  • Instalação do Windows

    1. Abra o prompt de comando ou o PowerShell como administrador.

    2. Execute este comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sc query observiq-otel-collector

      O serviço vai aparecer como EM EXECUÇÃO.

  • Instalação do Linux

    1. Abra um terminal com privilégios de root ou sudo.

    2. Execute este comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sudo systemctl status observiq-otel-collector

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  1. Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/broadcom:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BROADCOM_SUPPORT_PORTAL
    raw_log_field: body

service:
  pipelines:
    logs/broadcom_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/broadcom

  2. Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • listen_address: endereço IP e porta a serem detectados:

      • 0.0.0.0:514 para detectar em todas as interfaces na porta 514 (requer root no Linux)
      • 0.0.0.0:1514 para detectar uma porta sem privilégios (recomendado para Linux não root)

    • Opções de tipo de receptor:

      • udplog para syslog UDP (padrão)
      • tcplog para syslog TCP

  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão do Google SecOps:

      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

    • customer_id: seu customer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.

    • endpoint: URL do endpoint regional:

      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux:

    1. Execute este comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    3. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows:

    1. Escolha uma das seguintes opções:

      • Prompt de comando ou PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console de serviços:

        1. Pressione Win+R, digite services.msc e pressione Enter.
        2. Localize o Coletor do OpenTelemetry da observIQ.
        3. Clique com o botão direito do mouse e selecione Reiniciar.

    2. Verifique se o serviço está em execução:

      sc query observiq-otel-collector

    3. Verifique se há erros nos registros:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do portal de suporte da Broadcom

O portal de suporte da Broadcom pode encaminhar eventos de registro de auditoria via syslog para coletores externos para integração com SIEM.

Configurar o registro syslog remoto

  1. Faça login no console de administração do portal de suporte da Broadcom.
  2. Acesse Administração > Registros > Registro remoto.
  3. Ative o Syslog remoto.

  4. Configure os seguintes parâmetros do syslog:

    • Endereço do servidor Syslog: insira o endereço IP ou o nome do host do host do agente Bindplane (por exemplo, 192.168.1.100).
    • Porta: insira a porta correspondente ao agente do Bindplane listen_address (por exemplo, 514).
    • Protocolo: selecione UDP (padrão) ou TCP para corresponder ao tipo de receptor do agente do Bindplane.

  5. Clique em Salvar.

Selecionar categorias de eventos de auditoria

  1. Na configuração Registro remoto, selecione as categorias de eventos de auditoria a serem encaminhadas:

    • Eventos de autenticação do usuário: atividades de login e logout
    • Eventos de job: status de execução do job e mudanças de estado
    • Eventos de acesso a recursos: acesso a recursos de suporte e downloads
    • Eventos administrativos: mudanças de configuração e operações administrativas

  2. Clique em Salvar.

Verificar o encaminhamento de syslog

  1. Depois de salvar a configuração do syslog, faça uma ação de teste no portal de suporte da Broadcom (por exemplo, faça login ou acesse um recurso).

  2. Verifique os registros do agente do Bindplane para mensagens syslog recebidas:

    • Linux: sudo journalctl -u observiq-otel-collector -f
    • Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Verifique se as mensagens de registro de auditoria aparecem nos registros.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ParallelDestination, STORAGE_TYPE, JOB_NAME, kubernetes.docker_id, kubernetes.pod_id target.resource.attribute.labels Combinado com os rótulos correspondentes
destinationName, responseDestinationName, DESTINATION_NAME target.application Valor de DESTINATION_NAME se não estiver vazio. Caso contrário, responseDestinationName se não for nulo ou vazio. Caso contrário, destinationName.
kubernetes.container_hash target.file.full_path Extraído usando o padrão grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
kubernetes.container_hash target.file.sha256 Extraído usando o padrão grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
groupId target.user.group_identifiers Mesclado de groupId
dispatch, companyId additional.fields Unido com dispatch_label e companyId_label
response, responseId security_result.detection_fields Mesclado com "response_label" e "responseId_label"
kubernetes.container_image, kubernetes.container_name, kubernetes.namespace_name, kubernetes.pod_name principal.resource.attribute.labels Combinado com os rótulos correspondentes
GROUP_NAME principal.group.group_display_name Valor copiado diretamente
kubernetes.host principal.asset.hostname Valor copiado diretamente
kubernetes.host principal.hostname Valor copiado diretamente
payload principal.resource.product_object_id Valor copiado diretamente
gravidade, security_result.severity Em maiúsculas e definido se estiver na lista de permissões
description, JOB_STATE security_result.description Valor da descrição se não estiver vazia, caso contrário, JOB_STATE
timestramp metadata.event_timestamp Analisado usando ISO8601, aaaa-MM-ddTHH:mm:ss.SSSSSSSSSZ, aaaa-MM-dd HH:mm:ss.SSS
metadata.event_type Definido como "USER_LOGIN" se has_principal, has_target, user_login; "USER_LOGOUT" se has_principal, has_target, user_logout; "STATUS_UPDATE" se has_principal; caso contrário, "GENERIC_EVENT"
extensions.auth.type Definido como "AUTHTYPE_UNSPECIFIED" se o evento for de login ou logout do usuário.
metadata.product_name Definido como "BROADCOM_SUPPORT_PORTAL"
metadata.vendor_name Definido como "BROADCOM_SUPPORT_PORTAL"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.