Recopila registros de LDAP de la CA

En este documento, se explica cómo transferir registros LDAP de la CA a Google Security Operations con el agente de BindPlane.

El directorio de la CA (anteriormente, directorio de Symantec) es un servidor de directorio compatible con LDAP v2/v3 basado en los estándares X.500. Proporciona servicios de directorio a nivel empresarial con capacidades de registro integrales, incluidos los registros de alarma, seguimiento, advertencia, consulta, resumen, conexión, diagnóstico, actualización y estadísticas para supervisar las operaciones del directorio y los eventos de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows Server 2016 o versiones posteriores, o host de Linux con systemd
• Conectividad de red entre el agente de Bindplane y el servidor del directorio de CA
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
• Acceso con privilegios al servidor del directorio de la CA (raíz o administrador)
• El directorio de la CA está instalado y configurado con el registro habilitado.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.

3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.

3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

• Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

     msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
     

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

     sc query observiq-otel-collector
     

     El servicio debe mostrarse como RUNNING.

• Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

     sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
     

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

     sudo systemctl status observiq-otel-collector
     

     El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

• Linux:

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows:

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

Edita el archivo de configuración

1. Reemplaza todo el contenido de config.yaml con la siguiente configuración:

   receivers:
     udplog:
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/ca_directory:
       compression: gzip
       creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
       customer_id: 'YOUR_CUSTOMER_ID'
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: CA_LDAP
       raw_log_field: body
       ingestion_labels:
         env: production
         source: ca_directory
   
   service:
     pipelines:
       logs/ca_directory_to_chronicle:
         receivers:
           - udplog
         exporters:
           - chronicle/ca_directory
   

2. Reemplaza los marcadores de posición que se indican más abajo:

   • Configuración del receptor:

     • listen_address: Configúralo como 0.0.0.0:514 para escuchar en todas las interfaces en el puerto UDP 514.

       • Para las instalaciones de Linux que no son de raíz, usa el puerto 1514 o uno posterior.
       • Asegúrate de que el puerto coincida con el puerto configurado en el reenvío de rsyslog

   • Configuración del exportador:

     • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:

       • Linux: /etc/bindplane-agent/ingestion-auth.json
       • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

     • customer_id: Reemplaza YOUR_CUSTOMER_ID por tu customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.

     • endpoint: URL del extremo regional:

       • EE.UU.: malachiteingestion-pa.googleapis.com
       • Europa: europe-malachiteingestion-pa.googleapis.com
       • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com

     • log_type: Se establece en CA_LDAP (etiqueta de transferencia de Chronicle para el directorio de CA)

     • ingestion_labels: Etiquetas opcionales para filtrar y organizar

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

• Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
• Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

  1. Ejecuta el comando siguiente:

     sudo systemctl restart observiq-otel-collector
     

  2. Verifica que el servicio esté en ejecución:

     sudo systemctl status observiq-otel-collector
     

  3. Revisa los registros en busca de errores:

     sudo journalctl -u observiq-otel-collector -f
     

• Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

  1. Elige una de las siguientes opciones:

     • Símbolo del sistema o PowerShell como administrador:

       net stop observiq-otel-collector && net start observiq-otel-collector
       

     • Consola de Services:

       1. Presiona Win+R, escribe services.msc y presiona Intro.
       2. Busca observIQ OpenTelemetry Collector.
       3. Haz clic con el botón derecho y selecciona Reiniciar.

  2. Verifica que el servicio esté en ejecución:

     sc query observiq-otel-collector
     

  3. Revisa los registros en busca de errores:

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

Configura el reenvío de syslog de LDAP de la CA con rsyslog

En esta sección, se describe cómo configurar rsyslog en el servidor de directorio de la CA para reenviar registros al agente de Bindplane.

Cómo identificar las ubicaciones de los archivos de registro del directorio de la CA

El directorio de la CA almacena los archivos de registro en las siguientes ubicaciones:

• Linux: /opt/CA/Directory/dxserver/logs/
• Windows: C:\Program Files\CA\Directory\dxserver\logs\

Los archivos de registro siguen patrones de nomenclatura basados en el nombre de la DSA (por ejemplo, democorp_alarm, democorp_warn, democorp_trace).

Tipos de registros disponibles

El directorio de la CA genera los siguientes tipos de registros:

• Registro de alarmas: Eventos críticos (siempre habilitado)
• Registro de advertencias: Errores y advertencias
• Registro de seguimiento: Seguimiento detallado de la operación
• Registro de consultas: Información detallada de la operación con marcas de tiempo
• Registro de resumen: Resúmenes de operaciones
• Registro de conexión: Eventos de conexión y desconexión
• Registro de diagnóstico: Operaciones rechazadas
• Registro de estadísticas: Estadísticas operativas por minuto
• Registro de actualizaciones: Operaciones de agregar, modificar, cambiar el nombre y borrar
• Registro de tiempo: Información de gestión de tiempos de la operación

Cómo configurar rsyslog en Linux

1. Accede al servidor del directorio de la CA como raíz o con privilegios de sudo.

2. Instala rsyslog si aún no lo hiciste:

   sudo yum install rsyslog
   

   O bien, para Debian/Ubuntu:

   sudo apt-get install rsyslog
   

3. Crea un nuevo archivo de configuración de rsyslog para el directorio de CA:

   sudo nano /etc/rsyslog.d/ca-directory.conf
   

4. Agrega la siguiente configuración para retransmitir los registros del directorio de la CA:

   # Load the imfile module for file monitoring
   module(load="imfile" PollingInterval="10")
   
   # Monitor CA Directory alarm logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_alarm*"
       Tag="ca-directory-alarm"
       Severity="error"
       Facility="local0")
   
   # Monitor CA Directory warn logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_warn*"
       Tag="ca-directory-warn"
       Severity="warning"
       Facility="local0")
   
   # Monitor CA Directory trace logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_trace*"
       Tag="ca-directory-trace"
       Severity="info"
       Facility="local0")
   
   # Monitor CA Directory query logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_query*"
       Tag="ca-directory-query"
       Severity="info"
       Facility="local0")
   
   # Monitor CA Directory connection logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_connection*"
       Tag="ca-directory-connection"
       Severity="info"
       Facility="local0")
   
   # Monitor CA Directory update logs
   input(type="imfile"
       File="/opt/CA/Directory/dxserver/logs/*_update*"
       Tag="ca-directory-update"
       Severity="info"
       Facility="local0")
   
   # Forward all CA Directory logs to Bindplane agent
   if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
   & stop
   

5. Reemplaza BINDPLANE_AGENT_IP por la dirección IP del host del agente de Bindplane:

   • Si el agente de BindPlane está en el mismo servidor: 127.0.0.1
   • Si el agente de BindPlane está en un servidor diferente, ingresa la dirección IP (por ejemplo, 192.168.1.100).

6. Guarda el archivo de configuración:

   Presiona Ctrl+O, luego Enter y, después, Ctrl+X.

7. Verifica la sintaxis de configuración de rsyslog:

   sudo rsyslogd -N1
   

8. Reinicia el servicio rsyslog:

   sudo systemctl restart rsyslog
   

9. Verifica que rsyslog esté en ejecución:

   sudo systemctl status rsyslog
   

10. Verifica si hay errores en los registros de rsyslog:

    sudo tail -f /var/log/messages
    

Cómo configurar rsyslog en Windows

1. Descarga e instala rsyslog para Windows desde el sitio web de rsyslog.

2. Abre el archivo de configuración de rsyslog:

   notepad "C:\Program Files\rsyslog\rsyslog.conf"
   

3. Agrega la siguiente configuración:

   # Load the imfile module for file monitoring
   module(load="imfile" PollingInterval="10")
   
   # Monitor CA Directory alarm logs
   input(type="imfile"
       File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*"
       Tag="ca-directory-alarm"
       Severity="error"
       Facility="local0")
   
   # Monitor CA Directory warn logs
   input(type="imfile"
       File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*"
       Tag="ca-directory-warn"
       Severity="warning"
       Facility="local0")
   
   # Monitor CA Directory trace logs
   input(type="imfile"
       File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*"
       Tag="ca-directory-trace"
       Severity="info"
       Facility="local0")
   
   # Forward all CA Directory logs to Bindplane agent
   if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
   & stop
   

4. Reemplaza BINDPLANE_AGENT_IP por la dirección IP del host del agente de Bindplane.

5. Guarda el archivo de configuración.

6. Reinicia el servicio rsyslog:

   net stop rsyslog
   net start rsyslog
   

Habilita el registro del directorio de la CA

Asegúrate de que los tipos de registros requeridos estén habilitados en CA Directory:

1. Edita el archivo de configuración de la DSA:

   • Linux: /opt/CA/Directory/dxserver/config/servers/democorp.dxc
   • Windows: C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc

2. Verifica o agrega los siguientes parámetros de configuración de registro:

       set alarm-log = true;
       set warn-log = true;
       set trace-log = true;
       set query-log = true;
       set connection-log = true;
       set update-log = true;
   

3. Guarda el archivo de configuración.

4. Reinicia el DSA del directorio de la CA:

   • Linux:

     dxserver stop democorp
     dxserver start democorp
     

   • Windows:

     net stop "CA Directory DSA - democorp"
     net start "CA Directory DSA - democorp"
     

Verifica el reenvío de registros

1. Genera actividad de prueba en el directorio de la CA realizando consultas LDAP o intentos de autenticación.

2. Revisa los registros del agente de Bindplane para verificar que se reciban los registros:

   • Linux:

     sudo journalctl -u observiq-otel-collector -f
     

   • Windows:

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

3. Accede a la consola de Google SecOps y verifica que los registros del directorio de la CA aparezcan en el visor de registros.

Para obtener más información sobre el registro del directorio de la CA, consulta la documentación del directorio de la CA de Broadcom.

Para obtener ejemplos detallados de configuración de rsyslog, consulta el artículo de la base de conocimiento de Broadcom sobre el registro centralizado.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name	additional.fields	Se combinaron como etiquetas con las claves "ephemeral_id", "irm_region", "irm_environment", "irm_site" y "os_name", respectivamente.
host.architecture	hardware.cpu_platform	Valor copiado directamente
logstash.process.host	intermediary.hostname	Valor copiado directamente
logstash.collect.timestamp	metadata.collected_timestamp	Se analizó como marca de tiempo con el filtro de fecha.
msg	metadata.description	Valor copiado directamente
	metadata.event_type	Se establece en "STATUS_UPDATE".
agent.type, agent.version	observer.application	Se concatena como "%{agent.type} %{agent.version}" si ambos no están vacíos; de lo contrario, se concatena como "%{agent.type}".
agent.type, agent.id	observer.asset_id	Se concatenan como "%{agent.type}: %{agent.id}"
agent.hostname	observer.hostname	Valor copiado directamente
host.id	principal.asset.asset_id	Se concatena como "CA_LDAP:%{host.id}".
hardware	principal.asset.hardware	Se combinó desde el objeto de hardware
host.hostname	principal.hostname	Valor copiado directamente
host.ip	principal.ip	Se fusionó del array host.ip
host.mac	principal.mac	Se combinó desde el array host.mac
host.os.family	principal.platform	Se establece en "LINUX" si coincide con "(rhel|redhat)".
host.os.kernel	principal.platform_patch_level	Valor copiado directamente
host.os.version	principal.platform_version	Valor copiado directamente
log.file.path	principal.process.file.full_path	Valor copiado directamente
syslog_severity	security_result.severity	Se establece en "INFORMATIONAL" si coincide con "(?i)(DEFAULT|DEBUG|INFO|NOTICE)", en "ERROR" si coincide con "(?i)ERROR", en "MEDIUM" si coincide con "(?i)WARNING" y en "HIGH" si coincide con "(?i)(CRITICAL|ALERT|EMERGENCY)".
syslog_severity	security_result.severity_details	Valor copiado directamente
	metadata.product_name	Se establece en "CA_LDAP".
	metadata.vendor_name	Se establece en "CA_LDAP".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.