Collecter les journaux LDAP de l'AC

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux LDAP d'autorité de certification dans Google Security Operations à l'aide de l'agent Bindplane.

CA Directory (anciennement Symantec Directory) est un serveur d'annuaire conforme à LDAP v2/v3 et basé sur les normes X.500. Il fournit des services d'annuaire de niveau entreprise avec des fonctionnalités de journalisation complètes, y compris des journaux d'alarme, de trace, d'avertissement, de requête, de récapitulatif, de connexion, de diagnostic, de mise à jour et de statistiques pour surveiller les opérations d'annuaire et les événements de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur CA Directory
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié au serveur CA Directory (root ou administrateur)
CA Directory installé et configuré avec la journalisation activée

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane doit être installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : Le customer ID est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres
1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
2. Exécutez la commande suivante :
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Attendez la fin de l'installation.
4. Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
  Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
1. Ouvrez un terminal avec les droits root ou sudo.
2. Exécutez la commande suivante :
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Attendez la fin de l'installation.
4. Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
  Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/ca_directory:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CA_LDAP
    raw_log_field: body
    ingestion_labels:
      env: production
      source: ca_directory

service:
  pipelines:
    logs/ca_directory_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/ca_directory

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - listen_address : définissez sur 0.0.0.0:514 pour écouter sur toutes les interfaces sur le port UDP 514.
    - Pour les installations Linux non root, utilisez le port 1514 ou un port supérieur.
    - Assurez-vous que le port correspond à celui configuré dans le transfert rsyslog.
- Configuration de l'exportateur :
  - creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id : remplacez YOUR_CUSTOMER_ID par votre customer ID. Pour en savoir plus, consultez Obtenir l'ID client Google SecOps.
  - endpoint : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - log_type : définie sur CA_LDAP (libellé d'ingestion Chronicle pour le répertoire AC)
  - ingestion_labels : libellés facultatifs pour le filtrage et l'organisation

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux :
1. Exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
2. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows :
1. Choisissez l'une des options suivantes :
  - Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services :
    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez observIQ OpenTelemetry Collector.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.
2. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog LDAP de l'autorité de certification à l'aide de rsyslog

Cette section explique comment configurer rsyslog sur le serveur CA Directory pour transférer les journaux vers l'agent Bindplane.

Identifier les emplacements des fichiers journaux du répertoire de l'autorité de certification

Le répertoire CA stocke les fichiers journaux aux emplacements suivants :

Linux : /opt/CA/Directory/dxserver/logs/
Windows : C:\Program Files\CA\Directory\dxserver\logs\

Les fichiers journaux suivent des modèles de dénomination basés sur le nom de l'ADR (par exemple, democorp_alarm, democorp_warn, democorp_trace).

Types de journaux disponibles

CA Directory génère les types de journaux suivants :

Journal des alarmes : événements critiques (toujours activé)
Journal d'avertissements : erreurs et avertissements
Journal trace : suivi détaillé des opérations
Journal des requêtes : informations détaillées sur les opérations avec des codes temporels
Journal récapitulatif : récapitulatifs des opérations
Journal de connexion : événements de connexion et de déconnexion
Journal de diagnostic : opérations refusées
Journal des statistiques : statistiques opérationnelles par minute
Journal des modifications : opérations d'ajout, de modification, de changement de nom et de suppression
Journal des temps : informations sur le timing des opérations

Configurer rsyslog sur Linux

Connectez-vous au serveur CA Directory en tant que root ou avec des droits sudo.
Installez rsyslog si ce n'est pas déjà fait :
```
sudo yum install rsyslog
```
Ou pour Debian/Ubuntu :
```
sudo apt-get install rsyslog
```
Créez un fichier de configuration rsyslog pour CA Directory :
```
sudo nano /etc/rsyslog.d/ca-directory.conf
```

Ajoutez la configuration suivante pour transférer les journaux CA Directory :

# Load the imfile module for file monitoring
module(load="imfile" PollingInterval="10")

# Monitor CA Directory alarm logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_alarm*"
    Tag="ca-directory-alarm"
    Severity="error"
    Facility="local0")

# Monitor CA Directory warn logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_warn*"
    Tag="ca-directory-warn"
    Severity="warning"
    Facility="local0")

# Monitor CA Directory trace logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_trace*"
    Tag="ca-directory-trace"
    Severity="info"
    Facility="local0")

# Monitor CA Directory query logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_query*"
    Tag="ca-directory-query"
    Severity="info"
    Facility="local0")

# Monitor CA Directory connection logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_connection*"
    Tag="ca-directory-connection"
    Severity="info"
    Facility="local0")

# Monitor CA Directory update logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_update*"
    Tag="ca-directory-update"
    Severity="info"
    Facility="local0")

# Forward all CA Directory logs to Bindplane agent
if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
& stop

Remplacez BINDPLANE_AGENT_IP par l'adresse IP de l'hôte de l'agent Bindplane :
- Si l'agent Bindplane se trouve sur le même serveur : 127.0.0.1
- Si l'agent Bindplane se trouve sur un autre serveur : saisissez l'adresse IP (par exemple, 192.168.1.100).
Remarque : Le préfixe @@ indique le transfert TCP. Utilisez @ pour le transfert UDP (par exemple, @BINDPLANE_AGENT_IP:514).
Enregistrez le fichier de configuration :

Appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Vérifiez la syntaxe de la configuration rsyslog :
```
sudo rsyslogd -N1
```
Redémarrez le service rsyslog :
```
sudo systemctl restart rsyslog
```
Vérifiez que rsyslog est en cours d'exécution :
```
sudo systemctl status rsyslog
```
Recherchez les erreurs dans les journaux rsyslog :
```
sudo tail -f /var/log/messages
```

Configurer rsyslog sur Windows

Téléchargez et installez rsyslog pour Windows depuis le site Web de rsyslog.

Ouvrez le fichier de configuration rsyslog :

notepad "C:\Program Files\rsyslog\rsyslog.conf"

Ajoutez la configuration suivante :

# Load the imfile module for file monitoring
module(load="imfile" PollingInterval="10")

# Monitor CA Directory alarm logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*"
    Tag="ca-directory-alarm"
    Severity="error"
    Facility="local0")

# Monitor CA Directory warn logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*"
    Tag="ca-directory-warn"
    Severity="warning"
    Facility="local0")

# Monitor CA Directory trace logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*"
    Tag="ca-directory-trace"
    Severity="info"
    Facility="local0")

# Forward all CA Directory logs to Bindplane agent
if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
& stop

Remplacez BINDPLANE_AGENT_IP par l'adresse IP de l'hôte de l'agent Bindplane.
Enregistrez le fichier de configuration.
Redémarrez le service rsyslog :
```
net stop rsyslog
net start rsyslog
```

Activer la journalisation du répertoire de l'autorité de certification

Assurez-vous que les types de journaux requis sont activés dans CA Directory :

Modifiez le fichier de configuration DSA :
- Linux : /opt/CA/Directory/dxserver/config/servers/democorp.dxc
- Windows : C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
Remarque : Remplacez democorp par le nom de votre DSA.

Vérifiez ou ajoutez les paramètres de journalisation suivants :

    set alarm-log = true;
    set warn-log = true;
    set trace-log = true;
    set query-log = true;
    set connection-log = true;
    set update-log = true;

Enregistrez le fichier de configuration.

Redémarrez le DSA CA Directory :

Linux :

dxserver stop democorp
dxserver start democorp

Windows :

net stop "CA Directory DSA - democorp"
net start "CA Directory DSA - democorp"

Vérifier le transfert de journaux

Générez une activité de test dans CA Directory en effectuant des requêtes LDAP ou des tentatives d'authentification.

Consultez les journaux de l'agent Bindplane pour vérifier que les journaux sont bien reçus :

Linux :

sudo journalctl -u observiq-otel-collector -f

Windows :

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Connectez-vous à la console Google SecOps et vérifiez que les journaux CA Directory s'affichent dans la visionneuse de journaux.

Pour en savoir plus sur la journalisation de CA Directory, consultez la documentation Broadcom CA Directory.

Pour obtenir des exemples détaillés de configuration de rsyslog, consultez l'article de la base de connaissances Broadcom sur la journalisation centralisée.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name	additional.fields	Fusionnés en tant que libellés avec les clés "ephemeral_id", "irm_region", "irm_environment", "irm_site" et "os_name", respectivement
host.architecture	hardware.cpu_platform	Valeur copiée directement
logstash.process.host	intermediary.hostname	Valeur copiée directement
logstash.collect.timestamp	metadata.collected_timestamp	Analysé en tant qu'horodatage à l'aide du filtre de date
Message	metadata.description	Valeur copiée directement
	metadata.event_type	Définissez-le sur "STATUS_UPDATE".
agent.type, agent.version	observer.application	Concaténé sous la forme "%{agent.type} %{agent.version}" si les deux ne sont pas vides, sinon "%{agent.type}"
agent.type, agent.id	observer.asset_id	Concaténé sous la forme "%{agent.type}: %{agent.id}"
agent.hostname	observer.hostname	Valeur copiée directement
host.id	principal.asset.asset_id	Concaténé sous la forme "CA_LDAP:%{host.id}"
matériel	principal.asset.hardware	Fusionné à partir d'un objet matériel
host.hostname	principal.hostname	Valeur copiée directement
host.ip	principal.ip	Fusionné à partir du tableau host.ip
host.mac	principal.mac	Fusionné à partir du tableau host.mac
host.os.family	principal.platform	Définissez la valeur sur "LINUX" si elle correspond à "(rhel\|redhat)".
host.os.kernel	principal.platform_patch_level	Valeur copiée directement
host.os.version	principal.platform_version	Valeur copiée directement
log.file.path	principal.process.file.full_path	Valeur copiée directement
syslog_severity	security_result.severity	Défini sur "INFORMATIONAL" s'il correspond à "(?i)(DEFAULT\|DEBUG\|INFO\|NOTICE)", sur "ERROR" s'il correspond à "(?i)ERROR", sur "MEDIUM" s'il correspond à "(?i)WARNING", sur "HIGH" s'il correspond à "(?i)(CRITICAL\|ALERT\|EMERGENCY)"
syslog_severity	security_result.severity_details	Valeur copiée directement
	metadata.product_name	Défini sur "CA_LDAP"
	metadata.vendor_name	Défini sur "CA_LDAP"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.