Coletar registros do LDAP da CA
Este documento explica como ingerir registros LDAP da CA no Google Security Operations usando o agente do Bindplane.
O CA Directory (antigo Symantec Directory) é um servidor de diretório compatível com LDAP v2/v3 baseado em padrões X.500. Ele oferece serviços de diretório de nível empresarial com recursos abrangentes de geração de registros, incluindo registros de alarme, rastreamento, aviso, consulta, resumo, conexão, diagnóstico, atualização e estatísticas para monitorar operações de diretório e eventos de segurança.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e o servidor do CA Directory
- Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
- Acesso privilegiado ao servidor do CA Directory (root ou administrador)
- O CA Directory está instalado e configurado com a geração de registros ativada.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/ca_directory: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CA_LDAP raw_log_field: body ingestion_labels: env: production source: ca_directory service: pipelines: logs/ca_directory_to_chronicle: receivers: - udplog exporters: - chronicle/ca_directorySubstitua os seguintes marcadores de posição:
Configuração do receptor:
listen_address: defina como0.0.0.0:514para detectar todas as interfaces na porta UDP 514.- Para instalações não raiz do Linux, use a porta
1514ou superior. - Verifique se a porta corresponde à porta configurada no encaminhamento do rsyslog.
- Para instalações não raiz do Linux, use a porta
Configuração do exportador:
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: substituaYOUR_CUSTOMER_IDpor seucustomer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.endpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com
- EUA:
log_type: definido comoCA_LDAP(rótulo de ingestão do Chronicle para o diretório de CA)ingestion_labels: rótulos opcionais para filtragem e organização
Salve o arquivo de configuração.
Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O,EntereCtrl+X. - Windows: clique em Arquivo > Salvar.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux:
Execute este comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane em Windows:
Escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o Coletor do OpenTelemetry da observIQ.
- Clique com o botão direito do mouse e selecione Reiniciar.
- Pressione
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurar o encaminhamento de syslog LDAP da CA usando o rsyslog
Nesta seção, descrevemos como configurar o rsyslog no servidor de diretório da CA para encaminhar registros ao agente do Bindplane.
Identificar locais de arquivos de registros do diretório da CA
O CA Directory armazena arquivos de registro nos seguintes locais:
- Linux:
/opt/CA/Directory/dxserver/logs/ - Windows:
C:\Program Files\CA\Directory\dxserver\logs\
Os arquivos de registro seguem padrões de nomenclatura com base no nome da DSA (por exemplo, democorp_alarm, democorp_warn, democorp_trace).
Tipos de registros disponíveis
O CA Directory gera os seguintes tipos de registros:
- Registro de alarmes: eventos críticos (sempre ativado)
- Registro de aviso: erros e avisos
- Registro de rastreamento: rastreamento detalhado de operações
- Registro de consulta: informações detalhadas da operação com carimbos de data/hora
- Registro de resumo: resumos de operações
- Registro de conexão: eventos de conexão e desconexão
- Registro de diagnóstico: operações rejeitadas
- Registro de estatísticas: estatísticas operacionais por minuto
- Registro de atualizações: operações de adição, modificação, renomeação e exclusão
- Registro de tempo: informações de tempo da operação
Configurar o rsyslog no Linux
Faça login no servidor do CA Directory como root ou com privilégios sudo.
Instale o rsyslog se ele ainda não estiver instalado:
sudo yum install rsyslogOu para Debian/Ubuntu:
sudo apt-get install rsyslogCrie um arquivo de configuração do rsyslog para o CA Directory:
sudo nano /etc/rsyslog.d/ca-directory.confAdicione a seguinte configuração para encaminhar os registros do CA Directory:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Monitor CA Directory query logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_query*" Tag="ca-directory-query" Severity="info" Facility="local0") # Monitor CA Directory connection logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_connection*" Tag="ca-directory-connection" Severity="info" Facility="local0") # Monitor CA Directory update logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_update*" Tag="ca-directory-update" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopSubstitua
BINDPLANE_AGENT_IPpelo endereço IP do host do agente Bindplane:- Se o agente do Bindplane estiver no mesmo servidor:
127.0.0.1 - Se o agente do Bindplane estiver em um servidor diferente: insira o endereço IP (por exemplo,
192.168.1.100).
- Se o agente do Bindplane estiver no mesmo servidor:
Salve o arquivo de configuração:
Pressione
Ctrl+O,EntereCtrl+X.Verifique a sintaxe da configuração do rsyslog:
sudo rsyslogd -N1Reinicie o serviço rsyslog:
sudo systemctl restart rsyslogVerifique se o rsyslog está em execução:
sudo systemctl status rsyslogVerifique se há erros nos registros do rsyslog:
sudo tail -f /var/log/messages
Configurar o rsyslog no Windows
Faça o download e instale o rsyslog para Windows no site do rsyslog.
Abra o arquivo de configuração do rsyslog:
notepad "C:\Program Files\rsyslog\rsyslog.conf"Adicione a seguinte configuração:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopSubstitua
BINDPLANE_AGENT_IPpelo endereço IP do host do agente do Bindplane.Salve o arquivo de configuração.
Reinicie o serviço rsyslog:
net stop rsyslog net start rsyslog
Ativar o registro do diretório da CA
Verifique se os tipos de registros necessários estão ativados no CA Directory:
Edite o arquivo de configuração da DSA:
- Linux:
/opt/CA/Directory/dxserver/config/servers/democorp.dxc - Windows:
C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
- Linux:
Verifique ou adicione as seguintes configurações de geração de registros:
set alarm-log = true; set warn-log = true; set trace-log = true; set query-log = true; set connection-log = true; set update-log = true;Salve o arquivo de configuração.
Reinicie o DSA do CA Directory:
Linux:
dxserver stop democorp dxserver start democorpWindows:
net stop "CA Directory DSA - democorp" net start "CA Directory DSA - democorp"
Verificar o encaminhamento de registros
Gere atividade de teste no CA Directory fazendo consultas LDAP ou tentativas de autenticação.
Verifique os registros do agente do Bindplane para confirmar se eles estão sendo recebidos:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Faça login no console do Google SecOps e verifique se os registros do CA Directory estão aparecendo no visualizador de registros.
Para mais informações sobre o registro em log do CA Directory, consulte a documentação do Broadcom CA Directory.
Para exemplos detalhados de configuração do rsyslog, consulte o artigo da base de conhecimento da Broadcom sobre registro centralizado (em inglês).
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name | additional.fields | Unidos como rótulos com as chaves "ephemeral_id", "irm_region", "irm_environment", "irm_site", "os_name", respectivamente. |
| host.architecture | hardware.cpu_platform | Valor copiado diretamente |
| logstash.process.host | intermediary.hostname | Valor copiado diretamente |
| logstash.collect.timestamp | metadata.collected_timestamp | Analisado como carimbo de data/hora usando filtro de data |
| msg | metadata.description | Valor copiado diretamente |
| metadata.event_type | Definido como "STATUS_UPDATE" | |
| agent.type, agent.version | observer.application | Concatenado como "%{agent.type} %{agent.version}" se ambos não estiverem vazios. Caso contrário, "%{agent.type}" |
| agent.type, agent.id | observer.asset_id | Concatenado como "%{agent.type}: %{agent.id}" |
| agent.hostname | observer.hostname | Valor copiado diretamente |
| host.id | principal.asset.asset_id | Concatenado como "CA_LDAP:%{host.id}" |
| hardware | principal.asset.hardware | Mesclado de um objeto de hardware |
| host.hostname | principal.hostname | Valor copiado diretamente |
| host.ip | principal.ip | Unido da matriz host.ip |
| host.mac | principal.mac | Unido da matriz host.mac |
| host.os.family | principal.platform | Definido como "LINUX" se corresponder a "(rhel|redhat)" |
| host.os.kernel | principal.platform_patch_level | Valor copiado diretamente |
| host.os.version | principal.platform_version | Valor copiado diretamente |
| log.file.path | principal.process.file.full_path | Valor copiado diretamente |
| syslog_severity | security_result.severity | Definido como "INFORMATIONAL" se corresponder a "(?i)(DEFAULT|DEBUG|INFO|NOTICE)", "ERROR" se corresponder a "(?i)ERROR", "MEDIUM" se corresponder a "(?i)WARNING", "HIGH" se corresponder a "(?i)(CRITICAL|ALERT|EMERGENCY)" |
| syslog_severity | security_result.severity_details | Valor copiado diretamente |
| metadata.product_name | Defina como "CA_LDAP". | |
| metadata.vendor_name | Defina como "CA_LDAP". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.