Recopila registros de Carbon Black App Control (antes CB Protection)

En este documento, se explica cómo transferir registros de Carbon Black App Control (antes conocido como CB Protection y ahora parte de Broadcom) a Google Security Operations con Bindplane. El analizador admite los formatos CEF y JSON. Primero, intenta analizar la entrada como JSON. Si eso falla, trata la entrada como CEF, realiza sustituciones de texto, extrae campos de CEF, los asigna al UDM y establece el tipo de evento en GENERIC_EVENT.

Carbon Black App Control es una solución de control de aplicaciones y listas blancas que permite a las organizaciones bloquear servidores y sistemas críticos. Evita que se ejecute software malicioso y no autorizado aplicando políticas basadas en la confianza, supervisando los cambios en la integridad de los archivos y proporcionando visibilidad en tiempo real de la actividad de los endpoints.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Es una instancia de Google SecOps.
• Un host de Windows Server 2016 o posterior, o Linux con systemd.
• Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Servidor de Carbon Black App Control, versión 8.x o posterior
• Acceso con privilegios (cuenta de administrador) a la consola de Carbon Black App Control

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el comando siguiente:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de administrador o sudo.

2. Ejecuta el comando siguiente:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

1. Accede al archivo de configuración:

   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /observiq-otel-collector/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: '<customer_id>'
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: CB_APP_CONTROL
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

• Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
• Reemplaza <customer_id> por el ID de cliente real.
• Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso al archivo en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

1. Ejecuta el comando siguiente:

   sudo systemctl restart observiq-otel-collector
   

2. Verifica que el servicio esté en ejecución:

   sudo systemctl status observiq-otel-collector
   

3. Revisa los registros en busca de errores:

   sudo journalctl -u observiq-otel-collector -f
   

Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

1. Elige una de las siguientes opciones:

   • Símbolo del sistema o PowerShell como administrador:

   net stop observiq-otel-collector && net start observiq-otel-collector
   

   • Consola de Services:
     1. Presiona Win+R, escribe services.msc y presiona Intro.
     2. Busca observIQ OpenTelemetry Collector.
     3. Haz clic con el botón derecho y selecciona Reiniciar.

2. Verifica que el servicio esté en ejecución:

   sc query observiq-otel-collector
   

3. Revisa los registros en busca de errores:

   type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
   

Configura el reenvío de syslog de Carbon Black App Control

1. Accede a la consola de Carbon Black App Control con una cuenta de administrador.
2. Haz clic en el ícono de Settings (ajustes) y, luego, en System Configuration.
3. En la página Configuración del sistema, haz clic en la pestaña Eventos.
4. Haz clic en el botón Editar en la parte inferior de la página.
5. En el panel External Event Logging, selecciona la casilla de verificación Syslog Enabled.
6. Proporciona los siguientes detalles de configuración:
   • Dirección de Syslog: Ingresa la dirección IP o el FQDN del host del agente de Bindplane (por ejemplo, 192.168.1.100).
   • Puerto de Syslog: Ingresa 514 (o el puerto configurado en BindPlane).
   • Formato de Syslog: Selecciona el formato de salida en el menú Formato de Syslog:
     • CEF (ArcSight): Se recomienda para la transferencia de datos a Google SecOps.
     • Mejorado (RFC 5424): Es el valor predeterminado para las instalaciones nuevas de la versión 6.0.1 y posteriores.
     • Básica (RFC 3164): Es el valor predeterminado para las actualizaciones desde versiones anteriores a la 6.0.1.
     • LEEF (Q1 Labs): Para la integración de QRadar

7. Haz clic en Actualizar y, luego, en Sí en el cuadro de diálogo de confirmación.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
ABId	principal.asset.asset_id	El ABId del registro JSON se usa como parte del ID del activo en el formato PRODUCT_SPECIFIC_ID:{ABId}-{Bit9Server}.
Bit9Server	principal.asset.asset_id	Se usa como parte del ID del activo de la entidad principal, combinado con ABId. También se usa para construir el campo metadata.url_back_to_product.
CommandLine	about.process.command_line	Se asigna directamente.
EventType	metadata.product_event_type	Se asigna con el EventTypeId correspondiente entre corchetes (por ejemplo, [5] - Discovery).
EventTypeId	metadata.product_event_type	Se usa con EventType para propagar metadata.product_event_type.
EventSubType	metadata.description	Se agrega al campo metadata.description.
EventSubTypeId	metadata.description	No se asigna de forma explícita, pero puede contribuir a la descripción según la lógica interna del analizador.
externalId	metadata.product_log_id	Se asigna directamente.
FileHash	about.file.sha256	Se asigna directamente.
FileName	additional.fields (con la clave FileName)	Se agregó como un campo adicional. También se usa como parte de la información del archivo en metadata.description para algunos eventos.
FilePath	about.file.full_path	Se asigna directamente.
FileThreat	additional.fields (con la clave fileThreat)	Se agregó como un campo adicional.
FileTrust	additional.fields (con la clave fileTrust)	Se agregó como un campo adicional.
HostId	principal.asset.asset_id	Se usa para construir la URL de vuelta al producto en metadata.url_back_to_product.
HostName	target.hostname	Se asigna directamente.
HostIP	target.ip	Se asigna directamente.
Message	metadata.description	Se asigna directamente.
PathName	about.file.full_path	Se asigna directamente.
Platform	target.platform	Se asigna al valor de enumeración WINDOWS.
Policy	additional.fields (con la clave Policy)	Se agregó como un campo adicional.
PolicyId	additional.fields (con la clave PolicyId)	Se agregó como un campo adicional.
ProcessKey	additional.fields (con la clave ProcessKey)	Se agregó como un campo adicional.
ProcessPath	about.process.command_line	Se asigna directamente.
ProcessPathName	about.process.command_line	Se asigna directamente.
ProcessThreat	additional.fields (con la clave ProcessThreat)	Se agregó como un campo adicional.
ProcessTrust	additional.fields (con la clave ProcessTrust)	Se agregó como un campo adicional.
RuleName	additional.fields (con la clave ruleName)	Se agregó como un campo adicional.
Timestamp	metadata.event_timestamp	Se asigna directamente.
UserName	target.user.user_display_name	Se asigna directamente.
UserSid	principal.user.userid	Se asigna directamente.
agent.ephemeral_id	observer.labels (con la clave ephemeral_id)	Se agregó como etiqueta de observador.
agent.name	principal.hostname, observer.hostname, observer.user.userid	Se asigna a varios campos.
agent.type	observer.application	Se asigna directamente.
agent.version	metadata.product_version	Se asigna directamente para los registros JSON. En el caso de los registros de CEF, se extrae del mensaje de CEF.
cat	security_result.category_details	Se asigna directamente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.