Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do CyberArk Endpoint Privilege Manager

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do CyberArk Endpoint Privilege Manager (EPM) no Google Security Operations usando o Bindplane. O CyberArk EPM aplica o princípio de privilégio mínimo nos endpoints removendo os direitos de administrador local e permitindo que os usuários executem aplicativos aprovados. Ele oferece controle de aplicativos, gerenciamento de privilégios e proteção contra roubo de credenciais para endpoints Windows, macOS e Linux.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps.
Um host Windows 2016 ou mais recente ou Linux com systemd.
Se você estiver executando um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao console de gerenciamento do CyberArk EPM com permissões de administrador.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /opt/observiq-otel-collector/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <PLACEHOLDER_CUSTOMER_ID>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CYBERARK_EPM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <PLACEHOLDER_CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho do arquivo em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configurar o encaminhamento de syslog do CyberArk EPM

Faça login no Console do CyberArk EPM como administrador.
Acesse Administração > Configuração do sistema > Integração do SIEM.
Selecione Ativar SIEM para ativar o encaminhamento de syslog.
Informe os seguintes detalhes de configuração:
- Tipo de SIEM: selecione Syslog.
- Endereço do servidor: insira o endereço IP do host do agente do Bindplane (por exemplo, 192.168.1.100).
- Porta: insira o número da porta que corresponde à configuração do agente Bindplane (por exemplo, 514).
- Protocolo: selecione TCP.
- Formato: selecione CEF (Common Event Format).
Na seção Tipos de evento, selecione as categorias de eventos a serem encaminhadas:
- Eventos de auditoria de política: ações de aplicação de políticas.
- Eventos de auditoria do administrador: ações administrativas no console do EPM.
- Eventos de proteção contra ameaças: eventos de proteção contra roubo de credenciais e ransomware.
- Eventos de controle de aplicativos: eventos de permissão/bloqueio de aplicativos.
Clique em Salvar.
Verifique se os registros estão sendo recebidos conferindo os registros do agente do Bindplane:
```
sudo journalctl -u observiq-otel-collector -f
```

Para mais informações sobre a integração do syslog do CyberArk EPM, consulte o guia de administração do CyberArk EPM.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Header.deviceVendor`	`metadata.vendor_name`	Mapeado do campo "fornecedor" do cabeçalho CEF.
`Header.deviceProduct`	`metadata.product_name`	Mapeado do campo "produto" do cabeçalho CEF.
`Header.deviceVersion`	`metadata.product_version`	Mapeado do campo de versão do cabeçalho CEF.
`Header.signatureId`	`metadata.product_event_type`	Mapeado do campo de ID da assinatura do CEF.
`Header.name`	`metadata.description`	Mapeado do campo "Nome do evento" do CEF.
`Header.severity`	`security_result.severity`	Mapeado da gravidade do CEF (0-3=BAIXA, 4-6=MÉDIA, 7-8=ALTA, 9-10=CRÍTICA).
`shost`	`principal.hostname`	O nome do host de origem em que o evento ocorreu.
`src`	`principal.ip`	O endereço IP de origem.
`suser`	`principal.user.userid`	O nome de usuário de origem associado ao evento.
`fname`	`target.file.full_path`	O nome ou caminho do arquivo envolvido no evento.
`fileHash`	`target.file.md5`	O hash MD5 do arquivo envolvido.
`dhost`	`target.hostname`	O nome do host de destino.
`dst`	`target.ip`	O endereço IP de destino.
`duser`	`target.user.userid`	O nome de usuário de destino.
`act`	`security_result.action_details`	A ação realizada pelo EPM (por exemplo, "Bloquear", "Permitir", "Elevar").
`cs1`	`security_result.detection_fields`	Campo de string personalizada 1 (nome da política ou contexto adicional).
`cs2`	`security_result.detection_fields`	Campo de string personalizado 2 (contexto adicional).
`rt`	`metadata.event_timestamp`	O horário de recebimento do evento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.