CyberArk PAM-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie CyberArk PAM-Logs (Privileged Access Manager) mit Bindplane in Google Security Operations aufnehmen. CyberArk PAM schützt, verwaltet und überwacht privilegierte Anmeldedaten in lokalen und Cloud-Umgebungen. Es bietet einen digitalen Tresor zum Speichern von Anmeldedaten für Konten mit privilegiertem Zugriff, Sitzungsisolation und ‑überwachung, automatische Passwortrotation und detaillierte Audit-Logs für alle Aktivitäten mit privilegiertem Zugriff.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz.
- Ein Windows 2016- oder höher- oder Linux-Host mit systemd.
- Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
- Privilegierter Zugriff auf den CyberArk PAM Vault und PVWA (Password Vault Web Access) mit Administratorberechtigungen.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/opt/observiq-otel-collector/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CYBERARK_PAM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<PLACEHOLDER_CUSTOMER_ID>durch die tatsächliche Kundennummer. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Dateipfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop observiq-otel-collector && net start observiq-otel-collector
Syslog-Weiterleitung für CyberArk PAM konfigurieren
CyberArk PAM sendet Auditing-Daten über die in der Datei dbparm.ini konfigurierte Syslog-Integration des Vault an ein SIEM.
Vault-Server konfigurieren
- Melden Sie sich mit Administratorberechtigungen auf dem CyberArk Vault-Server an.
Rufen Sie das Vault-Installationsverzeichnis auf und öffnen Sie die Datei
dbparm.ini:- Standardpfad (Windows):
C:\Program Files (x86)\PrivateArk\Server\Conf\dbparm.ini - Standardpfad (Linux):
/opt/CARKaim/vault/Conf/dbparm.ini
- Standardpfad (Windows):
Fügen Sie die folgenden Syslog-Konfigurationsparameter in
dbparm.inihinzu oder ändern Sie sie:SyslogTranslatorFile=Syslog\CASP.xsl SyslogServerIP=<BINDPLANE_AGENT_IP> SyslogServerPort=514 SyslogServerProtocol=TCP SyslogMessageCodeFilter=0-999 UseSyslogFormat=Yes SyslogSendAuditAsJSON=YesErsetzen Sie
<BINDPLANE_AGENT_IP>durch die IP-Adresse des Bindplane-Agent-Hosts (z. B.192.168.1.100).
Konfigurationsparameter-Referenz
| Parameter | Wert | Beschreibung |
|---|---|---|
SyslogTranslatorFile |
Syslog\CASP.xsl |
XSL-Übersetzungsdatei für das Syslog-Format |
SyslogServerIP |
Bindplane-Agent-IP | IP-Adresse des Syslog-Empfängers |
SyslogServerPort |
514 |
Portnummer für Syslog (entspricht der Bindplane-Konfiguration) |
SyslogServerProtocol |
TCP |
Transportprotokoll (TCP wird für eine zuverlässige Übermittlung empfohlen) |
SyslogMessageCodeFilter |
0-999 |
Bereich der weiterzuleitenden Nachrichtencodes (0–999 = alle) |
UseSyslogFormat |
Yes |
Logs im Standard-Syslog-Format senden |
SyslogSendAuditAsJSON |
Yes |
Audit-Logs im JSON-Format senden, um das Parsen zu erleichtern |
Vault-Dienst neu starten
Starten Sie nach der Änderung von
dbparm.iniden CyberArk Vault-Dienst neu:- Windows: Öffnen Sie die Services-Konsole, suchen Sie nach CyberArk Vault, klicken Sie mit der rechten Maustaste darauf und wählen Sie Neu starten aus.
- Linux: Führen Sie den folgenden Befehl aus:
sudo systemctl restart vaultPrüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Logs empfangen werden:
sudo journalctl -u observiq-otel-collector -f
PVWA-Audit-Logging konfigurieren (optional)
So leiten Sie PVWA-Aktivitätsprotokolle (Password Vault Web Access) weiter:
- Melden Sie sich als Administrator in der Weboberfläche von PVWA an.
- Klicken Sie auf Administration > Options > Audit.
- Prüfen Sie, ob Syslog-Nachrichten senden aktiviert ist.
- Der PVWA verwendet die Syslog-Konfiguration des Vault aus
dbparm.ini.
Weitere Informationen zur Syslog-Integration von CyberArk PAM finden Sie in der CyberArk PAM-Dokumentation.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
Vendor |
metadata.vendor_name |
Legen Sie diesen Wert auf „CyberArk“ fest. |
Product |
metadata.product_name |
Legen Sie den Wert auf „PAM“ oder „Vault“ fest. |
Version |
metadata.product_version |
Die CyberArk PAM-Version. |
MessageID |
metadata.product_event_type |
Der Code der Prüfaktion. |
Message |
metadata.description |
Die für Menschen lesbare Prüfprotokollnachricht. |
Severity |
security_result.severity |
Wird vom CyberArk-Schweregrad abgeleitet. |
Issuer |
principal.user.userid |
Der Nutzer, der die Aktion ausgeführt hat. |
Station |
principal.ip |
Die Quell-IP-Adresse der Sitzung. |
SourceUser |
principal.user.userid |
Der Quellnutzer, der die Aktion initiiert. |
TargetUser |
target.user.userid |
Das privilegierte Zielkonto. |
SafeName |
target.resource.name |
Der CyberArk-Safe mit den Anmeldedaten. |
AccountName |
target.resource.attribute.labels |
Der Name des privilegierten Kontos. |
Address |
target.hostname |
Der Hostname oder die Adresse des Zielsystems. |
PolicyID |
security_result.rule_name |
Die ID der Plattformrichtlinie. |
Reason |
security_result.description |
Der angegebene Grund für die Maßnahme. |
RequestID |
network.session_id |
Die ID der Anfrage zur dualen Steuerung. |
GatewayStation |
intermediary.ip |
Die IP-Adresse des PSM-Gateways. |
Timestamp |
metadata.event_timestamp |
Der Zeitstempel des Ereignisses. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten