Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CyberArk Privilege Cloud-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie CyberArk Privilege Cloud-Logs mit Bindplane in Google Security Operations aufnehmen. CyberArk Privilege Cloud ist eine SaaS-basierte Lösung zur Verwaltung von privilegiertem Zugriff, mit der privilegierte Anmeldedaten in der Cloud geschützt, verwaltet und überwacht werden. Sie bietet automatisierte Rotation von Anmeldedaten, Sitzungsisolation und -aufzeichnung, Just-in-Time-Zugriffsbereitstellung und umfassende Audit-Logs für Aktivitäten privilegierter Konten in Hybrid- und Multi-Cloud-Umgebungen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz.
Ein Windows 2016- oder höher- oder Linux-Host mit systemd.
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Berechtigter Zugriff auf das CyberArk Privilege Cloud-Verwaltungsportal mit Vault-Administratorberechtigungen.
Ein gültiges TLS-Zertifikat für den Bindplane-Agent-Host (erforderlich für Syslog über TLS auf Port 6514).

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /opt/observiq-otel-collector/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"
        tls:
            cert_file: '/path/to/server.crt'
            key_file: '/path/to/server.key'

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <PLACEHOLDER_CUSTOMER_ID>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CYBERARK_PRIVILEGE_CLOUD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <PLACEHOLDER_CUSTOMER_ID> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Dateipfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Aktualisieren Sie /path/to/server.crt und /path/to/server.key mit den tatsächlichen Pfaden zu Ihren TLS-Zertifikats- und Schlüsseldateien.

Hinweis :Für Syslog-Verbindungen ist in CyberArk Privilege Cloud TLS erforderlich. Der Bindplane-Agent muss mit einem gültigen TLS-Zertifikat konfiguriert werden. Wenn Sie ein selbst signiertes Zertifikat verwenden, müssen Sie das CA-Zertifikat in CyberArk Privilege Cloud importieren.

Konfiguration ohne TLS (nur TCP)

Wenn Ihre Netzwerkarchitektur einen TLS-terminierenden Proxy zwischen CyberArk Privilege Cloud und dem Bindplane-Agent enthält, können Sie einfaches TCP verwenden:
```
receivers:
    tcplog:
        listen_address: "0.0.0.0:514"
```

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Syslog-Weiterleitung für CyberArk Privilege Cloud konfigurieren

SIEM-Integration in Privilege Cloud konfigurieren

Melden Sie sich im CyberArk Privilege Cloud-Verwaltungsportal an.
Rufen Sie Verwaltung> Konfigurationsoptionen> Optionen> SIEM-Integration auf.
Wählen Sie SIEM-Integration aktivieren aus, um die Syslog-Weiterleitung zu aktivieren.
Geben Sie die folgenden Konfigurationsdetails an:
- SIEM-Typ: Wählen Sie Syslog aus.
- Syslog-Serveradresse: Geben Sie die IP-Adresse oder den FQDN des BindPlane-Agent-Hosts ein (z. B. syslog.example.com).
- Syslog-Server-Port: Geben Sie 6514 ein.
- Protokoll: Wählen Sie TLS aus.
- Format: Wählen Sie CEF (Common Event Format) aus.
Hinweis :CyberArk Privilege Cloud unterstützt UDP nicht. Für die Syslog-Weiterleitung sind nur TCP- und TLS-Protokolle verfügbar.
Wählen Sie im Bereich Ereignistypen die weiterzuleitenden Ereigniskategorien aus:
- Vault-Audit: Ereignisse zum Vault-Zugriff und zum Abrufen von Anmeldedaten.
- Sitzungsüberwachung: Ereignisse zur Überwachung privilegierter Sitzungen.
- Safe Management: Ereignisse zum Erstellen, Ändern und Löschen von Safes.
- Nutzerverwaltung: Nutzerbereitstellung und Berechtigungsänderungen.
- Richtlinienänderungen: Ereignisse im Zusammenhang mit Plattform- und Richtlinienänderungen.
Klicken Sie auf Speichern.

TLS-Verbindung prüfen

Prüfen Sie, ob der Bindplane-Agent Port 6514 überwacht:
```
sudo ss -tlnp | grep 6514
```
Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Logs empfangen werden:
```
sudo journalctl -u observiq-otel-collector -f
```
Wenn keine Logs empfangen werden, prüfen Sie Folgendes:
- Der BindPlane-Agent-Host ist über das Internet erreichbar (CyberArk Privilege Cloud ist ein SaaS-Dienst).
- Firewallregeln lassen eingehende TCP-Verbindungen über Port 6514 zu.
- Das TLS-Zertifikat ist gültig und nicht abgelaufen.
- Der allgemeine Name (Common Name, CN) oder der alternative Antragstellername (Subject Alternative Name, SAN) des TLS-Zertifikats stimmt mit dem in CyberArk Privilege Cloud konfigurierten Hostnamen überein.

Weitere Informationen zur CyberArk Privilege Cloud-SIEM-Integration finden Sie in der CyberArk Privilege Cloud-Dokumentation.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Header.deviceVendor`	`metadata.vendor_name`	Wird aus dem Anbieterfeld des CEF-Headers zugeordnet. Legen Sie diesen Wert auf „CyberArk“ fest.
`Header.deviceProduct`	`metadata.product_name`	Wird aus dem Produktfeld des CEF-Headers zugeordnet. Legen Sie diesen Wert auf „Privilege Cloud“ fest.
`Header.deviceVersion`	`metadata.product_version`	Wird aus dem Feld „CEF-Headerversion“ zugeordnet.
`Header.signatureId`	`metadata.product_event_type`	Der Audit-Aktionscode aus der CEF-Signatur-ID.
`Header.name`	`metadata.description`	Der Ereignisname aus dem CEF-Header.
`Header.severity`	`security_result.severity`	Wird aus dem CEF-Schweregrad abgeleitet (0–3=NIEDRIG, 4–6=MITTEL, 7–8=HOCH, 9–10=KRITISCH).
`suser`	`principal.user.userid`	Der Nutzer, der die Aktion ausgeführt hat.
`src`	`principal.ip`	Die Quell-IP-Adresse der Sitzung.
`shost`	`principal.hostname`	Der Quellhostname.
`duser`	`target.user.userid`	Das privilegierte Zielkonto.
`dhost`	`target.hostname`	Der Hostname des Zielsystems.
`dst`	`target.ip`	Die IP-Adresse des Zielsystems.
`cs1`	`security_result.detection_fields`	Sicherer Name (Schlüssel: cs1Label-Wert).
`cs2`	`security_result.detection_fields`	Kontoname oder zusätzlicher Kontext (Schlüssel: cs2Label-Wert).
`cs3`	`security_result.detection_fields`	Plattform-ID oder Richtlinieninformationen (Schlüssel: cs3Label-Wert).
`act`	`security_result.action_details`	Die ausgeführte Aktion, z. B. „Abrufen“, „Verbinden“ oder „Aktualisieren“.
`reason`	`security_result.description`	Der angegebene Grund für den privilegierten Zugriff.
`rt`	`metadata.event_timestamp`	Die Empfangszeit des Ereignisses.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten