Recopila registros de CyberArk

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de CyberArk a Google Security Operations con el agente de Bindplane.

CyberArk Privileged Access Manager (PAM) es una solución de seguridad de acceso con privilegios de nivel empresarial que protege, administra y supervisa las cuentas y credenciales con privilegios en entornos locales y en la nube. Proporciona almacenamiento seguro de credenciales, aislamiento y supervisión de sesiones, detección de amenazas a través de Privileged Threat Analytics (PTA) y registro de auditoría integral de todas las actividades con privilegios.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el servidor de CyberArk Vault
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso administrativo al servidor de CyberArk Vault (acceso a la carpeta de instalación de Server\Conf)
Versión 10.0 o posterior de CyberArk Vault

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El estado del servicio debe ser RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El estado del servicio debe ser active (running).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cyberark:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBERARK
        raw_log_field: body

service:
    pipelines:
        logs/cyberark_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cyberark

Reemplaza los marcadores de posición que se indican más abajo:
- Configuración del receptor:
  - listen_address: Dirección IP y puerto para escuchar:
    - 0.0.0.0:514 para escuchar en todas las interfaces del puerto 514 (requiere acceso de administrador en Linux)
    - 0.0.0.0:1514 para escuchar en un puerto sin privilegios (recomendado para Linux no root)
  - Opciones de tipo de receptor:
    - udplog para syslog UDP (predeterminado para CyberArk Vault)
    - tcplog para el registro del sistema TCP
    - Usa tcplog si CyberArk Vault está configurado con SyslogServerProtocol=TCP
- Configuración del exportador:
  - creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia de datos de Google SecOps:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: ID de cliente de Google SecOps
  - endpoint: URL del extremo regional:
    - EE.UU.: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:
1. Ejecuta el comando siguiente:
```
sudo systemctl restart observiq-otel-collector
```
2. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:
1. Elige una de las siguientes opciones:
  - Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Consola de Services:
    1. Presiona Win+R, escribe services.msc y presiona Intro.
    2. Busca observIQ OpenTelemetry Collector.
    3. Haz clic con el botón derecho y selecciona Reiniciar.
2. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de Syslog de CyberArk

CyberArk Vault envía eventos de auditoría en formato CEF (formato de evento común) a través de syslog. El servidor de Vault convierte los registros de auditoría XML en mensajes CEF con un archivo de traductor XSL y, luego, los reenvía al agente de Bindplane.

Configura el servidor de Vault para enviar syslog

Accede a la máquina anfitrión del servidor de CyberArk Vault con privilegios de administrador.
Navega a la carpeta de instalación del servidor de CyberArk Vault (por ejemplo, `C:\Program Files (x86)\PrivateArk\Server\Conf`).
Abre el archivo DBParm.ini en un editor de texto.
Copia la sección [SYSLOG] del archivo DBParm.sample.ini (ubicado en la misma carpeta) y pégala en la parte inferior de DBParm.ini.

Configura los siguientes parámetros de syslog en la sección [SYSLOG]:

[SYSLOG]
SyslogServerIP=<BINDPLANE_AGENT_IP>
SyslogServerPort=514
SyslogServerProtocol=UDP
UseLegacySyslogFormat=No
SyslogTranslatorFile=Syslog\Arcsight.sample.xsl
SyslogMessageCodeFilter=0-999

Reemplaza los siguientes valores:
- SyslogServerIP: Ingresa la dirección IP del host del agente de Bindplane (por ejemplo, 192.168.1.100).
- SyslogServerPort: Ingresa el puerto que coincide con el agente de BindPlane listen_address (por ejemplo, 514).
- SyslogServerProtocol: Selecciona el protocolo:
  - UDP para el registro del sistema UDP (predeterminado)
  - TCP para el registro del sistema TCP
- SyslogTranslatorFile: Ingresa el archivo del traductor XSL para el formato CEF:
  - Syslog\Arcsight.sample.xsl para la salida estándar de CEF (recomendado)
- SyslogMessageCodeFilter: Ingresa los códigos de mensaje que se reenviarán:
  - 0-999 para reenviar todos los eventos
  - Especifica códigos o rangos individuales (por ejemplo, 1,2,3,5-10,30) para filtrar eventos específicos.
- UseLegacySyslogFormat: Se establece en No para el formato RFC 5424.
Guarda el archivo DBParm.ini.
Reinicia el servicio PrivateArk Server:
1. Abre Servicios de Windows (services.msc).
2. Ubica el servicio CyberArk Vault Disaster Recovery y detenlo (si se está ejecutando).
3. Ubica el servicio PrivateArk Server.
4. Haz clic con el botón derecho y selecciona Reiniciar.
5. Vuelve a iniciar el servicio CyberArk Vault Disaster Recovery (si corresponde).
Nota: Reiniciar el servicio PrivateArk Server interrumpe temporalmente la conectividad de Vault. Programa esto durante un período de mantenimiento.

Reenvía el registro del sistema a varios destinos

Para reenviar los eventos de syslog de Vault al agente de Bindplane y a otros destinos (por ejemplo, PTA), especifica varios archivos de direcciones IP y traductores separados por comas:
```
SyslogServerIP=<BINDPLANE_AGENT_IP>,<PTA_SERVER_IP>
SyslogTranslatorFile=Syslog\Arcsight.sample.xsl,Syslog\PTA.xsl
```
Nota: Todos los destinos comparten el mismo puerto y protocolo configurados en SyslogServerPort y SyslogServerProtocol.

Configura el reenvío de syslog de Privileged Threat Analytics (PTA) (opcional)

Si también deseas reenviar las alertas de seguridad de la PTA a Google SecOps, configura la integración de la PTA en el SIEM:

Accede a la consola de PVWA (Password Vault Web Access).
Ve a Administración > Opciones de configuración > Privileged Threat Analytics.
En la sección SIEM, configura lo siguiente:
- IP del servidor Syslog: Ingresa la dirección IP del host del agente de Bindplane.
- Puerto del servidor de Syslog: Ingresa el puerto que coincida con la configuración del agente de BindPlane (por ejemplo, 514).
- Protocolo: Selecciona UDP o TCP para que coincida con el receptor del agente de Bindplane.
- Formato: Selecciona CEF.
Haz clic en Guardar.

Archivos de traducción XSL disponibles

La subcarpeta Syslog de la carpeta de instalación de CyberArk Server contiene archivos de muestra del traductor XSL:

Archivo del traductor	Formato	Descripción
`Arcsight.sample.xsl`	CEF	Formato CEF estándar (recomendado para Google SecOps)
`SplunkCIM.xsl`	CIM	Formato del Modelo de información común de Splunk
`PTA.xsl`	Personalizado	Formato para el reenvío a CyberArk PTA
`XSIAM.xsl`	CEF	Formato de Palo Alto Cortex XSIAM

Verifica el reenvío de Syslog

Después de reiniciar el servicio PrivateArk Server, realiza una acción de prueba en la bóveda (por ejemplo, recupera una contraseña o accede a PVWA).
Verifica los registros del agente de BindPlane para ver los mensajes syslog entrantes:
- Linux: sudo journalctl -u observiq-otel-collector -f
- Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifica que aparezcan mensajes con formato CEF en los registros, por ejemplo:

CEF:0|Cyber-Ark|Vault|10.0|22|CPM password retrieved|5|suser=Administrator src=10.0.0.1 fname=Root\operating system-server1-admin

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
RequestId_label	additional.fields	Se asigna como un par clave-valor
Category_label	additional.fields	Se asigna como un par clave-valor
ExtraDetails_label	additional.fields	Se asigna como un par clave-valor
CAPolicy_label	additional.fields	Se asigna como un par clave-valor
line_number_label	additional.fields	Se asigna como un par clave-valor
pasvc_action_label	additional.fields	Se asigna como un par clave-valor
control_socket_label	additional.fields	Se asigna como un par clave-valor
data_socket_label	additional.fields	Se asigna como un par clave-valor
timeout_label	additional.fields	Se asigna como un par clave-valor
vault_name_label	additional.fields	Se asigna como un par clave-valor
class_name_label	additional.fields	Se asigna como un par clave-valor
status_label	additional.fields	Se asigna como un par clave-valor
Publisher_Event	additional.fields	Se asigna como un par clave-valor
Last_Event	additional.fields	Se asigna como un par clave-valor
Total_Events	additional.fields	Se asigna como un par clave-valor
cs1_var	additional.fields	Se asigna como un par clave-valor
cs3_var	additional.fields	Se asigna como un par clave-valor
app_var	additional.fields	Se asigna como un par clave-valor
reason_var	additional.fields	Se asigna como un par clave-valor
cs5_var	additional.fields	Se asigna como un par clave-valor
cs4_var	additional.fields	Se asigna como un par clave-valor
_auth_mechanism	extensions.auth.mechanism	Combinación directa
dvc	intermediary.ip	Si el valor coincide con el patrón de dirección IP
EventName	metadata.description	Si el proceso no coincide con el patrón de exe
actúa	metadata.description	Si fname está vacío
EventMessage	metadata.description	Si act está vacío
LastEventDate	metadata.event_timestamp	Se convierte con el formato ISO8601 o aaaa-MM-ddTHH:mm:ss.
_temp_datetime	metadata.event_timestamp	Se convierte con el formato dd/MM/aaaa HH:mm:ss
fecha y hora	metadata.event_timestamp	Se convierte con el formato ISO8601 o MMM d HH:mm:ss.
_event_type	metadata.event_type	Se cambió el nombre directamente
nombre	metadata.event_type	Se establece según las condiciones: FILE_CREATION para "Store File", USER_LOGIN para "Logon", NETWORK_CONNECTION si tiene principal y destino, FILE_UNCATEGORIZED si tiene detalles del archivo de destino, PROCESS_UNCATEGORIZED si tiene detalles del proceso de destino, STATUS_UPDATE si solo tiene principal, NETWORK_UNCATEGORIZED si tiene app_error y principal y destino; de lo contrario, GENERIC_EVENT
EventType	metadata.product_event_type	Asignado directamente
signature_id, name	metadata.product_event_type	Se concatena a partir de signature_id y name.
LastEventID	metadata.product_log_id	Se convirtió en cadena
tid	metadata.product_log_id	Asignado directamente
producto	metadata.product_name	Se cambió el nombre directamente
version	metadata.product_version	Se cambió el nombre directamente
vendor	metadata.vendor_name	Se cambió el nombre directamente
host	observer.hostname	Asignado directamente
LastEventUserName	principal.administrative_domain	Se extrajo con el patrón de grok domain\user
ApplicationType	principal.application	Asignado directamente
shost	principal.asset.hostname	Si el valor no coincide con el patrón de dirección IP
shost	principal.asset.hostname	Respaldo si dhost está vacío
shost	principal.asset.ip	Si el valor coincide con el patrón de dirección IP
src	principal.asset.ip	Asignado directamente
ip_address	principal.asset.ip	Asignado directamente
shost	principal.asset.ip	Respaldo si dhost está vacío
shost	principal.ip	Si el valor coincide con el patrón de dirección IP, se combina.
src	principal.ip	Combinación directa
ip_address	principal.ip	Combinación directa
Ubicación	principal.location.name	Asignado directamente
LastEventSourceName	principal.platform	Se establece en WINDOWS si el valor coincide con el patrón de Windows.
EventName	principal.process.command_line	Si el proceso coincide con el patrón de exe
LastEventPackageName	principal.resource.name	Si el valor no es EventName
ApplicationType	principal.user.attribute.roles	Se establece en ADMINISTRATOR si el valor es igual a AdminTask.
LastEventUserName	principal.user.user_display_name	Porción del usuario extraída con el patrón de grok dominio\usuario
user_name	principal.user.user_display_name	Asignado directamente
SourceUser	principal.user.userid	Asignado directamente
suser	principal.user.userid	Si el evento no es de tipo USER_
usrName	principal.user.userid	Asignado directamente
_action	security_result.action	Combinación directa
nombre	security_result.action	Se establece en BLOCK si el valor comienza con "Failure" o "Failed"; de lo contrario, se establece en ALLOW.
msg	security_result.description	Asignado directamente
msg, reason	security_result.description	Se concatena a partir de msg y reason si hay una condición de falla.
_sec_result_description	security_result.description	Asignado directamente
PolicyName	security_result.rule_name	Asignado directamente
cs2	security_result.rule_name	Asignado directamente
gravedad,	security_result.severity	Se establece en LOW si el valor es menor o igual a 5, en MEDIUM si el valor es menor o igual a 8 y en HIGH en los demás casos.
sev	security_result.severity	Asignado directamente
sev	security_result.severity_details	Asignado directamente
Motivo	security_result.summary	Asignado directamente
nombre	security_result.summary	Asignado directamente
dhost	target.asset.hostname	Si el valor no coincide con el patrón de dirección IP
shost	target.asset.hostname	Respaldo si dhost está vacío
dhost	target.asset.ip	Si el valor coincide con el patrón de dirección IP
GatewayStation	target.asset.ip	Asignado directamente
shost	target.asset.ip	Respaldo si dhost está vacío
FileQualifier	target.asset_id	Tiene el prefijo "ASSET ID:" y se convierte en cadena.
Archivo	target.file.full_path	Asignado directamente
file_path	target.file.full_path	Asignado directamente
LastEventSourceName	target.file.full_path	Si el valor comienza con "C:"
fname	target.file.full_path	Asignado directamente
Hash	target.file.sha1	Se quitó el prefijo "SHA1##" y se convirtió el valor a minúsculas si el tipo es SHA1.
GatewayStation	target.ip	Combinación directa
pid	target.process.pid	Se convirtió en cadena
Seguro	target.resource.name	Asignado directamente
user_name	target.user.user_display_name	Asignado directamente
TargetUser	target.user.userid	Asignado directamente
duser	target.user.userid	Asignado directamente
suser	target.user.userid	Si el evento es de tipo USER_

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.