Collecter les journaux CyberArk

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux CyberArk dans Google Security Operations à l'aide de l'agent Bindplane.

CyberArk Privileged Access Manager (PAM) est une solution de sécurité d'accès privilégié de niveau entreprise qui sécurise, gère et surveille les comptes et identifiants privilégiés dans les environnements sur site et cloud. Il fournit un coffre-fort d'identifiants, l'isolation et la surveillance des sessions, la détection des menaces grâce à Privileged Threat Analytics (PTA) et la journalisation complète de toutes les activités privilégiées.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur CyberArk Vault
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès administrateur au serveur CyberArk Vault (accès au dossier d'installation Server\Conf)
CyberArk Vault version 10.0 ou ultérieure

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cyberark:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBERARK
        raw_log_field: body

service:
    pipelines:
        logs/cyberark_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cyberark

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - listen_address : adresse IP et port à écouter :
    - 0.0.0.0:514 pour écouter sur toutes les interfaces sur le port 514 (nécessite l'accès root sur Linux)
    - 0.0.0.0:1514 pour écouter sur un port non privilégié (recommandé pour Linux non root)
  - Options de type de récepteur :
    - udplog pour syslog UDP (valeur par défaut pour CyberArk Vault)
    - tcplog pour syslog TCP
    - Utilisez tcplog si CyberArk Vault est configuré avec SyslogServerProtocol=TCP.
- Configuration de l'exportateur :
  - creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion Google SecOps :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id : ID client Google SecOps
  - endpoint : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux :
1. Exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
2. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows :
1. Choisissez l'une des options suivantes :
  - Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services :
    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez observIQ OpenTelemetry Collector.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.
2. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog CyberArk

CyberArk Vault envoie les événements d'audit au format CEF (Common Event Format) via syslog. Le serveur Vault convertit les journaux d'audit XML en messages CEF à l'aide d'un fichier de traduction XSL, puis les transmet à l'agent Bindplane.

Configurer le serveur Vault pour envoyer des journaux syslog

Connectez-vous à la machine hôte du serveur CyberArk Vault avec des droits d'administrateur.
Accédez au dossier d'installation du serveur CyberArk Vault (par exemple, `C:\Program Files (x86)\PrivateArk\Server\Conf`).
Ouvrez le fichier DBParm.ini dans un éditeur de texte.
Copiez la section [SYSLOG] du fichier DBParm.sample.ini (situé dans le même dossier) et collez-la en bas de DBParm.ini.

Configurez les paramètres syslog suivants dans la section [SYSLOG] :

[SYSLOG]
SyslogServerIP=<BINDPLANE_AGENT_IP>
SyslogServerPort=514
SyslogServerProtocol=UDP
UseLegacySyslogFormat=No
SyslogTranslatorFile=Syslog\Arcsight.sample.xsl
SyslogMessageCodeFilter=0-999

Remplacez les valeurs suivantes :
- SyslogServerIP : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- SyslogServerPort : saisissez le port correspondant à l'agent Bindplane listen_address (par exemple, 514).
- SyslogServerProtocol : sélectionnez le protocole :
  - UDP pour UDP syslog (par défaut)
  - TCP pour syslog TCP
- SyslogTranslatorFile : saisissez le fichier de traduction XSL pour le format CEF :
  - Syslog\Arcsight.sample.xsl pour la sortie CEF standard (recommandé)
- SyslogMessageCodeFilter : saisissez les codes de message à transférer :
  - 0-999 pour transférer tous les événements
  - Spécifiez des codes ou des plages individuels (par exemple, 1,2,3,5-10,30) pour filtrer des événements spécifiques.
- UseLegacySyslogFormat : définissez la valeur sur No pour le format RFC 5424.
Enregistrez le fichier DBParm.ini.
Redémarrez le service PrivateArk Server :
1. Ouvrez Services Windows (services.msc).
2. Recherchez le service CyberArk Vault Disaster Recovery et arrêtez-le (s'il est en cours d'exécution).
3. Localisez le service PrivateArk Server.
4. Effectuez un clic droit, puis sélectionnez Redémarrer.
5. Redémarrez le service CyberArk Vault Disaster Recovery (le cas échéant).
Remarque : Le redémarrage du service PrivateArk Server interrompt temporairement la connectivité au coffre. Planifiez cette opération pendant un intervalle de maintenance.

Transférer syslog vers plusieurs destinations

Pour transférer les événements syslog Vault à l'agent Bindplane et à d'autres destinations (par exemple, PTA), spécifiez plusieurs adresses IP et fichiers de traduction séparés par des virgules :
```
SyslogServerIP=<BINDPLANE_AGENT_IP>,<PTA_SERVER_IP>
SyslogTranslatorFile=Syslog\Arcsight.sample.xsl,Syslog\PTA.xsl
```
Remarque : Toutes les destinations partagent le même port et le même protocole configurés dans SyslogServerPort et SyslogServerProtocol.

Configurer le transfert syslog de Privileged Threat Analytics (PTA) (facultatif)

Si vous souhaitez également transférer les alertes de sécurité PTA vers Google SecOps, configurez l'intégration PTA SIEM :

Connectez-vous à la console PVWA (Password Vault Web Access).
Accédez à Administration> Options de configuration> Privileged Threat Analytics.
Dans la section SIEM, configurez les éléments suivants :
- Adresse IP du serveur Syslog : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
- Port du serveur Syslog : saisissez le port correspondant à la configuration de l'agent Bindplane (par exemple, 514).
- Protocole : sélectionnez UDP ou TCP pour correspondre au récepteur de l'agent Bindplane.
- Format : sélectionnez CEF.
Cliquez sur Enregistrer.

Fichiers de traducteur XSL disponibles

Le sous-dossier Syslog du dossier d'installation de CyberArk Server contient des exemples de fichiers de traduction XSL :

Fichier du traducteur	Format	Description
`Arcsight.sample.xsl`	CEF	Format CEF standard (recommandé pour Google SecOps)
`SplunkCIM.xsl`	CIM	Format Splunk Common Information Model
`PTA.xsl`	Personnalisé	Format pour le transfert à CyberArk PTA
`XSIAM.xsl`	CEF	Format Palo Alto Cortex XSIAM

Vérifier le transfert Syslog

Après avoir redémarré le service PrivateArk Server, effectuez une action de test dans le coffre-fort (par exemple, récupérez un mot de passe ou connectez-vous à PVWA).
Consultez les journaux de l'agent Bindplane pour les messages syslog entrants :
- Linux : sudo journalctl -u observiq-otel-collector -f
- Windows : type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Vérifiez que les messages au format CEF s'affichent dans les journaux, par exemple :

CEF:0|Cyber-Ark|Vault|10.0|22|CPM password retrieved|5|suser=Administrator src=10.0.0.1 fname=Root\operating system-server1-admin

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
RequestId_label	additional.fields	Mappé en tant que paire clé/valeur
Category_label	additional.fields	Mappé en tant que paire clé/valeur
ExtraDetails_label	additional.fields	Mappé en tant que paire clé/valeur
CAPolicy_label	additional.fields	Mappé en tant que paire clé/valeur
line_number_label	additional.fields	Mappé en tant que paire clé/valeur
pasvc_action_label	additional.fields	Mappé en tant que paire clé/valeur
control_socket_label	additional.fields	Mappé en tant que paire clé/valeur
data_socket_label	additional.fields	Mappé en tant que paire clé/valeur
timeout_label	additional.fields	Mappé en tant que paire clé/valeur
vault_name_label	additional.fields	Mappé en tant que paire clé/valeur
class_name_label	additional.fields	Mappé en tant que paire clé/valeur
status_label	additional.fields	Mappé en tant que paire clé/valeur
Publisher_Event	additional.fields	Mappé en tant que paire clé/valeur
Last_Event	additional.fields	Mappé en tant que paire clé/valeur
Total_Events	additional.fields	Mappé en tant que paire clé/valeur
cs1_var	additional.fields	Mappé en tant que paire clé/valeur
cs3_var	additional.fields	Mappé en tant que paire clé/valeur
app_var	additional.fields	Mappé en tant que paire clé/valeur
reason_var	additional.fields	Mappé en tant que paire clé/valeur
cs5_var	additional.fields	Mappé en tant que paire clé/valeur
cs4_var	additional.fields	Mappé en tant que paire clé/valeur
_auth_mechanism	extensions.auth.mechanism	Fusionnée directement
dvc	intermediary.ip	Si la valeur correspond au modèle d'adresse IP
EventName	metadata.description	Si le processus ne correspond pas au modèle .exe
agir	metadata.description	Si fname est vide
EventMessage	metadata.description	Si "act" est vide
LastEventDate	metadata.event_timestamp	Convertie au format ISO8601 ou yyyy-MM-ddTHH:mm:ss
_temp_datetime	metadata.event_timestamp	Converti au format jj/MM/aaaa HH:mm:ss
Date/Heure	metadata.event_timestamp	Converti au format ISO8601 ou MMM d HH:mm:ss
_event_type	metadata.event_type	Renommée directement
nom	metadata.event_type	Définie en fonction des conditions : FILE_CREATION pour "Stocker le fichier", USER_LOGIN pour "Connexion", NETWORK_CONNECTION si has_principal et has_target, FILE_UNCATEGORIZED si has_target_file_details, PROCESS_UNCATEGORIZED si has_target_process_details, STATUS_UPDATE si has_principal uniquement, NETWORK_UNCATEGORIZED si app_error et has_principal et has_target, sinon GENERIC_EVENT
EventType	metadata.product_event_type	Mappé directement
signature_id, name	metadata.product_event_type	Concaténé à partir de signature_id et name
LastEventID	metadata.product_log_id	Converti en chaîne
tid	metadata.product_log_id	Mappé directement
produit	metadata.product_name	Renommée directement
version	metadata.product_version	Renommée directement
vendor	metadata.vendor_name	Renommée directement
hôte	observer.hostname	Mappé directement
LastEventUserName	principal.administrative_domain	Extrait à l'aide du modèle grok domain\user
ApplicationType	principal.application	Mappé directement
shost	principal.asset.hostname	Si la valeur ne correspond pas au modèle d'adresse IP
shost	principal.asset.hostname	Solution de repli si dhost est vide
shost	principal.asset.ip	Si la valeur correspond au modèle d'adresse IP
src	principal.asset.ip	Mappé directement
ip_address	principal.asset.ip	Mappé directement
shost	principal.asset.ip	Solution de repli si dhost est vide
shost	principal.ip	Si la valeur correspond au modèle d'adresse IP, elle est fusionnée.
src	principal.ip	Fusionnée directement
ip_address	principal.ip	Fusionnée directement
Emplacement	principal.location.name	Mappé directement
LastEventSourceName	principal.platform	Définissez sur WINDOWS si la valeur correspond au modèle Windows.
EventName	principal.process.command_line	Si le processus correspond au modèle EXE
LastEventPackageName	principal.resource.name	Si la valeur n'est pas "EventName"
ApplicationType	principal.user.attribute.roles	Définissez sur ADMINISTRATOR si la valeur est égale à AdminTask
LastEventUserName	principal.user.user_display_name	Partie utilisateur extraite à l'aide du modèle grok domain\user
user_name	principal.user.user_display_name	Mappé directement
SourceUser	principal.user.userid	Mappé directement
suser	principal.user.userid	Si l'événement n'est pas de type USER_
usrName	principal.user.userid	Mappé directement
_action	security_result.action	Fusionnée directement
nom	security_result.action	Définissez sur BLOCK si la valeur commence par "Failure" (Échec) ou "Failed" (Échec), sinon définissez sur ALLOW (AUTORISER).
Message	security_result.description	Mappé directement
msg, reason	security_result.description	Concaténé à partir de "msg" et "reason" en cas d'échec
_sec_result_description	security_result.description	Mappé directement
PolicyName	security_result.rule_name	Mappé directement
cs2	security_result.rule_name	Mappé directement
de gravité,	security_result.severity	Définissez sur "LOW" si la valeur est inférieure ou égale à 5, sur "MEDIUM" si la valeur est inférieure ou égale à 8, et sur "HIGH" dans le cas contraire.
sev	security_result.severity	Mappé directement
sev	security_result.severity_details	Mappé directement
Motif	security_result.summary	Mappé directement
nom	security_result.summary	Mappé directement
dhost	target.asset.hostname	Si la valeur ne correspond pas au modèle d'adresse IP
shost	target.asset.hostname	Solution de repli si dhost est vide
dhost	target.asset.ip	Si la valeur correspond au modèle d'adresse IP
GatewayStation	target.asset.ip	Mappé directement
shost	target.asset.ip	Solution de repli si dhost est vide
FileQualifier	target.asset_id	Préfixé par "ASSET ID:" et converti en chaîne
Fichier	target.file.full_path	Mappé directement
file_path	target.file.full_path	Mappé directement
LastEventSourceName	target.file.full_path	Si la valeur commence par "C:"
fname	target.file.full_path	Mappé directement
Hash	target.file.sha1	Préfixe "SHA1##" supprimé et valeur mise en minuscules, si le type est SHA1
GatewayStation	target.ip	Fusionnée directement
pid	target.process.pid	Converti en chaîne
Sûr	target.resource.name	Mappé directement
user_name	target.user.user_display_name	Mappé directement
TargetUser	target.user.userid	Mappé directement
duser	target.user.userid	Mappé directement
suser	target.user.userid	Si le type d'événement est USER_

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.