Raccogliere i log di CyberArk
Questo documento spiega come importare i log di CyberArk in Google Security Operations utilizzando l'agente Bindplane.
CyberArk Privileged Access Manager (PAM) è una soluzione di sicurezza per l'accesso con privilegi di livello aziendale che protegge, gestisce e monitora account e credenziali con privilegi in ambienti on-premise e cloud. Fornisce l'archiviazione delle credenziali, l'isolamento e il monitoraggio delle sessioni, il rilevamento delle minacce tramite Privileged Threat Analytics (PTA) e il logging di audit completo di tutte le attività con privilegi.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server CyberArk Vault
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso amministrativo al server CyberArk Vault (accesso alla cartella di installazione
Server\Conf) - CyberArk Vault versione 10.0 o successive
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorLo stato del servizio deve essere RUNNING.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorLo stato del servizio deve essere attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cyberark: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBERARK raw_log_field: body service: pipelines: logs/cyberark_to_chronicle: receivers: - udplog exporters: - chronicle/cyberarkSostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: Indirizzo IP e porta su cui ascoltare:0.0.0.0:514per ascoltare su tutte le interfacce sulla porta 514 (richiede l'accesso come amministratore su Linux)0.0.0.0:1514per l'ascolto su una porta senza privilegi (consigliato per Linux non root)
Opzioni del tipo di ricevitore:
udplogper UDP syslog (impostazione predefinita per CyberArk Vault)tcplogper TCP syslog- Utilizza
tcplogse CyberArk Vault è configurato conSyslogServerProtocol=TCP
Configurazione dell'esportatore:
creds_file_path: il percorso completo del file di autenticazione dell'importazione di Google SecOps:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente Google SecOpsendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla la presenza di errori nei log:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Premi
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla la presenza di errori nei log:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurare l'inoltro di Syslog di CyberArk
CyberArk Vault invia eventi di controllo in formato CEF (Common Event Format) tramite syslog. Vault Server converte i record di controllo XML in messaggi CEF utilizzando un file di conversione XSL, quindi li inoltra all'agente Bindplane.
Configurare il server Vault per inviare syslog
- Accedi alla macchina host del server CyberArk Vault con privilegi di amministratore.
- Vai alla cartella di installazione di CyberArk Vault Server (ad esempio `C:\Programmi (x86)\PrivateArk\Server\Conf`).
- Apri il file
DBParm.iniin un editor di testo. - Copia la sezione
[SYSLOG]dal fileDBParm.sample.ini(che si trova nella stessa cartella) e incollala in fondo aDBParm.ini. Configura i seguenti parametri syslog nella sezione
[SYSLOG]:[SYSLOG] SyslogServerIP=<BINDPLANE_AGENT_IP> SyslogServerPort=514 SyslogServerProtocol=UDP UseLegacySyslogFormat=No SyslogTranslatorFile=Syslog\Arcsight.sample.xsl SyslogMessageCodeFilter=0-999Sostituisci i seguenti valori:
- SyslogServerIP: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio,
192.168.1.100). - SyslogServerPort: inserisci la porta corrispondente all'agente Bindplane
listen_address(ad esempio,514). SyslogServerProtocol: seleziona il protocollo:
UDPper UDP syslog (impostazione predefinita)TCPper TCP syslog
SyslogTranslatorFile: inserisci il file di traduzione XSL per il formato CEF:
Syslog\Arcsight.sample.xslper l'output CEF standard (consigliato)
SyslogMessageCodeFilter: inserisci i codici messaggio da inoltrare:
0-999per inoltrare tutti gli eventi- Specifica singoli codici o intervalli (ad esempio,
1,2,3,5-10,30) per filtrare eventi specifici
UseLegacySyslogFormat: imposta il valore
Noper il formato RFC 5424.
- SyslogServerIP: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio,
Salva il file
DBParm.ini.Riavvia il servizio PrivateArk Server:
- Apri Servizi di Windows (
services.msc). - Individua il servizio CyberArk Vault Disaster Recovery e arrestalo (se è in esecuzione).
- Individua il servizio PrivateArk Server.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Riavvia il servizio CyberArk Vault Disaster Recovery (se applicabile).
- Apri Servizi di Windows (
Inoltrare syslog a più destinazioni
Per inoltrare gli eventi syslog di Vault sia all'agente Bindplane sia ad altre destinazioni (ad esempio PTA), specifica più indirizzi IP e file di traduzione separati da virgole:
SyslogServerIP=<BINDPLANE_AGENT_IP>,<PTA_SERVER_IP> SyslogTranslatorFile=Syslog\Arcsight.sample.xsl,Syslog\PTA.xsl
Configura l'inoltro di syslog di Privileged Threat Analytics (PTA) (facoltativo)
Se vuoi inoltrare anche gli avvisi di sicurezza PTA a Google SecOps, configura l'integrazione di PTA SIEM:
- Accedi alla console PVWA (Password Vault Web Access).
- Vai ad Amministrazione > Opzioni di configurazione > Privileged Threat Analytics.
- Nella sezione SIEM, configura quanto segue:
- IP server Syslog: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta del server Syslog: inserisci la porta corrispondente alla configurazione dell'agente Bindplane (ad esempio,
514). - Protocollo: seleziona UDP o TCP in modo che corrisponda al ricevitore dell'agente Bindplane.
- Formato: seleziona CEF.
- Fai clic su Salva.
File di conversione XSL disponibili
La sottocartella
Syslognella cartella di installazione di CyberArk Server contiene file di traduzione XSL di esempio:File del traduttore Formato Descrizione Arcsight.sample.xslCEF Formato CEF standard (consigliato per Google SecOps) SplunkCIM.xslCIM Formato Splunk Common Information Model PTA.xslPersonalizzato Formato per l'inoltro a CyberArk PTA XSIAM.xslCEF Formato Palo Alto Cortex XSIAM
Verificare l'inoltro di Syslog
- Dopo aver riavviato il servizio PrivateArk Server, esegui un'azione di test nel Vault (ad esempio, recupera una password o accedi a PVWA).
- Controlla i log dell'agente Bindplane per i messaggi syslog in entrata:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
Verifica che nei log vengano visualizzati messaggi formattati in CEF, ad esempio:
CEF:0|Cyber-Ark|Vault|10.0|22|CPM password retrieved|5|suser=Administrator src=10.0.0.1 fname=Root\operating system-server1-admin
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| RequestId_label | additional.fields | Mappato come coppia chiave-valore |
| Category_label | additional.fields | Mappato come coppia chiave-valore |
| ExtraDetails_label | additional.fields | Mappato come coppia chiave-valore |
| CAPolicy_label | additional.fields | Mappato come coppia chiave-valore |
| line_number_label | additional.fields | Mappato come coppia chiave-valore |
| pasvc_action_label | additional.fields | Mappato come coppia chiave-valore |
| control_socket_label | additional.fields | Mappato come coppia chiave-valore |
| data_socket_label | additional.fields | Mappato come coppia chiave-valore |
| timeout_label | additional.fields | Mappato come coppia chiave-valore |
| vault_name_label | additional.fields | Mappato come coppia chiave-valore |
| class_name_label | additional.fields | Mappato come coppia chiave-valore |
| status_label | additional.fields | Mappato come coppia chiave-valore |
| Publisher_Event | additional.fields | Mappato come coppia chiave-valore |
| Last_Event | additional.fields | Mappato come coppia chiave-valore |
| Total_Events | additional.fields | Mappato come coppia chiave-valore |
| cs1_var | additional.fields | Mappato come coppia chiave-valore |
| cs3_var | additional.fields | Mappato come coppia chiave-valore |
| app_var | additional.fields | Mappato come coppia chiave-valore |
| reason_var | additional.fields | Mappato come coppia chiave-valore |
| cs5_var | additional.fields | Mappato come coppia chiave-valore |
| cs4_var | additional.fields | Mappato come coppia chiave-valore |
| _auth_mechanism | extensions.auth.mechanism | Uniti direttamente |
| dvc | intermediary.ip | Se il valore corrisponde al pattern dell'indirizzo IP |
| EventName | metadata.description | Se il processo non corrisponde al pattern exe |
| atto | metadata.description | Se fname è vuoto |
| EventMessage | metadata.description | Se act è vuoto |
| LastEventDate | metadata.event_timestamp | Convertito utilizzando il formato ISO8601 o aaaa-MM-ggTHH:mm:ss |
| _temp_datetime | metadata.event_timestamp | Convertito utilizzando il formato gg/MM/aaaa HH:mm:ss |
| dataora | metadata.event_timestamp | Convertito utilizzando il formato ISO8601 o MMM d HH:mm:ss |
| _event_type | metadata.event_type | Rinominato direttamente |
| nome | metadata.event_type | Imposta in base alle condizioni: FILE_CREATION per "Store File", USER_LOGIN per "Logon", NETWORK_CONNECTION se has_principal e has_target, FILE_UNCATEGORIZED se has_target_file_details, PROCESS_UNCATEGORIZED se has_target_process_details, STATUS_UPDATE se has_principal, NETWORK_UNCATEGORIZED se app_error e has_principal e has_target, altrimenti GENERIC_EVENT |
| EventType | metadata.product_event_type | Mappato direttamente |
| signature_id, name | metadata.product_event_type | Concatenato da signature_id e nome |
| LastEventID | metadata.product_log_id | Convertito in stringa |
| tid | metadata.product_log_id | Mappato direttamente |
| prodotto | metadata.product_name | Rinominato direttamente |
| versione | metadata.product_version | Rinominato direttamente |
| vendor | metadata.vendor_name | Rinominato direttamente |
| host | observer.hostname | Mappato direttamente |
| LastEventUserName | principal.administrative_domain | Estratto utilizzando il pattern grok domain\user |
| ApplicationType | principal.application | Mappato direttamente |
| shost | principal.asset.hostname | Se il valore non corrisponde al pattern dell'indirizzo IP |
| shost | principal.asset.hostname | Soluzione di riserva se dhost è vuoto |
| shost | principal.asset.ip | Se il valore corrisponde al pattern dell'indirizzo IP |
| src | principal.asset.ip | Mappato direttamente |
| ip_address | principal.asset.ip | Mappato direttamente |
| shost | principal.asset.ip | Soluzione di riserva se dhost è vuoto |
| shost | principal.ip | Se il valore corrisponde al pattern dell'indirizzo IP, viene unito |
| src | principal.ip | Uniti direttamente |
| ip_address | principal.ip | Uniti direttamente |
| Località | principal.location.name | Mappato direttamente |
| LastEventSourceName | principal.platform | Impostato su WINDOWS se il valore corrisponde al pattern di Windows |
| EventName | principal.process.command_line | Se il processo corrisponde al pattern exe |
| LastEventPackageName | principal.resource.name | Se il valore non è EventName |
| ApplicationType | principal.user.attribute.roles | Imposta su ADMINISTRATOR se il valore è uguale a AdminTask |
| LastEventUserName | principal.user.user_display_name | Parte utente estratta utilizzando il pattern grok dominio\utente |
| user_name | principal.user.user_display_name | Mappato direttamente |
| SourceUser | principal.user.userid | Mappato direttamente |
| suser | principal.user.userid | Se l'evento non è di tipo USER_ |
| usrName | principal.user.userid | Mappato direttamente |
| _action | security_result.action | Uniti direttamente |
| nome | security_result.action | Imposta su BLOCK se il valore inizia con "Failure" o "Failed", altrimenti ALLOW |
| msg | security_result.description | Mappato direttamente |
| msg, reason | security_result.description | Concatenato da msg e reason se la condizione di errore |
| _sec_result_description | security_result.description | Mappato direttamente |
| PolicyName | security_result.rule_name | Mappato direttamente |
| cs2 | security_result.rule_name | Mappato direttamente |
| gravità | security_result.severity | Impostato su LOW se il valore è <= 5, su MEDIUM se il valore è <= 8 e su HIGH in caso contrario |
| sev | security_result.severity | Mappato direttamente |
| sev | security_result.severity_details | Mappato direttamente |
| Motivo | security_result.summary | Mappato direttamente |
| nome | security_result.summary | Mappato direttamente |
| dhost | target.asset.hostname | Se il valore non corrisponde al pattern dell'indirizzo IP |
| shost | target.asset.hostname | Soluzione di riserva se dhost è vuoto |
| dhost | target.asset.ip | Se il valore corrisponde al pattern dell'indirizzo IP |
| GatewayStation | target.asset.ip | Mappato direttamente |
| shost | target.asset.ip | Soluzione di riserva se dhost è vuoto |
| FileQualifier | target.asset_id | Con prefisso "ASSET ID:" e convertito in stringa |
| File | target.file.full_path | Mappato direttamente |
| file_path | target.file.full_path | Mappato direttamente |
| LastEventSourceName | target.file.full_path | Se il valore inizia con "C:" |
| fname | target.file.full_path | Mappato direttamente |
| Hash | target.file.sha1 | Prefisso "SHA1##" rimosso e valore convertito in minuscolo, se il tipo è SHA1 |
| GatewayStation | target.ip | Uniti direttamente |
| pid | target.process.pid | Convertito in stringa |
| Sicuro | target.resource.name | Mappato direttamente |
| user_name | target.user.user_display_name | Mappato direttamente |
| TargetUser | target.user.userid | Mappato direttamente |
| duser | target.user.userid | Mappato direttamente |
| suser | target.user.userid | Se l'evento è di tipo USER_ |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.