CyberArk 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 CyberArk 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
CyberArk Privileged Access Manager (PAM)는 온프레미스 및 클라우드 환경 전반에서 권한이 있는 계정 및 사용자 인증 정보를 보호, 관리, 모니터링하는 엔터프라이즈급 권한 액세스 보안 솔루션입니다. 자격 증명 보관, 세션 격리 및 모니터링, 권한 있는 위협 분석 (PTA)을 통한 위협 감지, 모든 권한 있는 활동의 포괄적인 감사 로깅을 제공합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 CyberArk Vault 서버 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- CyberArk Vault Server에 대한 관리 액세스 (
Server\Conf설치 폴더에 대한 액세스) - CyberArk Vault 버전 10.0 이상
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스 상태는 실행 중이어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스 상태는 active (running)이어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cyberark: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBERARK raw_log_field: body service: pipelines: logs/cyberark_to_chronicle: receivers: - udplog exporters: - chronicle/cyberark다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.- 포트 514에서 모든 인터페이스를 리슨하려면
0.0.0.0:514(Linux에서 루트 필요) 0.0.0.0:1514: 권한이 없는 포트에서 수신 대기 (Linux 비루트에 권장)
- 포트 514에서 모든 인터페이스를 리슨하려면
수신기 유형 옵션:
udplog(UDP syslog의 경우, CyberArk Vault의 기본값)- TCP syslog용
tcplog - CyberArk Vault가
SyslogServerProtocol=TCP로 구성된 경우tcplog사용
내보내기 도구 구성:
creds_file_path: Google SecOps 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
CyberArk syslog 전달 구성
CyberArk Vault는 syslog를 통해 CEF (Common Event Format)로 감사 이벤트를 전송합니다. Vault 서버는 XSL 변환기 파일을 사용하여 XML 감사 레코드를 CEF 메시지로 변환한 후 Bindplane 에이전트로 전달합니다.
syslog를 전송하도록 Vault 서버 구성
- 관리자 권한으로 CyberArk Vault Server 호스트 머신에 로그인합니다.
- CyberArk Vault Server 설치 폴더(예: `C:\Program Files (x86)\PrivateArk\Server\Conf`)로 이동합니다.
- 텍스트 편집기에서
DBParm.ini파일을 엽니다. DBParm.sample.ini파일 (동일한 폴더에 있음)에서[SYSLOG]섹션을 복사하여DBParm.ini하단에 붙여넣습니다.[SYSLOG]섹션에서 다음 syslog 매개변수를 구성합니다.[SYSLOG] SyslogServerIP=<BINDPLANE_AGENT_IP> SyslogServerPort=514 SyslogServerProtocol=UDP UseLegacySyslogFormat=No SyslogTranslatorFile=Syslog\Arcsight.sample.xsl SyslogMessageCodeFilter=0-999다음 값을 바꿉니다.
- SyslogServerIP: Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예:
192.168.1.100). - SyslogServerPort: Bindplane 에이전트
listen_address와 일치하는 포트를 입력합니다 (예:514). SyslogServerProtocol: 프로토콜을 선택합니다.
- UDP syslog의 경우
UDP(기본값) - TCP syslog용
TCP
- UDP syslog의 경우
SyslogTranslatorFile: CEF 형식의 XSL 변환기 파일을 입력합니다.
- 표준 CEF 출력을 위한
Syslog\Arcsight.sample.xsl(권장)
- 표준 CEF 출력을 위한
SyslogMessageCodeFilter: 전달할 메시지 코드를 입력합니다.
0-999: 모든 일정 전달- 특정 이벤트를 필터링하기 위해 개별 코드 또는 범위 (예:
1,2,3,5-10,30)를 지정합니다.
UseLegacySyslogFormat: RFC 5424 형식의 경우
No로 설정합니다.
- SyslogServerIP: Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예:
DBParm.ini파일을 저장합니다.PrivateArk Server 서비스를 다시 시작합니다.
- Windows 서비스 (
services.msc)를 엽니다. - CyberArk Vault Disaster Recovery 서비스를 찾아 실행 중인 경우 중지합니다.
- PrivateArk Server 서비스를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
- CyberArk Vault 재해 복구 서비스를 다시 시작합니다 (해당하는 경우).
- Windows 서비스 (
syslog를 여러 대상으로 전달
Vault syslog 이벤트를 Bindplane 에이전트와 기타 대상 (예: PTA) 모두로 전달하려면 쉼표로 구분된 여러 IP 주소와 변환기 파일을 지정하세요.
SyslogServerIP=<BINDPLANE_AGENT_IP>,<PTA_SERVER_IP> SyslogTranslatorFile=Syslog\Arcsight.sample.xsl,Syslog\PTA.xsl
PTA (Privileged Threat Analytics) syslog 전달 구성 (선택사항)
PTA 보안 알림을 Google SecOps로 전달하려면 PTA SIEM 통합을 구성하세요.
- PVWA (Password Vault Web Access) 콘솔에 로그인합니다.
- 관리 > 구성 옵션 > 권한이 있는 위협 분석으로 이동합니다.
- SIEM 섹션에서 다음을 구성합니다.
- Syslog Server IP: Bindplane 에이전트 호스트의 IP 주소를 입력합니다.
- 시스템로그 서버 포트: Bindplane 에이전트 구성과 일치하는 포트를 입력합니다 (예:
514). - 프로토콜: Bindplane 에이전트 수신기와 일치하도록 UDP 또는 TCP를 선택합니다.
- 형식: CEF를 선택합니다.
- 저장을 클릭합니다.
사용 가능한 XSL 변환기 파일
CyberArk 서버 설치 폴더의
Syslog하위 폴더에는 샘플 XSL 변환기 파일이 포함되어 있습니다.번역 파일 형식 설명 Arcsight.sample.xslCEF 표준 CEF 형식 (Google SecOps에 권장) SplunkCIM.xslCIM Splunk Common Information Model 형식 PTA.xsl커스텀 CyberArk PTA로 전달하기 위한 형식 XSIAM.xslCEF Palo Alto Cortex XSIAM 형식
syslog 전달 확인
- PrivateArk Server 서비스를 다시 시작한 후 Vault에서 테스트 작업을 실행합니다 (예: 비밀번호 가져오기 또는 PVWA에 로그인).
- Bindplane 에이전트 로그에서 수신 syslog 메시지를 확인합니다.
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
CEF 형식 메시지가 로그에 표시되는지 확인합니다. 예를 들면 다음과 같습니다.
CEF:0|Cyber-Ark|Vault|10.0|22|CPM password retrieved|5|suser=Administrator src=10.0.0.1 fname=Root\operating system-server1-admin
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| RequestId_label | additional.fields | 키-값 쌍으로 매핑됨 |
| Category_label | additional.fields | 키-값 쌍으로 매핑됨 |
| ExtraDetails_label | additional.fields | 키-값 쌍으로 매핑됨 |
| CAPolicy_label | additional.fields | 키-값 쌍으로 매핑됨 |
| line_number_label | additional.fields | 키-값 쌍으로 매핑됨 |
| pasvc_action_label | additional.fields | 키-값 쌍으로 매핑됨 |
| control_socket_label | additional.fields | 키-값 쌍으로 매핑됨 |
| data_socket_label | additional.fields | 키-값 쌍으로 매핑됨 |
| timeout_label | additional.fields | 키-값 쌍으로 매핑됨 |
| vault_name_label | additional.fields | 키-값 쌍으로 매핑됨 |
| class_name_label | additional.fields | 키-값 쌍으로 매핑됨 |
| status_label | additional.fields | 키-값 쌍으로 매핑됨 |
| Publisher_Event | additional.fields | 키-값 쌍으로 매핑됨 |
| Last_Event | additional.fields | 키-값 쌍으로 매핑됨 |
| Total_Events | additional.fields | 키-값 쌍으로 매핑됨 |
| cs1_var | additional.fields | 키-값 쌍으로 매핑됨 |
| cs3_var | additional.fields | 키-값 쌍으로 매핑됨 |
| app_var | additional.fields | 키-값 쌍으로 매핑됨 |
| reason_var | additional.fields | 키-값 쌍으로 매핑됨 |
| cs5_var | additional.fields | 키-값 쌍으로 매핑됨 |
| cs4_var | additional.fields | 키-값 쌍으로 매핑됨 |
| _auth_mechanism | extensions.auth.mechanism | 직접 병합됨 |
| dvc | intermediary.ip | 값이 IP 주소 패턴과 일치하는 경우 |
| EventName | metadata.description | 프로세스가 exe 패턴과 일치하지 않는 경우 |
| 행동 | metadata.description | fname이 비어 있는 경우 |
| EventMessage | metadata.description | act가 비어 있는 경우 |
| LastEventDate | metadata.event_timestamp | ISO8601 또는 yyyy-MM-ddTHH:mm:ss 형식을 사용하여 변환됨 |
| _temp_datetime | metadata.event_timestamp | dd/MM/yyyy HH:mm:ss 형식으로 변환됨 |
| datetime | metadata.event_timestamp | ISO8601 또는 MMM d HH:mm:ss 형식을 사용하여 변환됨 |
| _event_type | metadata.event_type | 직접 이름 변경 |
| name | metadata.event_type | 조건에 따라 설정됩니다. '파일 저장'의 경우 FILE_CREATION, '로그온'의 경우 USER_LOGIN, has_principal 및 has_target인 경우 NETWORK_CONNECTION, has_target_file_details인 경우 FILE_UNCATEGORIZED, has_target_process_details인 경우 PROCESS_UNCATEGORIZED, has_principal만 있는 경우 STATUS_UPDATE, app_error 및 has_principal 및 has_target인 경우 NETWORK_UNCATEGORIZED, 그 외의 경우 GENERIC_EVENT |
| EventType | metadata.product_event_type | 직접 매핑됨 |
| signature_id, name | metadata.product_event_type | signature_id와 이름에서 연결됨 |
| LastEventID | metadata.product_log_id | 문자열로 변환됨 |
| tid | metadata.product_log_id | 직접 매핑됨 |
| 제품 | metadata.product_name | 직접 이름 변경 |
| version | metadata.product_version | 직접 이름 변경 |
| vendor | metadata.vendor_name | 직접 이름 변경 |
| 호스트 | observer.hostname | 직접 매핑됨 |
| LastEventUserName | principal.administrative_domain | grok 패턴 domain\user를 사용하여 추출됨 |
| ApplicationType | principal.application | 직접 매핑됨 |
| shost | principal.asset.hostname | 값이 IP 주소 패턴과 일치하지 않는 경우 |
| shost | principal.asset.hostname | dhost가 비어 있는 경우 대체 |
| shost | principal.asset.ip | 값이 IP 주소 패턴과 일치하는 경우 |
| src | principal.asset.ip | 직접 매핑됨 |
| ip_address | principal.asset.ip | 직접 매핑됨 |
| shost | principal.asset.ip | dhost가 비어 있는 경우 대체 |
| shost | principal.ip | 값이 IP 주소 패턴과 일치하면 병합됨 |
| src | principal.ip | 직접 병합됨 |
| ip_address | principal.ip | 직접 병합됨 |
| 위치 | principal.location.name | 직접 매핑됨 |
| LastEventSourceName | principal.platform | 값이 Windows 패턴과 일치하는 경우 WINDOWS로 설정 |
| EventName | principal.process.command_line | 프로세스가 exe 패턴과 일치하는 경우 |
| LastEventPackageName | principal.resource.name | 값이 EventName이 아닌 경우 |
| ApplicationType | principal.user.attribute.roles | 값이 AdminTask와 같으면 ADMINISTRATOR로 설정 |
| LastEventUserName | principal.user.user_display_name | grok 패턴 domain\user를 사용하여 추출된 사용자 부분 |
| user_name | principal.user.user_display_name | 직접 매핑됨 |
| SourceUser | principal.user.userid | 직접 매핑됨 |
| suser | principal.user.userid | 이벤트가 USER_ 유형이 아닌 경우 |
| usrName | principal.user.userid | 직접 매핑됨 |
| _action | security_result.action | 직접 병합됨 |
| name | security_result.action | 값이 'Failure' 또는 'Failed'로 시작하면 BLOCK으로 설정하고, 그렇지 않으면 ALLOW로 설정합니다. |
| msg | security_result.description | 직접 매핑됨 |
| msg, reason | security_result.description | 실패 조건인 경우 msg 및 reason에서 연결됨 |
| _sec_result_description | security_result.description | 직접 매핑됨 |
| PolicyName | security_result.rule_name | 직접 매핑됨 |
| cs2 | security_result.rule_name | 직접 매핑됨 |
| 줄이는 것을 | security_result.severity | 값이 5 이하이면 LOW, 8 이하이면 MEDIUM, 그 외에는 HIGH로 설정 |
| sev | security_result.severity | 직접 매핑됨 |
| sev | security_result.severity_details | 직접 매핑됨 |
| 이유 | security_result.summary | 직접 매핑됨 |
| name | security_result.summary | 직접 매핑됨 |
| dhost | target.asset.hostname | 값이 IP 주소 패턴과 일치하지 않는 경우 |
| shost | target.asset.hostname | dhost가 비어 있는 경우 대체 |
| dhost | target.asset.ip | 값이 IP 주소 패턴과 일치하는 경우 |
| GatewayStation | target.asset.ip | 직접 매핑됨 |
| shost | target.asset.ip | dhost가 비어 있는 경우 대체 |
| FileQualifier | target.asset_id | 'ASSET ID:'가 앞에 붙고 문자열로 변환됨 |
| 파일 | target.file.full_path | 직접 매핑됨 |
| file_path | target.file.full_path | 직접 매핑됨 |
| LastEventSourceName | target.file.full_path | 값이 'C:'로 시작하는 경우 |
| fname | target.file.full_path | 직접 매핑됨 |
| 해시 | target.file.sha1 | SHA1 유형인 경우 'SHA1##' 접두사가 삭제되고 값이 소문자로 변환됨 |
| GatewayStation | target.ip | 직접 병합됨 |
| pid | target.process.pid | 문자열로 변환됨 |
| 안전 | target.resource.name | 직접 매핑됨 |
| user_name | target.user.user_display_name | 직접 매핑됨 |
| TargetUser | target.user.userid | 직접 매핑됨 |
| duser | target.user.userid | 직접 매핑됨 |
| suser | target.user.userid | 이벤트가 USER_ 유형인 경우 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.