Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Cynet 360 AutoXDR

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cynet 360 AutoXDR no Google Security Operations usando o agente Bindplane.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado ao console de gerenciamento do Cynet 360 AutoXDR.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /opt/observiq-otel-collector/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CYNET_360_AUTOXDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho do arquivo em que o arquivo de autenticação foi salvo na Etapa 1.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configurar o encaminhamento de syslog no Cynet 360 AutoXDR

Faça login no Cynet 360 AutoXDR Management Console.
Acesse Configurações > Configuração > Configurações do SIEM.
Informe os seguintes detalhes de configuração:
- Método de transmissão: selecione UDP.
- Endereço IP: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente do Bindplane (o padrão é 514).
Clique em Adicionar.
Acesse Configurações > Avançadas.
Marque a caixa de seleção Enviar registros de auditoria para o SIEM.
Salve a configuração.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Uniqueness_label`	`additional.fields`	Mesclado
`clientId_label`	`additional.fields`	Mesclado
`confVer_label`	`additional.fields`	Mesclado
`epsVer_label`	`additional.fields`	Mesclado
`etwAlertId_label`	`additional.fields`	Mesclado
`externalId_label`	`additional.fields`	Mesclado
`fname_label`	`additional.fields`	Mesclado
`gpParams_label`	`additional.fields`	Mesclado
`gpSign_label`	`additional.fields`	Mesclado
`gpprUser_label`	`additional.fields`	Mesclado
`gpssdeep_label`	`additional.fields`	Mesclado
`hostLS_label`	`additional.fields`	Mesclado
`pParams_label`	`additional.fields`	Mesclado
`pSign_label`	`additional.fields`	Mesclado
`pct_label`	`additional.fields`	Mesclado
`pssdeep_label`	`additional.fields`	Mesclado
`scanGroupId_label`	`additional.fields`	Mesclado
`sev_label`	`additional.fields`	Mesclado
`sign_label`	`additional.fields`	Mesclado
`Action`	`extensions.auth.type`	Mapeado: `111` → `AUTHTYPE_UNSPECIFIED`
`Info`	`metadata.description`	Mapeado diretamente
`dtUtc`	`metadata.event_timestamp`	Analisado como `MMM dd yyyy HH:mm:ss.SSS`
`rt`	`metadata.event_timestamp`	Analisado como `MMM dd yyyy HH:mm:ss`
`rtUtc`	`metadata.event_timestamp`	Analisado como `MMM dd yyyy HH:mm:ss.SSS`
`Action`	`metadata.event_type`	Mapeado: `111` → `USER_LOGIN`
`has_principal`	`metadata.event_type`	Mapeado: `true` → `FILE_UNCATEGORIZED`, `true` → `STATUS_UPDATE`
`has_user`	`metadata.event_type`	Mapeado: `true` → `USER_UNCATEGORIZED`
`DbId`	`metadata.product_log_id`	Mapeado diretamente
`pprUser`	`principal.administrative_domain`	Mapeado diretamente
`HostName`	`principal.asset.hostname`	Mapeado diretamente
`dhost`	`principal.asset.hostname`	Mapeado diretamente
`RequesterIp`	`principal.asset.ip`	Mesclado
`StringIP`	`principal.asset.ip`	Mesclado
`src`	`principal.asset.ip`	Mesclado
`pFileHash`	`principal.file.sha256`	Mapeado diretamente
`HostName`	`principal.hostname`	Mapeado diretamente
`dhost`	`principal.hostname`	Mapeado diretamente
`RequesterIp`	`principal.ip`	Mesclado
`StringIP`	`principal.ip`	Mesclado
`src`	`principal.ip`	Mesclado
`osVer`	`principal.platform_version`	Mapeado diretamente
`ppParams`	`principal.process.file.full_path`	Mapeado diretamente
`gpFileHash`	`principal.process.parent_process.file.sha256`	Mapeado diretamente
`prUser`	`principal.user.userid`	Mapeado diretamente
`sec_result`	`security_result`	Mesclado
`sev`	`security_result.severity`	Mapeado: `Medium` → `MEDIUM`, `Low` → `LOW`, `High` → `HIGH`, `Critical` → `CRITICAL`
`domain`	`target.administrative_domain`	Mapeado diretamente
`dst`	`target.asset.ip`	Mesclado
`Path`	`target.file.full_path`	Mapeado diretamente
`filePath`	`target.file.full_path`	Mapeado diretamente
`fileHash`	`target.file.sha256`	Mapeado diretamente
`scanGroupName`	`target.group.group_display_name`	Mapeado diretamente
`dst`	`target.ip`	Mesclado
`UserName`	`target.user.userid`	Mapeado diretamente
`duser`	`target.user.userid`	Mapeado diretamente
`user`	`target.user.userid`	Mapeado diretamente
N/A	`extensions.auth.type`	Constante: `AUTHTYPE_UNSPECIFIED`
N/A	`metadata.event_type`	Constante: `USER_LOGIN`
N/A	`metadata.product_name`	Constante: `Cynet 360 AutoXDR`
N/A	`metadata.vendor_name`	Constante: `Cynet 360 AutoXDR`
N/A	`security_result.severity`	Constante: `MEDIUM`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.