Coletar registros do Cyolo OT
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Cyolo Secure Remote Access para OT no Google Security Operations usando o agente do Bindplane.
A Cyolo oferece acesso remoto seguro para ambientes de tecnologia operacional (OT). A plataforma gera mensagens do syslog para eventos de acesso, autenticação e atividades de sessão. O analisador extrai campos e os mapeia para o modelo de dados unificado (UDM).
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e a plataforma Cyolo
- Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
- Acesso privilegiado ao Admin Console do Cyolo
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cyolo_ot: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: CYOLO_OT raw_log_field: body service: pipelines: logs/cyolo_ot_to_chronicle: receivers: - udplog exporters: - chronicle/cyolo_ot
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor:
listen_address: endereço IP e porta a serem detectados:0.0.0.0para detectar em todas as interfaces (recomendado)- A porta
514é a porta padrão do syslog (requer raiz no Linux; use1514para não raiz)
Configuração do exportador:
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID do cliente copiado do console do Google SecOpsendpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte a lista completa em Endpoints regionais.
- EUA:
Salve o arquivo de configuração.
- Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O,EntereCtrl+X. - Windows: clique em Arquivo > Salvar.
- Linux: pressione
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o Coletor do OpenTelemetry da observIQ.
- Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o syslog no Cyolo
- Faça login no Admin Console do Cyolo.
- Acesse Monitoring > Configurações.
- Ative Exportar registros para o protocolo de registro do sistema (Syslog).
- Acesse Integrações > Servidor Syslog.
- Informe os seguintes detalhes de configuração:
- Nome do servidor: insira um nome significativo para esse servidor (por exemplo,
Google SecOps Bindplane). - Sites: selecione um único site ou vários sites no menu suspenso.
- Endereço IP: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente Bindplane para conexão UDP.
- Nome do servidor: insira um nome significativo para esse servidor (por exemplo,
- Clique em Salvar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
_field |
additional.fields |
Mesclado |
authority_id_label |
additional.fields |
Mesclado |
authority_kind_label |
additional.fields |
Mesclado |
authority_name_label |
additional.fields |
Mesclado |
data_field |
additional.fields |
Mesclado |
duration_label |
additional.fields |
Mesclado |
kind_label |
additional.fields |
Mesclado |
log_level_label |
additional.fields |
Mesclado |
object_id_label |
additional.fields |
Mesclado |
object_kind_label |
additional.fields |
Mesclado |
object_name_label |
additional.fields |
Mesclado |
rules_label |
additional.fields |
Mesclado |
site_id_label |
additional.fields |
Mesclado |
subject_id_label |
additional.fields |
Mesclado |
subject_kind_label |
additional.fields |
Mesclado |
message |
extensions.auth.type |
Mapeado: user disconnected → MACHINE |
syslog_object_name |
extensions.auth.type |
Mapeado: login → MACHINE |
inter_host |
intermediary.asset.hostname |
Mapeado diretamente |
inter_host |
intermediary.hostname |
Mapeado diretamente |
message |
metadata.description |
Mapeado diretamente |
msg |
metadata.description |
Mapeado diretamente |
syslog_message |
metadata.description |
Mapeado diretamente |
syslog_timestamp |
metadata.event_timestamp |
Analisado como ISO8601 |
time |
metadata.event_timestamp |
Analisado como MMM d HH:mm:ss |
timestamp |
metadata.event_timestamp |
Analisado como ISO8601 |
event_type |
metadata.event_type |
Mapeado diretamente |
kind |
metadata.product_event_type |
Mapeado diretamente |
prod_type |
metadata.product_event_type |
Mapeado diretamente |
id |
metadata.product_log_id |
Mapeado diretamente |
syslog_event_id |
metadata.product_log_id |
Mapeado diretamente |
product_version |
metadata.product_version |
Mapeado diretamente |
message |
network.application_protocol |
Mapeado: rdp → RDP |
client |
network.http.parsed_user_agent |
Mapeado diretamente |
cyolouagent |
network.http.parsed_user_agent |
Mapeado diretamente |
client |
network.http.user_agent |
Mapeado diretamente |
cyolouagent |
network.http.user_agent |
Mapeado diretamente |
syslog_client |
network.http.user_agent |
Mapeado diretamente |
cyolosessionid |
network.session_id |
Mapeado diretamente |
session_id |
network.session_id |
Mapeado diretamente |
hostname |
observer.hostname |
Mapeado diretamente |
container_id_label |
observer.resource.attribute.labels |
Mesclado |
internal_event_id_label |
observer.resource.attribute.labels |
Mesclado |
log_source_label |
observer.resource.attribute.labels |
Mesclado |
site_id_label |
observer.resource.attribute.labels |
Mesclado |
site_name_label |
observer.resource.attribute.labels |
Mesclado |
transaction_id_label |
observer.resource.attribute.labels |
Mesclado |
node_id |
observer.resource.product_object_id |
Mapeado diretamente |
syslog_hostname |
principal.asset.hostname |
Mapeado diretamente |
remote_address |
principal.asset.ip |
Mesclado |
syslog_remote_address |
principal.asset.ip |
Mesclado |
syslog_hostname |
principal.hostname |
Mapeado diretamente |
remote_address |
principal.ip |
Mesclado |
syslog_remote_address |
principal.ip |
Mesclado |
country_code |
principal.location.country_or_region |
Mapeado diretamente |
cyolocountrycode |
principal.location.country_or_region |
Mapeado diretamente |
syslog_country_code |
principal.location.country_or_region |
Mapeado diretamente |
node_id_label |
principal.resource.attribute.labels |
Mesclado |
site_name_label |
principal.resource.attribute.labels |
Mesclado |
transaction_id_label |
principal.resource.attribute.labels |
Mesclado |
cyolosubjectkind |
principal.resource.resource_subtype |
Mapeado diretamente |
credentials_id_label |
principal.user.attribute.labels |
Mesclado |
credentials_name_label |
principal.user.attribute.labels |
Mesclado |
credentials_origin_label |
principal.user.attribute.labels |
Mesclado |
cyolosubjectid |
principal.user.product_object_id |
Mapeado diretamente |
subject_id |
principal.user.product_object_id |
Mapeado diretamente |
syslog_session_id |
principal.user.product_object_id |
Mapeado diretamente |
cyolosubjectname |
principal.user.userid |
Mapeado diretamente |
subject_name |
principal.user.userid |
Mapeado diretamente |
syslog_id |
principal.user.userid |
Mapeado diretamente |
action |
security_result.action |
Mesclado |
result |
security_result.action |
Mapeado: failure → sr_action, success → sr_action |
sr_action |
security_result.action |
Mesclado |
syslog_result |
security_result.action_details |
Mapeado diretamente |
_field |
security_result.detection_fields |
Mesclado |
field |
security_result.detection_fields |
Mesclado |
key |
security_result.detection_fields |
Mapeado: "cyoloauthkind", "cyolokind","cyoloresult" → _field |
result |
security_result.outcome |
Mapeado: failure → FAIL, success → PASS |
authority_id |
security_result.rule_id |
Mapeado diretamente |
cyoloauthid |
security_result.rule_id |
Mapeado diretamente |
authority_name |
security_result.rule_name |
Mapeado diretamente |
cyoloauthname |
security_result.rule_name |
Mapeado diretamente |
severity |
security_result.severity |
Mapeado: 1 → LOW |
cyoloobjname |
target.application |
Mapeado diretamente |
object_name |
target.application |
Mapeado diretamente |
asset_id |
target.asset.asset_id |
Mapeado diretamente |
destination_host |
target.asset.hostname |
Mapeado diretamente |
dst |
target.asset.ip |
Mesclado |
asset_name |
target.asset.product_object_id |
Mapeado diretamente |
destination_host |
target.hostname |
Mapeado diretamente |
dst |
target.ip |
Mesclado |
destination_port |
target.port |
Mapeado diretamente |
_field |
target.resource.attribute.labels |
Mesclado |
key |
target.resource.attribute.labels |
Mapeado: cyolodstid → _field |
cyoloobjid |
target.resource.product_object_id |
Mapeado diretamente |
object_id |
target.resource.product_object_id |
Mapeado diretamente |
cyoloobjkind |
target.resource.resource_subtype |
Mapeado diretamente |
syslog_subject_name |
target.user.userid |
Mapeado diretamente |
| N/A | extensions.auth.type |
Constante: MACHINE |
| N/A | metadata.product_name |
Constante: CYOLO_OT |
| N/A | metadata.vendor_name |
Constante: CYOLO_OT |
| N/A | network.application_protocol |
Constante: RDP |
| N/A | network.http.parsed_user_agent |
Constante: parseduseragent |
| N/A | security_result.outcome |
Constante: FAIL |
| N/A | security_result.severity |
Constante: LOW |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.