Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Darktrace

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Darktrace no Google Security Operations usando um agente do Bindplane. Primeiro, esse analisador extrai campos comuns de mensagens syslog e usa lógica condicional para processar registros do Darktrace formatados em CEF e JSON. Ele mapeia os campos extraídos para o esquema do modelo de dados unificado (UDM), enriquecendo os dados com contexto de segurança e padronizando a categorização de eventos para análise downstream.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Host Windows 2016 ou mais recente ou Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Darktrace

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:10282`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DARKTRACE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindlane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Darktrace

Faça login na UI da Web do Darktrace.
Acesse Administrador > Configuração do sistema.
Clique em Verificar configurações de alerta.
Informe os seguintes detalhes de configuração:
- Alertas do Syslog CEF: selecione Verdadeiro.
- Servidor Syslog CEF: insira o endereço IP do Bindplane.
- Porta do servidor Syslog do CEF: insira o número da porta do Bindplane (por exemplo, 10282).
- Alerta TCP do Syslog CEF: selecione True.
Clique em Salvar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento da UDM	Lógica
darktraceUrl	security_result.url_back_to_product	O valor é extraído do campo `darktraceUrl`.
darktrace_host	observer.hostname	O valor é extraído do campo `darktrace_host` se não for um endereço IP.
darktrace_ip	observer.ip	O valor é extraído do campo `darktrace_ip`.
darktrace_user	observer.user.userid	O valor é extraído do campo `darktrace_user`.
description	security_result.summary, metadata.description	O valor é extraído do campo `description`.
device.customFields.DT-AUTO.macaddress	principal.mac	O valor é extraído do campo `device.customFields.DT-AUTO.macaddress`.
device.did	principal.asset.asset_id	O valor é extraído do campo `device.did`, convertido em uma string e prefixado com `Device ID:`.
device.firstSeen	principal.asset.first_seen_time	O valor é extraído do campo `device.firstSeen`, convertido em uma string e analisado como um carimbo de data/hora UNIX em milissegundos.
device.hostname	principal.hostname, principal.asset.hostname	O valor é extraído do campo `device.hostname`.
device.ip	principal.ip, principal.asset.ip	O valor é extraído do campo `device.ip` se corresponder ao formato de endereço IP.
device.ips.0.subnet	additional.fields.subnet	O valor é extraído do campo `device.ips.0.subnet` e tem o prefixo `subnet`.
device.ips.ip	principal.ip, principal.asset.ip	O valor é extraído do campo `device.ips.ip` para cada endereço IP na lista.
device.lastSeen	principal.asset.last_discover_time	O valor é extraído do campo `device.lastSeen`, convertido em uma string e analisado como um carimbo de data/hora UNIX em milissegundos.
device.macaddress	principal.mac	O valor é extraído do campo `device.macaddress`.
device.objecttype	principal.asset.type	Se o valor for `device`, o campo UDM será definido como `WORKSTATION`.
device.sid	principal.resource.attribute.labels.sid	O valor é extraído do campo `device.sid` e convertido em uma string.
device.typelabel	principal.resource.attribute.labels.typelabel	O valor é extraído do campo `device.typelabel`.
device.typename	principal.resource.attribute.labels.typename	O valor é extraído do campo `device.typename`.
dst	target.ip, target.asset.ip	O valor é extraído do campo `dst`.
dpt	target.port	O valor é extraído do campo `dpt` e convertido em um número inteiro.
dvc	principal.ip, principal.asset.ip	Se o valor de `dvc` for um endereço IP, ele será adicionado ao campo da UDM.
dvchost	principal.hostname, principal.asset.hostname	O valor é extraído do campo `dvchost`.
endpoint	target.url	O valor é extraído do campo `endpoint`.
event_time	metadata.event_timestamp	O valor é extraído do campo `event_time` e analisado como um carimbo de data/hora ISO8601.
externalId	metadata.product_log_id	O valor é extraído do campo `externalId`.
incidentEventUrl	principal.url	O valor é extraído do campo `incidentEventUrl`.
ip	principal.ip, principal.asset.ip	O valor é extraído do campo `ip` se corresponder ao formato de endereço IP.
issue_msg	security_result.summary	O valor é extraído do campo `issue_msg`.
mensagem	security_result.description	O valor é extraído do campo `message`.
método	network.http.method	O valor é extraído do campo `method`.
model.description	metadata.description	O valor é extraído do campo `model.description`.
model.name	metadata.product_event_type	O valor é extraído do campo `model.name`.
model.now.category	security_result.severity	Se o valor for `critical`, o campo UDM será definido como `CRITICAL`. Se o valor for `Informational`, o campo UDM será definido como `INFORMATIONAL`. Se o valor for `Suspicious`, o campo UDM será definido como `HIGH` e a categoria será definida como `NETWORK_SUSPICIOUS`.
model.now.description	metadata.description	O valor é extraído do campo `model.now.description`.
model.now.message	security_result.description	O valor é extraído do campo `model.now.message`.
model.now.name	metadata.product_event_type	O valor é extraído do campo `model.now.name`.
model.now.pid	principal.process.pid	O valor é extraído do campo `model.now.pid` e convertido em uma string.
model.now.uuid	principal.user.userid	O valor é extraído do campo `model.now.uuid`, e o tipo de evento é definido como `USER_UNCATEGORIZED`.
model.pid	principal.process.pid	O valor é extraído do campo `model.pid` e convertido em uma string.
model.then.description	principal.resource.attribute.labels.Model Then Description	O valor é extraído do campo `model.then.description`.
model.then.name	principal.resource.attribute.labels.Model Then Name	O valor é extraído do campo `model.then.name`.
model.then.pid	principal.resource.attribute.labels.Model Then Pid	O valor é extraído do campo `model.then.pid` e convertido em uma string.
model.then.uuid	principal.resource.attribute.labels.Model Then UUID	O valor é extraído do campo `model.then.uuid`.
model.uuid	principal.user.userid	O valor é extraído do campo `model.uuid`, e o tipo de evento é definido como `USER_UNCATEGORIZED`.
relatedBreaches.0.modelName	security_result.description	O valor é extraído do campo `relatedBreaches.0.modelName`.
score	security_result.priority, security_result.priority_details	Se o valor estiver entre 0,8 e 1, a prioridade será definida como `HIGH_PRIORITY`. Se o valor estiver entre 0,5 e 0,79, a prioridade será definida como `MEDIUM_PRIORITY`. Se o valor estiver entre 0 e 0,49, a prioridade será definida como `LOW_PRIORITY`. Os detalhes de prioridade são definidos como `Score :` seguidos pelo valor de `score` convertido em uma string.
gravidade,	security_result.severity	Se o valor for 2, o campo UDM será definido como `MEDIUM`. Se o valor for maior que 2, o campo UDM será definido como `HIGH`.
shost	principal.hostname, principal.asset.hostname	O valor é extraído do campo `shost`.
smac	principal.mac	O valor é extraído do campo `smac`.
src	principal.ip, principal.asset.ip	O valor é extraído do campo `src`.
status	network.http.response_code	O valor é extraído do campo `status` e convertido em uma string.
resumo	metadata.description	O valor é extraído do campo `summary`.
tempo		O valor é extraído do campo `time`, convertido em uma string e analisado como um carimbo de data/hora UNIX em milissegundos.
timestamp		O valor é extraído do campo `timestamp` e analisado como um carimbo de data/hora ISO8601 ou um carimbo de data/hora UNIX em milissegundos.
título	security_result.summary	O valor é extraído do campo `title`.
triggeredComponents.ip	intermediary.ip	O valor é extraído do campo `triggeredComponents.ip` se corresponder ao formato de endereço IP.
triggeredComponents.port	intermediary.port	O valor é extraído do campo `triggeredComponents.port` e convertido em um número inteiro.
nome de usuário	principal.user.userid	O valor é extraído do campo `username`.
	metadata.vendor_name	Defina como `DARKTRACE`.
	metadata.product_name	Defina como `DCIP`.
	metadata.log_type	Defina como `DARKTRACE`.
	network.ip_protocol	Defina como `TCP` se `issue_msg` não contiver `UDP`. Caso contrário, defina como `UDP`.
	security_result.action	Defina como `BLOCK` se `status` for `401`. Caso contrário, defina como `ALLOW`.
	security_result.severity	Defina como `INFORMATIONAL`.
	network.application_protocol	Defina como `HTTP` se `method` não estiver vazio.
	metadata.event_type	Defina como `NETWORK_HTTP` se `method` não estiver vazio. Defina como `USER_LOGIN` se `description` contiver `logged into \\\\S+ over ssh`. Defina como `NETWORK_CONNECTION` se `target_ip` não estiver vazio. Caso contrário, defina como `STATUS_UPDATE`.
	extensions.auth.type	Defina como `MACHINE` se `description` contiver `logged into \\\\S+ over ssh`.
	security_result.category	Defina como `DATA_EXFILTRATION` se `issue_msg` contiver `Exfiltration`. Defina como `NETWORK_MALICIOUS` se `issue_msg` contiver `Compromise`. Caso contrário, defina como `NETWORK_SUSPICIOUS`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.