Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Darktrace

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Darktrace dans Google Security Operations à l'aide de l'agent Bindplane.

Darktrace est une plate-forme de cybersécurité optimisée par l'IA qui détecte les menaces et les anomalies en temps réel. L'analyseur gère les journaux Darktrace au format CEF et JSON, en extrait les champs et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et l'appliance Darktrace
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface utilisateur Web Darktrace

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:10282"

exporters:
    chronicle/darktrace:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: DARKTRACE
        raw_log_field: body

service:
    pipelines:
        logs/darktrace_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/darktrace

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 10282 est le port syslog CEF Darktrace par défaut (ajustez-le si nécessaire).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog sur Darktrace

Connectez-vous à l'interface utilisateur Web Darktrace.
Accédez à Admin > Configuration du système.
Cliquez sur Vérifier les paramètres d'alerte.
Fournissez les informations de configuration suivantes :
- Alertes Syslog CEF : sélectionnez True.
- Serveur Syslog CEF : saisissez l'adresse IP Bindplane.
- Port du serveur Syslog CEF : saisissez le numéro de port Bindplane (par exemple, 10282).
- CEF Syslog TCP Alert : sélectionnez True.
Cliquez sur Enregistrer.

Exemples de journaux Darktrace acceptés

SYSLOG + KV (CEF)

{
"acknowledged": false,
"commentCount": 0,
"pbid": 900000001,
"time": 1604055367000,
"creationTime": 1604055367000,
"model": {
    "name": "Compromise::Agent Beacon to New Endpoint",
    "uuid": "dfd6f10b-b91c-4244-9fd5-7c35caf21b33",
    "description": "A device is initiating multiple connections to a new external endpoint...",
    "priority": 2,
    "category": "Informational",
    "mitre": {
    "tactics": [
        "command-and-control"
    ],
    "techniques": [
        "T1071.001"
    ]
    }
},
"triggeredComponents": [
    {
    "time": 1677679818000,
    "ip": " ",
    "port": 443,
    "metric": {
        "name": "externalconnections"
    },
    "triggeredFilters": [
        {
        "filterType": "Connection hostname",
        "trigger": {
            "value": "beacon.external.io"
        }
        }
    ]
    }
],
"score": 0.85,
"device": {
    "did": 90001,
    "macaddress": " ",
    "ip": " ",
    "hostname": "user-laptop-1"
}
}

SYSLOG + JSON

{
"dpi_engine": "dt-sensor-101",
"proto": "tcp",
"source_ip": " ",
"source_port": 51000,
"dest_ip": " ",
"dest_port": 389,
"src": " ",
"dst": " ",
"details": "AP request: srealm is [TESTDOMAIN.LOCAL], service is [LDAP/DC99.testdomain.local/testdomain.local], ST cipher is [aes256-cts-hmac-sha1-96]",
"epochdate": 1690471502.2252,
"@host": "log-collector-host",
"uid": "ABCDEFGHIJ1234567890",
"note": "KERBEROS::App",
"@type": "notice"
}

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
darktraceUrl	security_result.url_back_to_product	La valeur est extraite du champ `darktraceUrl`.
darktrace_host	observer.hostname	La valeur est extraite du champ `darktrace_host` si elle n'est pas une adresse IP.
darktrace_ip	observer.ip	La valeur est extraite du champ `darktrace_ip`.
darktrace_user	observer.user.userid	La valeur est extraite du champ `darktrace_user`.
description	security_result.summary, metadata.description	La valeur est extraite du champ `description`.
device.customFields.DT-AUTO.macaddress	principal.mac	La valeur est extraite du champ `device.customFields.DT-AUTO.macaddress`.
device.did	principal.asset.asset_id	La valeur est extraite du champ `device.did`, convertie en chaîne et précédée de `Device ID:`.
device.firstSeen	principal.asset.first_seen_time	La valeur est extraite du champ `device.firstSeen`, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
device.hostname	principal.hostname, principal.asset.hostname	La valeur est extraite du champ `device.hostname`.
device.ip	principal.ip, principal.asset.ip	La valeur est extraite du champ `device.ip` si elle correspond au format d'adresse IP.
device.ips.0.subnet	additional.fields.subnet	La valeur est extraite du champ `device.ips.0.subnet` et précédée de `subnet`.
device.ips.ip	principal.ip, principal.asset.ip	La valeur est extraite du champ `device.ips.ip` pour chaque adresse IP de la liste.
device.lastSeen	principal.asset.last_discover_time	La valeur est extraite du champ `device.lastSeen`, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
device.macaddress	principal.mac	La valeur est extraite du champ `device.macaddress`.
device.objecttype	principal.asset.type	Si la valeur est `device`, le champ UDM est défini sur `WORKSTATION`.
device.sid	principal.resource.attribute.labels.sid	La valeur est extraite du champ `device.sid` et convertie en chaîne.
device.typelabel	principal.resource.attribute.labels.typelabel	La valeur est extraite du champ `device.typelabel`.
device.typename	principal.resource.attribute.labels.typename	La valeur est extraite du champ `device.typename`.
dst	target.ip, target.asset.ip	La valeur est extraite du champ `dst`.
dpt	target.port	La valeur est extraite du champ `dpt` et convertie en nombre entier.
dvc	principal.ip, principal.asset.ip	Si la valeur de `dvc` est une adresse IP, elle est ajoutée au champ UDM.
dvchost	principal.hostname, principal.asset.hostname	La valeur est extraite du champ `dvchost`.
endpoint	target.url	La valeur est extraite du champ `endpoint`.
event_time	metadata.event_timestamp	La valeur est extraite du champ `event_time` et analysée en tant que code temporel ISO8601.
externalId	metadata.product_log_id	La valeur est extraite du champ `externalId`.
incidentEventUrl	principal.url	La valeur est extraite du champ `incidentEventUrl`.
ip	principal.ip, principal.asset.ip	La valeur est extraite du champ `ip` si elle correspond au format d'adresse IP.
issue_msg	security_result.summary	La valeur est extraite du champ `issue_msg`.
message	security_result.description	La valeur est extraite du champ `message`.
method	network.http.method	La valeur est extraite du champ `method`.
model.description	metadata.description	La valeur est extraite du champ `model.description`.
model.name	metadata.product_event_type	La valeur est extraite du champ `model.name`.
model.now.category	security_result.severity	Si la valeur est `critical`, le champ UDM est défini sur `CRITICAL`. Si la valeur est `Informational`, le champ UDM est défini sur `INFORMATIONAL`. Si la valeur est `Suspicious`, le champ UDM est défini sur `HIGH` et la catégorie est définie sur `NETWORK_SUSPICIOUS`.
model.now.description	metadata.description	La valeur est extraite du champ `model.now.description`.
model.now.message	security_result.description	La valeur est extraite du champ `model.now.message`.
model.now.name	metadata.product_event_type	La valeur est extraite du champ `model.now.name`.
model.now.pid	principal.process.pid	La valeur est extraite du champ `model.now.pid` et convertie en chaîne.
model.now.uuid	principal.user.userid	La valeur est extraite du champ `model.now.uuid` et le type d'événement est défini sur `USER_UNCATEGORIZED`.
model.pid	principal.process.pid	La valeur est extraite du champ `model.pid` et convertie en chaîne.
model.then.description	principal.resource.attribute.labels.Model Then Description	La valeur est extraite du champ `model.then.description`.
model.then.name	principal.resource.attribute.labels.Model Then Name	La valeur est extraite du champ `model.then.name`.
model.then.pid	principal.resource.attribute.labels.Model Then Pid	La valeur est extraite du champ `model.then.pid` et convertie en chaîne.
model.then.uuid	principal.resource.attribute.labels.Model Then UUID	La valeur est extraite du champ `model.then.uuid`.
model.uuid	principal.user.userid	La valeur est extraite du champ `model.uuid` et le type d'événement est défini sur `USER_UNCATEGORIZED`.
relatedBreaches.0.modelName	security_result.description	La valeur est extraite du champ `relatedBreaches.0.modelName`.
score	security_result.priority, security_result.priority_details	Si la valeur est comprise entre 0,8 et 1, la priorité est définie sur `HIGH_PRIORITY`. Si la valeur est comprise entre 0,5 et 0,79, la priorité est définie sur `MEDIUM_PRIORITY`. Si la valeur est comprise entre 0 et 0,49, la priorité est définie sur `LOW_PRIORITY`. Les détails de la priorité sont définis sur `Score :`, suivi de la valeur de `score` convertie en chaîne.
de gravité,	security_result.severity	Si la valeur est 2, le champ UDM est défini sur `MEDIUM`. Si la valeur est supérieure à 2, le champ UDM est défini sur `HIGH`.
shost	principal.hostname, principal.asset.hostname	La valeur est extraite du champ `shost`.
smac	principal.mac	La valeur est extraite du champ `smac`.
src	principal.ip, principal.asset.ip	La valeur est extraite du champ `src`.
état	network.http.response_code	La valeur est extraite du champ `status` et convertie en chaîne.
résumé	metadata.description	La valeur est extraite du champ `summary`.
heure		La valeur est extraite du champ `time`, convertie en chaîne et analysée en tant qu'horodatage UNIX en millisecondes.
timestamp		La valeur est extraite du champ `timestamp` et analysée en tant qu'horodatage ISO8601 ou horodatage UNIX en millisecondes.
title	security_result.summary	La valeur est extraite du champ `title`.
triggeredComponents.ip	intermediary.ip	La valeur est extraite du champ `triggeredComponents.ip` si elle correspond au format d'adresse IP.
triggeredComponents.port	intermediary.port	La valeur est extraite du champ `triggeredComponents.port` et convertie en nombre entier.
nom d'utilisateur	principal.user.userid	La valeur est extraite du champ `username`.
	metadata.vendor_name	Variable définie sur `DARKTRACE`.
	metadata.product_name	Variable définie sur `DCIP`.
	metadata.log_type	Variable définie sur `DARKTRACE`.
	network.ip_protocol	Définie sur `TCP` si `issue_msg` ne contient pas `UDP`. Sinon, définissez-la sur `UDP`.
	security_result.action	Définie sur `BLOCK` si `status` est `401`, sinon définie sur `ALLOW`.
	security_result.severity	Variable définie sur `INFORMATIONAL`.
	network.application_protocol	Définissez sur `HTTP` si `method` n'est pas vide.
	metadata.event_type	Définissez sur `NETWORK_HTTP` si `method` n'est pas vide. Définie sur `USER_LOGIN`, si `description` contient `logged into \\\\S+ over ssh`. Définissez sur `NETWORK_CONNECTION` si `target_ip` n'est pas vide. Sinon, définissez-la sur `STATUS_UPDATE`.
	extensions.auth.type	Définie sur `MACHINE`, si `description` contient `logged into \\\\S+ over ssh`.
	security_result.category	Définie sur `DATA_EXFILTRATION`, si `issue_msg` contient `Exfiltration`. Définie sur `NETWORK_MALICIOUS`, si `issue_msg` contient `Compromise`. Sinon, définissez-la sur `NETWORK_SUSPICIOUS`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.