Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Delinea Distributed Engine

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Delinea Distributed Engine dans Google Security Operations à l'aide de l'agent Bindplane.

Delinea Distributed Engine assure une connectivité sécurisée entre la plate-forme cloud Delinea et les ressources sur site. Le moteur génère des messages syslog au format CEF pour les événements de découverte, de synchronisation et opérationnels. L'analyseur extrait les champs et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le moteur distribué Delinea
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface utilisateur Web du portail Delinea

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/delinea_distributed_engine:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: DELINEA_DISTRIBUTED_ENGINE
        raw_log_field: body

service:
    pipelines:
        logs/delinea_distributed_engine_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/delinea_distributed_engine

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 5145 est le port syslog configuré (ajustez-le si nécessaire).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer Delinea syslog

Connectez-vous à l'interface utilisateur Web du portail Delinea.
Accédez à Admin > Application.
Cliquez sur le bouton Modifier.
Cochez la case Enable Syslog/CEF Log Output (Activer la sortie des journaux Syslog/CEF). Une section "Syslog" s'affiche.
Saisissez l'adresse IP de l'agent Bindplane.
Saisissez le numéro de port de l'agent Bindplane.
Cliquez sur le menu Protocole, puis sélectionnez TCP.
Cliquez pour sélectionner Liste des fuseaux horaires vers l'heure UTC ou Heure du serveur, selon votre préférence.
Cliquez sur le menu Site pour sélectionner le site associé sur lequel Syslog/CEF s'exécutera.
(Facultatif) Sélectionnez Écrire les journaux système en tant qu'événements Windows pour écrire les audits et les abonnements aux événements dans le journal des événements Windows.
Cliquez sur Enregistrer.

Configurer le niveau de journalisation pour les moteurs distribués

Connectez-vous à l'interface utilisateur Web du portail Delinea.
Accédez à Admin > Distributed Engine.
Cliquez sur l'icône à trois points au-dessus du moteur concerné, puis sélectionnez Afficher les paramètres.
Sélectionnez le menu Niveau de consignation, puis Info.
Cliquez sur OK.

Exemples de journaux Delinea Distributed Engine compatibles

SYSLOG (format propriétaire Delinea)

2024-09-26 21:14:27,369 [CID:] [C:] [TID:PriorityScheduler Elastic Thread @ Normal] INFO Thycotic.DE.Feature.SS.LocalAccountDiscovery.Areas.Discovery.LocalAccountConsumer - server-dummy-01: Send Local Account Results Count: 0 - (null)

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`ACTION`	`security_result.action`	Si `ACTION_CODE` est défini sur "1", définissez-le sur "ALLOW". Sinon, si `ACTION_CODE` n'est pas vide, définissez-le sur "BLOCK". Sinon, la valeur par défaut est "UNKNOWN_ACTION" (ACTION_INCONNUE) à partir d'un point antérieur de l'analyseur.
`ACTION_CODE`	`security_result.action`	Utilisé dans la logique pour déterminer `security_result.action`.
`APP_NAME`	`network.http.user_agent`	Mappé directement.
`BYTES_RECVD`	`network.received_bytes`	Mappé directement, converti en entier non signé.
`BYTES_SENT`	`network.sent_bytes`	Mappé directement, converti en entier non signé.
`CLOUDGENIX_HOST`	`principal.hostname`	Mappé directement si le champ `NAME` est vide. Utilisé comme nom d'hôte intermédiaire si `NAME` est présent.
`CODE`	`metadata.product_event_type`	Concaténé avec `FACILITY` pour former `metadata.product_event_type`. Également utilisé pour déterminer `metadata.event_type` (par exemple, si `CODE` contient "DOWN", `metadata.event_type` est défini sur "STATUS_SHUTDOWN").
`DESTINATION_ZONE_NAME`	`about.labels`	Mappé directement en tant que libellé avec la clé "DESTINATION_ZONE_NAME".
`DEVICE_TIME`	`metadata.event_timestamp`	Directement mappée après avoir été analysée en tant que date.
`DST_INTERFACE`	`target.hostname`	Mappé directement.
`DST_IP`	`target.ip`	Mappé directement.
`DST_PORT`	`target.port`	Mappé directement, converti en entier.
`ELEMENT_ID`	`about.labels`	Mappé directement en tant que libellé avec la clé "ELEMENT_ID".
`EVENT_TIME`	`metadata.event_timestamp`	Directement mappée après avoir été analysée en tant que date.
`FACILITY`	`metadata.product_event_type`	Concaténé avec `CODE` pour former `metadata.product_event_type`.
`FLOW_EVENT`	`security_result.summary`	Utilisé dans la chaîne `security_result.summary`.
`IDENTIFIER`	`about.labels`	Directement mappé en tant que libellé avec la clé "IDENTIFIER".
`ION_HOST`	`principal.hostname`	Mappé directement si les champs `CLOUDGENIX_HOST` et `NAME` sont vides.
`MSG`	`metadata.description`	Mappé directement. Également utilisé pour la correspondance des expressions régulières afin de déterminer `metadata.event_type` et d'extraire `target.ip`.
`NAME`	`principal.hostname`	Mappé directement. Si elle est présente, `CLOUDGENIX_HOST` devient `intermediary.hostname`.
`PROCESS_NAME`	`principal.process.file.full_path`	Mappé directement.
`PROTOCOL_NAME`	`network.ip_protocol`	Mappé directement et converti en majuscules.
`REMOTE_HOSTNAME`	`target.hostname`	Mappé directement.
`REMOTE_IP`	`target.ip`	Mappé directement.
`RULE_NAME`	`security_result.rule_name`	Mappé directement.
`SEVERITY`	`security_result.severity`, `security_result.severity_details`	Associé à `security_result.severity_details`. Il est également utilisé pour déterminer `security_result.severity` (par exemple, si `SEVERITY` est "minor", `security_result.severity` est défini sur "LOW").
`SOURCE_ZONE_NAME`	`about.labels`	Mappé directement en tant qu'étiquette avec la clé "SOURCE_ZONE_NAME".
`SRC_INTERFACE`	`principal.hostname`	Mappé directement.
`SRC_IP`	`principal.ip`	Mappé directement.
`SRC_PORT`	`principal.port`	Mappé directement, converti en entier.
`VPN_LINK_ID`	`target.resource.id`	Mappé directement.
(Logique de l'analyseur)	`is_alert`	Définissez sur "true" si `log_type` est "alert" ou "alarm".
(Logique de l'analyseur)	`is_significant`	Définissez sur "true" si `log_type` est "alert" ou "alarm".
(Logique de l'analyseur)	`metadata.event_type`	Déterminé par une série d'instructions conditionnelles basées sur les valeurs de `CODE`, `MSG`, `src_ip` et `dest_ip`. La valeur par défaut est "GENERIC_EVENT".
(Logique de l'analyseur)	`metadata.log_type`	Définissez-le sur "CLOUDGENIX_SDWAN".
(Logique de l'analyseur)	`metadata.product_event_type`	La valeur par défaut est la concaténation de `CODE` et `FACILITY`. Définissez la valeur sur "cgxFlowLogV1" pour les journaux de flux.
(Logique de l'analyseur)	`metadata.product_name`	Définissez-le sur "CloudGenix SD-WAN".
(Logique de l'analyseur)	`metadata.vendor_name`	Défini sur "Palo Alto Networks".
(Logique de l'analyseur)	`principal.process.pid`	Définissez la valeur de `pid` à partir du journal brut pour les journaux de flux.
(Logique de l'analyseur)	`security_result.action`	La valeur par défaut est "UNKNOWN_ACTION".
(Logique de l'analyseur)	`security_result.severity`	La valeur par défaut est "UNKNOWN_SEVERITY". Définissez en fonction de la valeur de `SEVERITY`. Définissez-le sur "INFORMATIONAL" pour les journaux de flux.
(Logique de l'analyseur)	`security_result.summary`	Définissez la valeur de `CODE` pour les messages syslog. Définissez une chaîne descriptive incluant `FLOW_EVENT`, `SRC_IP` et `DST_IP` pour les journaux de flux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.