Delinea Distributed Engine 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Delinea Distributed Engine 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Delinea Distributed Engine은 Delinea 클라우드 플랫폼과 온프레미스 리소스 간에 보안 연결을 제공합니다. 엔진은 탐색, 동기화, 작업 이벤트에 대해 CEF 형식으로 syslog 메시지를 생성합니다. 파서는 필드를 추출하여 통합 데이터 모델 (UDM)에 매핑합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 Delinea Distributed Engine 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Delinea 포털 웹 UI에 대한 권한 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:5145" exporters: chronicle/delinea_distributed_engine: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: DELINEA_DISTRIBUTED_ENGINE raw_log_field: body service: pipelines: logs/delinea_distributed_engine_to_chronicle: receivers: - tcplog exporters: - chronicle/delinea_distributed_engine
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.0.0.0.0: 모든 인터페이스에서 수신 대기 (권장)- 포트
5145은 구성된 syslog 포트입니다 (필요에 따라 조정).
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 콘솔에서 복사한 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Delinea syslog 구성
- Delinea 포털 웹 UI에 로그인합니다.
- 관리 > 애플리케이션으로 이동합니다.
- 수정 버튼을 클릭합니다.
- Syslog/CEF 로그 출력 사용 설정 체크박스를 클릭합니다. Syslog 섹션이 표시됩니다.
- Bindplane 에이전트 IP 주소를 입력합니다.
- Bindplane 에이전트 포트 번호를 입력합니다.
- 프로토콜 메뉴를 클릭하고 TCP를 선택합니다.
- 기호에 따라 시간대 목록을 UTC 시간으로 또는 서버 시간을 선택합니다.
- 사이트 메뉴를 클릭하여 Syslog/CEF가 실행될 관련 사이트를 선택합니다.
- (선택사항) 감사를 Windows 이벤트 로그에 작성하고 이벤트 구독을 작성하려면 Syslog를 Windows 이벤트로 작성을 선택합니다.
- 저장을 클릭합니다.
분산 엔진의 로그 수준 구성
- Delinea 포털 웹 UI에 로그인합니다.
- 관리자 > 분산 엔진으로 이동합니다.
- 관련 엔진 위의 점 3개 아이콘을 클릭하고 설정 표시를 선택합니다.
- 로그 수준 메뉴를 선택하고 정보를 선택합니다.
- 확인을 클릭합니다.
지원되는 Delinea Distributed Engine 샘플 로그
SYSLOG (Delinea 독점 형식)
2024-09-26 21:14:27,369 [CID:] [C:] [TID:PriorityScheduler Elastic Thread @ Normal] INFO Thycotic.DE.Feature.SS.LocalAccountDiscovery.Areas.Discovery.LocalAccountConsumer - server-dummy-01: Send Local Account Results Count: 0 - (null)
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
ACTION |
security_result.action |
ACTION_CODE이(가) '1'이면 'ALLOW'(허용)로 설정합니다. 그 외의 경우 ACTION_CODE이 비어 있지 않으면 'BLOCK'으로 설정합니다. 그렇지 않으면 파서의 이전 부분에서 'UNKNOWN_ACTION'이 기본값으로 설정됩니다. |
ACTION_CODE |
security_result.action |
security_result.action를 결정하는 로직에 사용됩니다. |
APP_NAME |
network.http.user_agent |
직접 매핑됩니다. |
BYTES_RECVD |
network.received_bytes |
직접 매핑되며 부호 없는 정수로 변환됩니다. |
BYTES_SENT |
network.sent_bytes |
직접 매핑되며 부호 없는 정수로 변환됩니다. |
CLOUDGENIX_HOST |
principal.hostname |
NAME 필드가 비어 있으면 직접 매핑됩니다. NAME이 있는 경우 중간 호스트 이름으로 사용됩니다. |
CODE |
metadata.product_event_type |
FACILITY와 연결되어 metadata.product_event_type을 형성합니다. metadata.event_type를 결정하는 데도 사용됩니다 (예: CODE에 'DOWN'이 포함된 경우 metadata.event_type이 'STATUS_SHUTDOWN'으로 설정됨). |
DESTINATION_ZONE_NAME |
about.labels |
키가 'DESTINATION_ZONE_NAME'인 라벨로 직접 매핑됩니다. |
DEVICE_TIME |
metadata.event_timestamp |
날짜로 파싱된 후 직접 매핑됩니다. |
DST_INTERFACE |
target.hostname |
직접 매핑됩니다. |
DST_IP |
target.ip |
직접 매핑됩니다. |
DST_PORT |
target.port |
직접 매핑되고 정수로 변환됩니다. |
ELEMENT_ID |
about.labels |
키가 'ELEMENT_ID'인 라벨로 직접 매핑됩니다. |
EVENT_TIME |
metadata.event_timestamp |
날짜로 파싱된 후 직접 매핑됩니다. |
FACILITY |
metadata.product_event_type |
CODE와 연결되어 metadata.product_event_type을 형성합니다. |
FLOW_EVENT |
security_result.summary |
security_result.summary 문자열의 일부로 사용됩니다. |
IDENTIFIER |
about.labels |
키가 'IDENTIFIER'인 라벨로 직접 매핑됩니다. |
ION_HOST |
principal.hostname |
CLOUDGENIX_HOST 및 NAME 필드가 비어 있으면 직접 매핑됩니다. |
MSG |
metadata.description |
직접 매핑됩니다. metadata.event_type를 확인하고 target.ip를 추출하기 위한 정규식 일치에도 사용됩니다. |
NAME |
principal.hostname |
직접 매핑됩니다. 있는 경우 CLOUDGENIX_HOST가 intermediary.hostname이 됩니다. |
PROCESS_NAME |
principal.process.file.full_path |
직접 매핑됩니다. |
PROTOCOL_NAME |
network.ip_protocol |
직접 매핑되고 대문자로 변환됩니다. |
REMOTE_HOSTNAME |
target.hostname |
직접 매핑됩니다. |
REMOTE_IP |
target.ip |
직접 매핑됩니다. |
RULE_NAME |
security_result.rule_name |
직접 매핑됩니다. |
SEVERITY |
security_result.severity, security_result.severity_details |
security_result.severity_details에 매핑됩니다. security_result.severity를 결정하는 데도 사용됩니다 (예: SEVERITY이 '미성년자'인 경우 security_result.severity이 '낮음'으로 설정됨). |
SOURCE_ZONE_NAME |
about.labels |
키가 'SOURCE_ZONE_NAME'인 라벨로 직접 매핑됩니다. |
SRC_INTERFACE |
principal.hostname |
직접 매핑됩니다. |
SRC_IP |
principal.ip |
직접 매핑됩니다. |
SRC_PORT |
principal.port |
직접 매핑되고 정수로 변환됩니다. |
VPN_LINK_ID |
target.resource.id |
직접 매핑됩니다. |
| (파서 로직) | is_alert |
log_type이 'alert' 또는 'alarm'인 경우 true로 설정됩니다. |
| (파서 로직) | is_significant |
log_type이 'alert' 또는 'alarm'인 경우 true로 설정됩니다. |
| (파서 로직) | metadata.event_type |
CODE, MSG, src_ip, dest_ip 값을 기반으로 한 일련의 조건문에 따라 결정됩니다. 기본값은 'GENERIC_EVENT'입니다. |
| (파서 로직) | metadata.log_type |
'CLOUDGENIX_SDWAN'으로 설정됩니다. |
| (파서 로직) | metadata.product_event_type |
기본값은 CODE와 FACILITY의 연결입니다. 흐름 로그의 경우 'cgxFlowLogV1'로 설정합니다. |
| (파서 로직) | metadata.product_name |
'CloudGenix SD-WAN'으로 설정됩니다. |
| (파서 로직) | metadata.vendor_name |
'Palo Alto Networks'로 설정됩니다. |
| (파서 로직) | principal.process.pid |
흐름 로그의 원시 로그에서 pid 값으로 설정됩니다. |
| (파서 로직) | security_result.action |
기본값은 'UNKNOWN_ACTION'입니다. |
| (파서 로직) | security_result.severity |
기본값은 'UNKNOWN_SEVERITY'입니다. SEVERITY 값에 따라 설정합니다. 흐름 로그의 경우 'INFORMATIONAL'로 설정합니다. |
| (파서 로직) | security_result.summary |
syslog 메시지의 CODE 값을 기반으로 설정됩니다. 흐름 로그의 경우 FLOW_EVENT, SRC_IP, DST_IP를 포함하는 설명 문자열로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.