Mengumpulkan log Delinea PAM

Dokumen ini menjelaskan cara menyerap log Delinea Privileged Access Manager (PAM) ke Google Security Operations menggunakan Bindplane. Kode parser Logstash mengekstraksi data peristiwa keamanan dari log DELINEA_PAM dalam format SYSLOG atau CSV. Kemudian, menggunakan pola Grok dan penguraian CSV untuk menyusun data, memetakan kolom yang diekstrak ke Model Data Terpadu (UDM), dan terakhir menampilkan data peristiwa yang telah diubah.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps
• Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
• Jika beroperasi dari balik proxy, port firewall terbuka
• Akses istimewa ke Delinea Privileged Access Manager

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:
   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELINEA_PAM'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

5. Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi Syslog di Delinea Privilege Manager

1. Login ke UI web Delinea PAM.
2. Buka Admin > Konfigurasi > Sistem Eksternal.
3. Klik Buat di Halaman Syslog.
4. Berikan detail konfigurasi berikut:
   • Name: Masukkan nama deskriptif untuk Server.
   • Protocol: Pilih UDP (Anda juga dapat memilih TCP, bergantung pada konfigurasi agen Bindplane Anda).
   • Host: Masukkan alamat IP agen Bindplane.
   • Port: Masukkan nomor port agen Bindplane. (514 untuk UDP).
5. Klik Simpan Perubahan.

Mengonfigurasi Tugas Server SysLog di Delinea Privilege Manager

1. Buka Admin > Tasks > perluas folder Server Tasks > perluas folder Foreign Systems.
2. Pilih Syslog.
3. Klik Buat.
4. Opsi template:
   • Kirim Peristiwa Tindakan Aplikasi SysLog: Gunakan template ini untuk mengirim peristiwa tindakan aplikasi ke sistem SysLog Anda. Peristiwa Tindakan Aplikasi berisi informasi umum tentang aplikasi yang berjalan, kebijakan yang dipicu, tanggal dan stempel waktu, komputer, dan pengguna, misalnya.
   • Mengirim Peristiwa Pembenaran Aplikasi SysLog: Gunakan template ini untuk mengirim peristiwa pembenaran aplikasi ke sistem SysLog Anda. Misalnya, jika pengguna menjalankan aplikasi yang memerlukan alur kerja justifikasi.
   • Send SysLog Bad Rated Application Action Events: Gunakan template ini untuk mengirim peristiwa ke sistem SysLog Anda, saat aplikasi yang diidentifikasi dengan rating keamanan buruk sedang diinstal atau dieksekusi.
   • Kirim Peristiwa Histori Perubahan SysLog: Gunakan template ini untuk mengirim peristiwa histori perubahan ke sistem SysLog Anda. Saat dijalankan untuk pertama kalinya, tugas ini akan mengirim semua histori perubahan ke server SysLog Anda. Pada proses berikutnya, hanya delta peristiwa histori perubahan baru yang dikirim.
   • Kirim Peristiwa SysLog: Gunakan template ini untuk mengirim semua peristiwa SysLog ke sistem SysLog Anda. Peristiwa ini didasarkan pada berbagai opsi yang Anda pilih di server SysLog selama penyiapan.
   • Send SysLog Newly Discovered File Events: Gunakan template ini untuk mengirim peristiwa file yang baru ditemukan ke sistem SysLog Anda. Agar peristiwa dapat dihasilkan, Kebijakan Inventaris File Default harus diaktifkan dan jadwal penemuan resource harus disesuaikan.
   • Mengirim Peristiwa Pengungkapan Sandi SysLog: Gunakan template ini untuk mengirim semua peristiwa pengungkapan sandi ke sistem SysLog Anda.
5. Berikan detail konfigurasi berikut:
   • Template: Pilih template syslog (misalnya, Send Syslog Events untuk mengirim semua peristiwa).
   • Nama: Masukkan nama yang bermakna untuk tugas (misalnya, Anda dapat memasukkan nama yang sama dengan template yang dipilih).
   • Nama Peristiwa: Masukkan nama untuk peristiwa.
   • Keparahan Peristiwa: Masukkan nilai minimum tingkat keparahan untuk peristiwa yang akan dikirim.
   • Sistem Syslog: Pilih server agen Bindplane sistem asing Syslog yang Anda buat di langkah sebelumnya.
6. Klik Buat.

Log contoh Delinea PAM yang didukung

• SYSLOG + CSV

  2023-10-24T22:25:00.219Z DELINEA-PAM-HOST-01 CEF:0|Delinea Software|Secret Server|11.5.000002|500|System Log|7|msg=Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2+NoOpExternalBusUnavailableException[Delinea.PAM.Business.DistributedEngine.ISessionRecordingAgentResponseBusConnectionInformationProvider,Delinea.PAM.Business.Autofac.Modules.MessageQueue.SessionRecordingWorkerPublishMessageQueueModule+BusInjectionTarget]: Bus is not available because of a startup issue.   at Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2.NoOpExternalCommonBus.BasicPublish(String exchangeName, IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties, Action`1 prePublishCallback)   at Delinea.PAM.Business.Logic.MessageQueue.Buses.RoleRequestBus.BasicPublish(IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties)   at Delinea.PAM.BackgroundScheduler.Logic.Areas.SessionRecording....
  

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.