Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Delinea PAM

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Delinea Privileged Access Manager (PAM) in Google Security Operations utilizzando Bindplane. Il codice del parser Logstash estrae i dati degli eventi di sicurezza dai log DELINEA_PAM in formato SYSLOG o CSV. Utilizza quindi i pattern Grok e l'analisi CSV per strutturare i dati, mappa i campi estratti al modello di dati unificato (UDM) e infine restituisce i dati sugli eventi trasformati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso con privilegi a Delinea Privileged Access Manager

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per altre opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELINEA_PAM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog in Delinea Privilege Manager

Accedi all'interfaccia utente web di Delinea PAM.
Vai ad Amministrazione > Configurazione > Sistemi esterni.
Fai clic su Crea nella pagina Syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo per il server.
- Protocollo: seleziona UDP (puoi selezionare anche TCP, a seconda della configurazione dell'agente Bindplane).
- Host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane. (514 per UDP).
Fai clic su Salva modifiche.

Configurare le attività del server SysLog in Delinea Privilege Manager

Vai ad Amministratore > Attività > espandi la cartella Attività server > espandi la cartella Sistemi esterni.
Seleziona Syslog.
Fai clic su Crea.
Opzioni del modello:
- Invia eventi di azione dell'applicazione SysLog: utilizza questo modello per inviare eventi di azione dell'applicazione al sistema SysLog. Gli eventi Azione applicazione contengono informazioni generiche sull'applicazione in esecuzione, sulla norma attivata, sulla data e sul timestamp, sul computer e sull'utente, ad esempio.
- Invia eventi di giustificazione dell'applicazione SysLog: utilizza questo modello per inviare eventi di giustificazione dell'applicazione al sistema SysLog. Ad esempio, se un utente esegue un'applicazione che richiede un flusso di lavoro di giustificazione.
- Invia eventi di azione dell'applicazione con classificazione negativa SysLog: utilizza questo modello per inviare un evento al tuo sistema SysLog, quando viene installata o eseguita un'applicazione identificata con una classificazione di sicurezza negativa.
- Invia eventi della cronologia delle modifiche SysLog: utilizza questo modello per inviare eventi della cronologia delle modifiche al tuo sistema SysLog. Quando questo task viene eseguito per la prima volta, invia tutta la cronologia delle modifiche al server SysLog. Nelle esecuzioni successive invia solo il delta dei nuovi eventi della cronologia delle modifiche.
- Invia eventi SysLog: utilizza questo modello per inviare tutti gli eventi SysLog al tuo sistema SysLog. Questi eventi si basano sulle diverse opzioni selezionate sul server SysLog durante la configurazione.
- Invia eventi di file appena scoperti a SysLog: utilizza questo modello per inviare gli eventi di file appena scoperti al sistema SysLog. Affinché vengano generati eventi, è necessario attivare la policy di inventario dei file predefinita e personalizzare le pianificazioni di rilevamento delle risorse.
- Invia eventi di divulgazione della password SysLog: utilizza questo modello per inviare tutti gli eventi di divulgazione della password al tuo sistema SysLog.
Fornisci i seguenti dettagli di configurazione:
- Modello: seleziona un modello syslog (ad esempio, Send Syslog Events per inviare tutti gli eventi).
- Nome: inserisci un nome significativo per l'attività (ad esempio, puoi inserire lo stesso nome del modello selezionato).
- Nome evento: inserisci un nome per gli eventi.
- Gravità evento: inserisci una soglia del livello di gravità per gli eventi da inviare.
- Sistema Syslog: seleziona il server Syslog, il server agente Bindplane del sistema esterno che hai creato nel passaggio precedente.
Fai clic su Crea.

Log di esempio di Delinea PAM supportati

SYSLOG + CSV

2023-10-24T22:25:00.219Z DELINEA-PAM-HOST-01 CEF:0|Delinea Software|Secret Server|11.5.000002|500|System Log|7|msg=Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2+NoOpExternalBusUnavailableException[Delinea.PAM.Business.DistributedEngine.ISessionRecordingAgentResponseBusConnectionInformationProvider,Delinea.PAM.Business.Autofac.Modules.MessageQueue.SessionRecordingWorkerPublishMessageQueueModule+BusInjectionTarget]: Bus is not available because of a startup issue.   at Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2.NoOpExternalCommonBus.BasicPublish(String exchangeName, IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties, Action`1 prePublishCallback)   at Delinea.PAM.Business.Logic.MessageQueue.Buses.RoleRequestBus.BasicPublish(IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties)   at Delinea.PAM.BackgroundScheduler.Logic.Areas.SessionRecording....

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
CEF:0\|...\|column1	metadata.vendor_name	Estratto dalla stringa CEF, in particolare il valore dopo il primo "
CEF:0\|...\|column2	metadata.product_name	Estratto dalla stringa CEF, in particolare il valore dopo il secondo "
CEF:0\|...\|column3	metadata.product_version	Estratto dalla stringa CEF, in particolare il valore dopo il terzo "
CEF:0\|...\|column5	metadata.product_event_type	Estratto dalla stringa CEF, in particolare il valore dopo il quinto "
CEF:0\|...\|column7	security_result.description	Estratto dalla stringa CEF, in particolare il valore dopo il settimo "
%{HOSTNAME}	principal.hostname	Estratto dal messaggio di log utilizzando il pattern grok "%{HOSTNAME}".
%{TIMESTAMP_ISO8601}	metadata.event_timestamp	Estratto dal messaggio di log utilizzando il pattern grok "%{TIMESTAMP_ISO8601}".
	metadata.event_type	Impostato come hardcoded su "STATUS_UPDATE" nel codice del parser.
	metadata.log_type	Codificato come "DELINEA_PAM" nel codice del parser.
timestamp	timestamp	Il timestamp dell'evento viene analizzato dal campo "timestamp" nel log non elaborato e convertito in un formato timestamp UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.