Coletar registros do PAM da Delinea

Este documento explica como ingerir registros do Delinea Privileged Access Manager (PAM) no Google Security Operations usando o Bindplane. O código do analisador do Logstash extrai dados de ocorrência de segurança dos registros DELINEA_PAM no formato SYSLOG ou CSV. Em seguida, ele usa padrões do Grok e análise de CSV para estruturar os dados, mapeia os campos extraídos para o modelo de dados unificado (UDM) e, por fim, gera os dados de eventos transformados.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Windows 2016 ou mais recente ou um host Linux com systemd
• Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
• Acesso privilegiado ao Delinea Privileged Access Manager.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELINEA_PAM'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID do cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Syslog no Delinea Privilege Manager

1. Faça login na UI da Web do Delinea PAM.
2. Acesse Administrador > Configuração > Sistemas externos.
3. Clique em Criar na página Syslog.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo para o servidor.
   • Protocolo: selecione UDP. Também é possível selecionar TCP, dependendo da configuração do agente do Bindplane.
   • Host: insira o endereço IP do agente do Bindplane.
   • Porta: digite o número da porta do agente do Bindplane. (514 para UDP).
5. Clique em Salvar alterações.

Configurar tarefas do servidor SysLog no Delinea Privilege Manager

1. Acesse Administrador > Tarefas > expanda a pasta "Tarefas do servidor" > expanda a pasta "Sistemas externos".
2. Selecione Syslog.
3. Clique em Criar.
4. Opções de modelo:
   • Enviar eventos de ação do aplicativo SysLog: use este modelo para enviar eventos de ação do aplicativo ao seu sistema SysLog. Os eventos de ação do aplicativo contêm informações genéricas sobre o aplicativo em execução, qual política foi acionada, a data e o carimbo de data/hora, o computador e o usuário, por exemplo.
   • Enviar eventos de justificativa de aplicativo SysLog: use este modelo para enviar eventos de justificativa de aplicativo ao seu sistema SysLog. Por exemplo, se um usuário executar um aplicativo que exige um fluxo de trabalho de justificativa.
   • Enviar eventos de ação de aplicativo com classificação ruim do SysLog: use este modelo para enviar um evento ao seu sistema SysLog quando um aplicativo com uma classificação de segurança ruim for instalado ou executado.
   • Enviar eventos do histórico de mudanças do SysLog: use este modelo para enviar eventos do histórico de mudanças ao seu sistema SysLog. Quando essa tarefa é executada pela primeira vez, ela envia todo o histórico de mudanças para o servidor SysLog. Nas execuções subsequentes, ele envia apenas o delta dos novos eventos do histórico de mudanças.
   • Enviar eventos do SysLog: use este modelo para enviar todos os eventos do SysLog ao seu sistema. Esses eventos são baseados nas diferentes opções selecionadas no servidor SysLog durante a configuração.
   • Enviar eventos de arquivo recém-descobertos do SysLog: use esse modelo para enviar eventos de arquivo recém-descobertos ao seu sistema SysLog. Para que isso gere eventos, a política padrão de inventário de arquivos precisa estar ativada, e os programações de descoberta de recursos precisam ser personalizadas.
   • Enviar eventos de divulgação de senha do SysLog: use este modelo para enviar todos os eventos de divulgação de senha ao seu sistema SysLog.
5. Informe os seguintes detalhes de configuração:
   • Modelo: selecione um modelo de syslog (por exemplo, Send Syslog Events para enviar todos os eventos).
   • Nome: insira um nome significativo para a tarefa. Por exemplo, você pode inserir o mesmo nome do modelo selecionado.
   • Nome do evento: insira um nome para os eventos.
   • Gravidade do evento: insira um limite de nível de gravidade para que os eventos sejam enviados.
   • Sistema Syslog: selecione o servidor estrangeiro do sistema Syslog que você criou na etapa anterior.
6. Clique em Criar.

Registros de amostra do PAM da Delinea compatíveis

• SYSLOG + CSV

  2023-10-24T22:25:00.219Z DELINEA-PAM-HOST-01 CEF:0|Delinea Software|Secret Server|11.5.000002|500|System Log|7|msg=Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2+NoOpExternalBusUnavailableException[Delinea.PAM.Business.DistributedEngine.ISessionRecordingAgentResponseBusConnectionInformationProvider,Delinea.PAM.Business.Autofac.Modules.MessageQueue.SessionRecordingWorkerPublishMessageQueueModule+BusInjectionTarget]: Bus is not available because of a startup issue.   at Delinea.PAM.Business.Autofac.Modules.MessageQueue.PublishToExternalMessageQueueModule`2.NoOpExternalCommonBus.BasicPublish(String exchangeName, IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties, Action`1 prePublishCallback)   at Delinea.PAM.Business.Logic.MessageQueue.Buses.RoleRequestBus.BasicPublish(IBasicConsumable request, Boolean persistent, IDictionary`2 customProperties)   at Delinea.PAM.BackgroundScheduler.Logic.Areas.SessionRecording....
  

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.