Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux DLP Endpoint Protector

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux DLP Netwrix Endpoint Protector dans Google Security Operations à l'aide de l'agent Bindplane.

Netwrix Endpoint Protector est une solution de protection contre la perte de données (DLP) qui génère des messages syslog pour le contrôle des appareils, la protection en fonction du contenu et les événements de transfert de fichiers. L'analyseur extrait les champs à l'aide de modèles grok et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Endpoint Protector
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à Netwrix Endpoint Protector

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où l'agent Bindplane sera installé.

**Remarque** : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING (En cours d'exécution).

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running) (Actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et des informations sur le dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/endpoint_protector_dlp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ENDPOINT_PROTECTOR_DLP
        raw_log_field: body

service:
    pipelines:
        logs/endpoint_protector_dlp_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/endpoint_protector_dlp

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address: adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite un accès root sous Linux ; utilisez 1514 pour un accès non root).
Configuration de l'exportateur :
- creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consultez la liste complète des points de terminaison régionaux.

Enregistrer le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog sur Netwrix Endpoint Protector

Connectez-vous à l'interface utilisateur Web Endpoint Protector.
Accédez à Appliance > SIEM Integration (Appareil > Intégration SIEM).
Cliquez sur Add New (Ajouter nouveau).
Fournissez les informations de configuration suivantes :
- SIEM Status (État SIEM) : activez le bouton bascule pour activer le serveur SIEM.
- Disable Logging (Désactiver la journalisation) : activez le bouton bascule pour activer la journalisation.
- Server Name (Nom du serveur) : saisissez un nom de serveur unique et explicite.
- Server Description (Description du serveur) : ajoutez une description pour cette intégration.
- Server IP or DNS (Adresse IP ou DNS du serveur) : saisissez l'adresse IP de l'agent Bindplane.
- Server Protocol (Protocole du serveur) : sélectionnez UDP.
- Server Port (Port du serveur) : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Exclude Headers (Exclure les en-têtes) : activez le bouton bascule pour activer les en-têtes de journal.
- Log Types (Types de journaux) : sélectionnez les journaux disponibles à envoyer au SIEM.
Cliquez sur Save (Enregistrer).

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`Client Computer`	`principal.asset.asset_id`	La valeur de `Client Computer` est attribuée à `principal.asset.asset_id` après avoir ajouté le préfixe "Client Computer : ".
`Client User`	`principal.user.userid`	La valeur de `Client User` est attribuée à `principal.user.userid`.
`Content Policy`	`security_result.rule_name`	La valeur de `Content Policy` est attribuée à `security_result.rule_name`.
`Content Policy Type`	`security_result.rule_id`	La valeur de `Content Policy Type` est attribuée à `security_result.rule_id`.
`Destination`	`metadata.ingestion_labels.value`	La valeur de `Destination` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Destination".
`Destination Type`	`metadata.ingestion_labels.value`	La valeur de `Destination Type` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Destination Type".
`Device PID`	`metadata.ingestion_labels.value`	La valeur de `Device PID` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Device PID".
`Device Serial`	`metadata.ingestion_labels.value`	La valeur de `Device Serial` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Device Serial". Cela n'est effectué que si `Device Serial` n'est pas vide.
`Device VID`	`metadata.ingestion_labels.value`	La valeur de `Device VID` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Device VID".
`File Name`	`target.file.full_path`	La valeur de `File Name` est attribuée à `target.file.full_path`.
`File Size`	`target.file.size`	La valeur de `File Size` est attribuée à `target.file.size` et convertie en entier non signé.
`IP Address`	`principal.ip`	La valeur de `IP Address` est attribuée à `principal.ip`.
`Item Details`	`metadata.ingestion_labels.value`	La valeur de `Item Details` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Item Details".
`Log ID`	`metadata.product_log_id`	La valeur de `Log ID` est attribuée à `metadata.product_log_id`.
`MAC Address`	`principal.mac`	La valeur de `MAC Address` est attribuée à `principal.mac` après avoir remplacé tous les tirets par des deux-points.
`Matched Item`	`metadata.ingestion_labels.value`	La valeur de `Matched Item` est attribuée au champ `value` d'un objet `ingestion_labels` où la `key` est "Matched Item".
`Message`	`security_result.summary`	La valeur de `Message` est attribuée à `security_result.summary`.
`OS`	`principal.platform`	La valeur de `OS` est utilisée pour déterminer la valeur de `principal.platform`. Si `OS` contient "Windows", `principal.platform` est défini sur "WINDOWS". Si `OS` contient "Mac", `principal.platform` est défini sur "MAC". Si `OS` contient "Lin", `principal.platform` est défini sur "LINUX".
`Serial Number`	`principal.asset.hardware.serial_number`	La valeur de `Serial Number` est attribuée à `principal.asset.hardware.serial_number`. Extrait du champ de message à l'aide de grok et attribué à `intermediary.hostname`. Extrait du champ de message à l'aide de grok et attribué à `metadata.description`. L'horodatage du message syslog est analysé et attribué à `metadata.event_timestamp`. La valeur "SCAN_UNCATEGORIZED" est attribuée à `metadata.event_type`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.log_type`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.product_name`. La valeur "ENDPOINT_PROTECTOR_DLP" est attribuée à `metadata.vendor_name`. Extrait du champ de message à l'aide de grok et attribué à `principal.hostname`. Extrait du champ de message à l'aide de grok et attribué à `principal.ip`. L'horodatage du message syslog est analysé et attribué au champ `timestamp` de premier niveau.

Journal des modifications

Consulter le journal des modifications de cet analyseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.