Collecter les journaux d'audit Entrust nShield HSM
Ce document explique comment ingérer les journaux d'audit Entrust nShield HSM dans Google Security Operations à l'aide de Bindplane.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Un hôte Windows 2016 ou version ultérieure, ou Linux avec
systemd - Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à la console de gestion Entrust nShield HSM
- Un Security World initialisé avec une fonctionnalité de journalisation d'audit
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Autres ressources d'installation
- Pour plus d'options d'installation, consultez ce guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml. Il se trouve généralement dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: udplog: # nShield HSM only supports UDP for audit logs listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Use ENTRUST_HSM as the log type log_type: 'ENTRUST_HSM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez
<customer_id>par le numéro client réel. - Mettez à jour
/path/to/ingestion-authentication-file.jsonen indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer le transfert Syslog sur Entrust nShield HSM
La méthode de configuration dépend de votre modèle de déploiement nShield HSM. La journalisation d'audit doit être activée lors de la création d'un Security World ou de l'intégration d'un HSM dans un Security World existant.
Option 1 : Configurer à l'aide de l'utilitaire config-auditlogging (recommandé)
Sur l'ordinateur client sur lequel Security World Software est installé, exécutez la commande suivante :
config-auditlogging --server <BINDPLANE_IP> --port 514 --enable-syslog- Remplacez
<BINDPLANE_IP>par l'adresse IP de l'hôte de votre agent Bindplane.
Les modifications de configuration sont écrites dans le fichier de configuration hardserver.
- Remplacez
Redémarrez le serveur matériel pour appliquer les modifications :
- Linux :
/opt/nfast/sbin/init.d-ncipher restart - Windows :
net stop "nfast server" && net start "nfast server"
- Linux :
Option 2 : Configurer via le fichier de configuration hardserver
- Modifiez le fichier de configuration hardserver :
- Linux :
/opt/nfast/kmdata/config/config - Windows :
%NFAST_KMDATA%\config\config
- Linux :
Ajoutez ou modifiez les entrées suivantes dans le fichier de configuration :
auditlog_addr=<BINDPLANE_IP> auditlog_port=514- Remplacez
<BINDPLANE_IP>par l'adresse IP de l'hôte de votre agent Bindplane.
- Remplacez
Enregistrez le fichier de configuration.
Redémarrez le serveur matériel pour appliquer les modifications :
- Linux :
/opt/nfast/sbin/init.d-ncipher restart - Windows :
net stop "nfast server" && net start "nfast server"
- Linux :
Option 3 : Configurer pour les HSM connectés au réseau (nShield Connect)
Pour les HSM connectés au réseau, vous pouvez déployer la configuration à distance :
- Assurez-vous que l'envoi de la configuration est activé sur le système de fichiers distant (RFS, Remote File System).
Copiez le fichier de configuration HSM :
cp /opt/nfast/kmdata/hsm-ESN/config/config /opt/nfast/kmdata/hsm-ESN/config/config.newModifiez
config.newpour ajouter la configuration de journalisation d'audit :[audit_logging] auditlog_addr=<BINDPLANE_IP> auditlog_port=514Déployez la configuration sur le HSM :
cfg-pushnethsm --address=<HSM_IP> /opt/nfast/kmdata/hsm-ESN/config/config.new- Remplacez
<HSM_IP>par l'adresse IP de votre HSM nShield Connect.
- Remplacez
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.