Collecter les journaux IBM Guardium

Compatible avec :

Ce document explique comment ingérer des journaux IBM Guardium dans Google Security Operations à l'aide de Bindplane.

IBM Guardium est une plate-forme de surveillance de l'activité des bases de données et de protection des données qui fournit une surveillance, un audit et une protection en temps réel pour les bases de données et les systèmes de fichiers. Guardium propose des fonctionnalités d'évaluation des failles, de découverte et de classification des données, de surveillance de l'activité des bases de données et de création de rapports de conformité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et le collecteur IBM Guardium
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à l'interface de ligne de commande IBM Guardium
  • IBM Guardium version 9.1 ou ultérieure pour la compatibilité avec Syslog chiffré (facultatif)

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/guardium:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: GUARDIUM
    raw_log_field: body
    ingestion_labels:
      log_source: guardium

service:
  pipelines:
    logs/guardium_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/guardium

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • Utilisez udplog pour le syslog UDP (le plus courant pour Guardium).
    • Utilisez tcplog pour le syslog TCP, si nécessaire.
    • L'adresse d'écoute 0.0.0.0:514 écoute sur toutes les interfaces sur le port 514.

  • Configuration de l'exportateur :

    • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
      • Linux : /etc/bindplane-agent/ingestion-auth.json
      • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id : ID client de l'étape précédente.
    • endpoint : URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe : europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    • log_type : doit être GUARDIUM.
    • ingestion_labels : libellés facultatifs au format YAML.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog IBM Guardium

Configurer la destination syslog via la CLI

Pour créer une destination syslog pour les événements sur IBM Guardium, vous devez vous connecter à l'interface de ligne de commande et définir l'adresse IP de l'hôte de l'agent Bindplane.

  1. À l'aide de SSH, connectez-vous à IBM Guardium Collector en tant qu'utilisateur de CLI.

  2. Saisissez les commandes suivantes pour configurer la destination syslog :

    • Pour UDP syslog (recommandé) :

      store remotelog add non_encrypted daemon.all BINDPLANE_AGENT_IP udp

    • Pour le syslog TCP :

      store remotelog add non_encrypted daemon.all BINDPLANE_AGENT_IP:514 tcp

    • Pour des niveaux de gravité spécifiques :

      store remotelog add non_encrypted daemon.alert BINDPLANE_AGENT_IP udp
store remotelog add non_encrypted daemon.err BINDPLANE_AGENT_IP udp
store remotelog add non_encrypted daemon.warning BINDPLANE_AGENT_IP udp
      • Remplacez BINDPLANE_AGENT_IP par l'adresse IP de l'hôte sur lequel l'agent Bindplane est installé.

  3. Vérifiez la configuration en exécutant la commande suivante :

    show remotelog

    Le résultat doit afficher la destination syslog distante que vous avez configurée.

Configurer Syslog chiffré (facultatif)

Si vous avez besoin de transférer des messages syslog chiffrés, IBM Guardium version 9.1 et ultérieure est compatible avec le chiffrement TLS sur TCP.

  1. Obtenez le certificat public au format PEM auprès de l'autorité de certification utilisée par votre récepteur syslog à distance.
  2. Connectez-vous à la CLI sur le collecteur Guardium.

  3. Tapez la commande suivante :

    store remotelog add encrypted daemon.all BINDPLANE_AGENT_IP:6514 tcp

  4. Lorsque vous y êtes invité, collez le certificat CA au format PEM, y compris les lignes BEGIN et END, puis appuyez sur Ctrl+D.

  5. Guardium stocke le certificat sous le nom /etc/pki/rsyslog/ca.pem.

Configurer un modèle de message (facultatif)

Guardium est compatible avec plusieurs formats de message, y compris CEF (Common Event Format) et LEEF (Log Event Extended Format). Le format par défaut convient à la plupart des déploiements.

Pour personnaliser le modèle de message :

  1. Connectez-vous à l'interface utilisateur graphique de l'appliance Guardium en tant qu'utilisateur disposant de droits d'administrateur.
  2. Accédez à Console d'administration > Configuration > Profil global.
  3. Dans la section Modèle de message, modifiez le modèle au format de votre choix.
  4. Cliquez sur Enregistrer.

Configurer une règle pour envoyer des alertes à syslog

Les règles d'IBM Guardium sont responsables de la réaction aux événements et du transfert des informations sur les événements au récepteur syslog distant.

Configurer l'action d'alerte de la règle

  1. Connectez-vous à l'interface utilisateur graphique de l'appliance Guardium.
  2. Cliquez sur l'onglet Outils.
  3. Dans le panneau de navigation de gauche, sélectionnez Créateur de règles.
  4. Dans le volet Outil de recherche de règles, sélectionnez une règle existante, puis cliquez sur Modifier les règles.
  5. Cliquez sur Modifier cette règle individuellement.
  6. La définition de la règle d'accès s'affiche.
  7. Cliquez sur Ajouter une action.
  8. Dans la liste Action, sélectionnez l'un des types d'alertes suivants :
    • Alerte par correspondance : une notification est envoyée pour chaque cas de non-respect des règles.
    • Alerte quotidienne : une notification est envoyée la première fois qu'un cas de non-respect des règles se produit au cours de la journée.
    • Alerte unique par session : une notification est envoyée pour chaque non-respect des règles lors d'une session unique.
    • Alerte par précision temporelle : une notification est envoyée pour chaque période sélectionnée.
  9. Dans la liste Modèle de message, sélectionnez le modèle requis ou conservez Par défaut.
  10. Dans Type de notification, sélectionnez SYSLOG.
  11. Cliquez sur Ajouter, puis sur Appliquer.
  12. Cliquez sur Enregistrer.
  13. Répétez cette procédure pour toutes les règles du règlement que vous souhaitez transférer à l'équipe Google SecOps.

Installer la règle

Toute règle nouvelle ou modifiée dans IBM Guardium doit être installée avant que les actions d'alerte ou les modifications de règles mises à jour puissent avoir lieu.

  1. Cliquez sur l'onglet Console d'administration.
  2. Dans le menu de navigation de gauche, sélectionnez Configuration> Installation des règles.
  3. Dans le volet Installateur de règles, sélectionnez la règle que vous avez modifiée à l'étape précédente.
  4. Dans la liste déroulante, sélectionnez Installer et remplacer.
  5. Une confirmation s'affiche pour installer la règle sur tous les moteurs d'inspection.
  6. Cliquez sur OK.

Table de mappage UDM

Champ de journal Mappage UDM Logique
deviceNtDomain about.administrative_domain Domaine administratif de l'entité "À propos"
deviceExternalId about.asset.asset_id Identifiant de l'élément
filePath, fileHash about.file.full_path Chemin d'accès complet au fichier
_hash, fileHash about.file.sha256 Hachage SHA256 du fichier
fsize about.file.size Taille du fichier
dvchost about.hostname Nom d'hôte de l'entité "À propos"
dvc about.ip Adresse IP de l'entité "À propos"
smac, dmac, dvcmac about.mac Adresse MAC de l'entité "À propos"
deviceProcessName, Subject, Emne, Path about.process.command_line Ligne de commande du processus
dvcpid about.process.pid ID du processus
filePermission about.resource.attribute.permissions Autorisations associées à la ressource
extensions.auth.type Type d'authentification
sender_ip intermediary.ip Adresse IP de l'intermédiaire
intermédiaire Informations sur l'entité intermédiaire
Reçu, Généré, horodatage metadata.collected_timestamp Code temporel de la collecte de l'événement
msg, signature_name metadata.description Description de l'événement
metadata.event_type Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION)
device_event_class_id, event_name, eventType metadata.product_event_type Type d'événement spécifique au produit
externalId metadata.product_log_id Identifiant du journal du produit
metadata.product_version Version du produit
network.application_protocol Protocole d'application utilisé dans la connexion réseau
deviceDirection network.direction Sens du trafic réseau
requestMethod network.http.method Méthode HTTP utilisée dans la requête
requestClientApplication network.http.user_agent Chaîne user-agent de la requête HTTP
proto network.ip_protocol Protocole IP utilisé
dans network.received_bytes Nombre d'octets reçus
interprétés. network.sent_bytes Nombre d'octets envoyés
session_id network.session_id Identifiant de session pour la connexion réseau
sntdom, Domain, Domene principal.administrative_domain Domaine administratif du mandant
sourceServiceName, source_program principal.application Application associée au principal
prin_host, Device_name, Enhetsnavn, shost, principal_hostname, client_hostname principal.asset.hostname Nom d'hôte de l'élément principal
sender_ip, src_ip, src, principal_ip, client_ip principal.asset.ip Adresse IP de l'actif principal
Group_name, Gruppenavn principal.group.group_display_name Nom à afficher du groupe principal
prin_host, Device_name, Enhetsnavn, shost, principal_hostname, client_hostname principal.hostname Nom d'hôte du principal
sender_ip, src_ip, src, principal_ip, client_ip principal.ip Adresse IP du principal
smac principal.mac Adresse MAC du responsable
sourceTranslatedAddress principal.nat_ip Adresse IP NAT du principal
sourceTranslatedPort principal.nat_port Port NAT du principal
spt, client_port principal.port Port utilisé par le principal
sproc principal.process.command_line Ligne de commande du processus principal
spid principal.process.pid ID du processus du principal
spriv principal.user.attribute.roles Rôles associés à l'utilisateur principal
suser, usrName, CustomerName principal.user.user_display_name Nom à afficher de l'utilisateur principal
dbUser, usrName, db_user, os_user, suid, db_username principal.user.userid ID utilisateur du principal
security_result Détails des résultats de sécurité
security_result.action Action effectuée dans le résultat de sécurité
act, Action_Taken security_result.action_details Détails de l'action entreprise
cat security_result.category_details Détails de la catégorie du résultat de sécurité
msg_data_2, alert_description, Type, Scan_Type security_result.description Description du résultat de sécurité
operation_label, operasjon_label, permission_label, tillatelse_label, infection_channel_label, spyware_Grayware_Type_label, threat_probability_label security_result.detection_fields Champs utilisés pour la détection dans le résultat de sécurité
mwProfile, alert_name security_result.rule_name Nom de la règle ayant déclenché le résultat de sécurité
severity, event_severity security_result.severity Niveau de gravité du résultat de sécurité
reason, ruleDesc, appcategory, Result security_result.summary Résumé du résultat de sécurité
Spyware, Virus_Malware_Name, Unknown_Threat security_result.threat_name Nom de la menace détectée
oldFilePath src.file.full_path Chemin d'accès complet au fichier source
oldFileSize src.file.size Taille du fichier source
oldFilePermission src.resource.attribute.permissions Autorisations de la ressource source
os_user src.user.userid ID utilisateur de l'utilisateur source
dntdom target.administrative_domain Domaine administratif de la cible
destinationServiceName, service_name target.application Application associée à la cible
prin_host, dest_host, server_hostname target.asset.hostname Nom d'hôte de l'élément cible
dst_ip, dest_ip, server_ip, IPv6_Address target.asset.ip Adresse IP de l'élément cible
temp_dhost, dest_host, server_hostname target.hostname Nom d'hôte de la cible
dst_ip, dst, dest_ip, server_ip, IPv6_Address target.ip Adresse IP de la cible
dmac target.mac Adresse MAC de la cible
destinationTranslatedAddress target.nat_ip Adresse IP NAT de la cible
destinationTranslatedPort target.nat_port Port NAT de la cible
dpt, dstPort, dest_port, server_port target.port Port utilisé par la cible
dproc, full_sql target.process.command_line Ligne de commande du processus cible
File_name, Object, Objekt, Infected_Resource target.process.file.full_path Chemin d'accès complet au fichier du processus cible
dpid, full_sql_id target.process.pid ID du processus de la cible
session_start target.resource.attribute.creation_time Heure de création de la ressource cible
additional_environment_name, additional_db_protocol_version, additional_dbProtocolVersion, additional_operation_name, additional_signature_id, resource_Type_label target.resource.attribute.labels Libellés associés à la ressource cible
session_end target.resource.attribute.last_update_time Heure de la dernière mise à jour de la ressource cible
db_name, database_name target.resource.name Nom de la ressource cible
db_type, server_type target.resource.resource_subtype Sous-type de la ressource cible
target.resource.resource_type Type de la ressource cible
request target.url URL associée à la cible
dpriv, roles target.user.attribute.roles Rôles associés à l'utilisateur cible
temp_duser, CustomerName target.user.user_display_name Nom à afficher de l'utilisateur cible
temp_duid, User, Bruker, db_username target.user.userid ID utilisateur de la cible
metadata.product_name Nom du produit
metadata.vendor_name Nom du fournisseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.