Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux iBoss Web Proxy

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux iBoss Web Proxy dans Google Security Operations à l'aide de Bindplane.

iBoss est une plate-forme SASE (Secure Access Service Edge) zéro confiance native du cloud qui fournit un accès Internet sécurisé, une passerelle Web sécurisée (SWG), des fonctionnalités CASB, ZTNA et DLP. Elle achemine le trafic via son infrastructure cloud pour appliquer des stratégies de sécurité cohérentes et protéger les utilisateurs contre les menaces, quel que soit leur emplacement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et la plate-forme cloud iBoss
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès administrateur au portail iBoss avec les autorisations nécessaires pour configurer la place de marché des intégrations

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation sous Windows

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit s'afficher comme RUNNING (En cours d'exécution).

Installation sous Linux

Ouvrez un terminal avec des droits racine ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit s'afficher comme active (running) (Actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et résoudre les problèmes, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/iboss_webproxy:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IBOSS_WEBPROXY
        raw_log_field: body
        ingestion_labels:
            log_source: iboss

service:
    pipelines:
        logs/iboss_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/iboss_webproxy

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port sur lesquels l'agent Bindplane écoute les messages Syslog entrants. Utilisez 0.0.0.0 pour écouter sur toutes les interfaces. Le port doit correspondre à celui configuré dans les paramètres de transfert Syslog iBoss.
- Si iBoss est configuré pour envoyer des journaux via TCP, remplacez le récepteur udplog par tcplog :
```
receivers:
    tcplog:
        listen_address: "0.0.0.0:514"
```
Remarque : Mettez à jour la référence du récepteur dans la section service.pipelines en conséquence.
Configuration de l'exportateur :
- <CREDS_FILE_PATH>: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <CUSTOMER_ID>: ID client Google SecOps copié précédemment.
- endpoint: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrer le fichier de configuration

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, procédez comme suit :

Exécutez la commande suivante :

sudo systemctl restart observiq-otel-collector

Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```

Recherchez les erreurs dans les journaux :

sudo journalctl -u observiq-otel-collector -f

Pour redémarrer l'agent Bindplane sous Windows, procédez comme suit :

Choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Faites un clic droit et sélectionnez Restart (Redémarrer).
Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```

Recherchez les erreurs dans les journaux :

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert Syslog iBoss

Connectez-vous au portail iBoss.
Accédez à Integration Marketplace (Place de marché des intégrations), puis sélectionnez Log Forwarding (Transfert de journaux) dans le menu de gauche et cliquez sur le bouton Configure (Configurer) associé au widget Syslog Log Forwarding (Transfert de journaux Syslog).
Cliquez sur le bouton Add Integration (Ajouter une intégration) pour ajouter l'intégration Syslog.
Fournissez les informations de configuration suivantes :
- Forward From (Transférer depuis) : sélectionnez Reporter (Rapporteur) dans le menu déroulant.
- Select Reporting Database (Sélectionner la base de données de rapports) : sélectionnez la base de données de rapports.
- Service Name (Nom du service) : saisissez un nom descriptif pour l'intégration (par exemple, SecOps-Bindplane).
- Enable Service (Activer le service) : définissez ce paramètre sur Enabled (Activé).
- Log Type (Type de journal) : sélectionnez URL dans le menu déroulant. Cela permet de capturer les journaux de trafic du proxy Web (requêtes HTTP/HTTPS). Pour transférer d'autres catégories d'événements, telles que DLP ou DNS, configurez des intégrations distinctes avec le type de journal correspondant.
- Protocol Type (Type de protocole) : sélectionnez UDP ou TCP dans le menu déroulant.
  
  Remarque : Le protocole doit correspondre au type de récepteur configuré dans le fichier config.yaml de l’agent Bindplane (udplog pour UDP, tcplog pour TCP). TCP est recommandé pour les environnements de production, car il assure une diffusion fiable et ordonnée.
- Syslog Facility Level (Niveau de fonctionnalité Syslog) : sélectionnez Facility Syslog (Fonctionnalité Syslog) dans le menu déroulant.
- Reporting Group (Groupe de rapports) : sélectionnez All (Tous) dans le menu déroulant.
- Host Name (Nom d'hôte) : saisissez l'adresse IP ou le nom de domaine complet de l'hôte de l'agent Bindplane.
- Port : saisissez le numéro de port correspondant au port listen_address dans la configuration de l’agent Bindplane (par exemple, 514).
  
  Remarque : Sous Linux, le port 514 est un port privilégié. Si l'agent Bindplane s'exécute en tant qu'utilisateur non racine, utilisez un port non privilégié (par exemple, 5514) et mettez à jour le champ Port iBoss et le listen_address Bindplane pour qu'ils correspondent.
- Log Format (Format de journal) : sélectionnez JSON dans le menu déroulant.
- Transfer Interval (Intervalle de transfert) : sélectionnez Continuous (Continu) dans le menu déroulant.
- Field Delimiter (Délimiteur de champ) : sélectionnez SPACE (ESPACE) dans le menu déroulant.
- Send DLP/Web/DNS/Malware/Audit/ConnectionError Logs (Envoyer les journaux DLP/Web/DNS/logiciels malveillants/d'audit/d'erreur de connexion) : définissez ce paramètre sur Enable (Activer) en fonction de vos préférences d'envoi de journaux.
  
  Remarque : Le bouton Send Connection Error Logs (Envoyer les journaux d'erreur de connexion) n'est visible dans l'interface utilisateur iBoss que lorsque l'option Send Web Logs (Envoyer les journaux Web) est désactivée.
- Fields to Forward (Champs à transférer) : ajoutez tous les champs, à l'exception de DLP Base64 Encoded Meta Data (Métadonnées encodées en Base64 DLP), Base64 Encoded Meta Data (Métadonnées encodées en Base64) et Chat GPT Message (Message Chat GPT).
Cliquez sur Add Service (Ajouter un service).

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
intermediary	intermediary	Informations sur un appareil ou un service intermédiaire impliqué dans l'événement.
desc	metadata.description	Description supplémentaire de l'événement.
metadata.event_type	metadata.event_type	Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION).
urlLogId	metadata.product_log_id	Identifiant unique de l'entrée de journal du produit.
requestMethod	network.http.method	Méthode HTTP utilisée dans la requête.
ref_url	network.http.referral_url	URL qui a redirigé l'utilisateur vers la page actuelle.
response_Code	network.http.response_code	Code de réponse HTTP.
user_Agent	network.http.user_agent	Chaîne d'agent utilisateur de la requête HTTP.
up_stream	network.received_bytes	Nombre d'octets reçus dans la connexion réseau.
down_stream	network.sent_bytes	Nombre d'octets envoyés dans la connexion réseau.
computerName	principal.asset.hostname	Nom d'hôte de l'actif associé au principal.
computer_Mac_Address	principal.asset.mac	Adresse MAC de l'actif associé au principal.
filtering_Group_Name	principal.group.group_display_name	Nom à afficher du groupe associé au principal.
computerName	principal.hostname	Nom d'hôte du principal.
sourceIpAddress	principal.ip	Adresse IP du principal.
pri_ip	principal.ip
pub_ip	principal.ip
mac_address	principal.mac	Adresse MAC du principal.
src_port	principal.port	Numéro de port utilisé par le principal.
file_name	principal.process.file.names	Noms des fichiers associés au processus.
username	principal.user.userid	ID utilisateur du principal.
sec_res	security_result	Résultat de l'analyse de sécurité, y compris les actions et les catégories.
host	target.hostname	Nom d'hôte de la cible.
ipAddress	target.ip	Adresse IP de la cible.
targetPort	target.port	Numéro de port de la cible.
uri_path	target.process.file.full_path	Chemin d'accès complet au fichier ou à la ressource sur la cible.
url	target.url	URL de la cible.
metadata.product_name	metadata.product_name	Nom du produit qui a généré l'événement.
metadata.vendor_name	metadata.vendor_name	Nom du fournisseur qui a créé le produit.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.