Raccogliere i log di Progress MOVEit Transfer
Questo documento spiega come importare i log di Progress MOVEit Transfer in Google Security Operations utilizzando Bindplane.
Progress MOVEit Transfer è una soluzione di trasferimento di file gestito (MFT) che fornisce trasferimenti di file sicuri e criptati utilizzando protocolli come HTTPS, FTPS e SFTP. Offre la registrazione delle attività di audit a prova di manomissione, controlli degli accessi basati sui ruoli e supporto per la conformità a normative tra cui HIPAA, PCI DSS e GDPR. MOVEit Transfer registra tutte le attività di trasferimento dei file, gli eventi di autenticazione degli utenti e le azioni amministrative nel suo database di controllo.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server Progress MOVEit Transfer
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso a livello di amministratore di sistema alla console di amministrazione web di Progress MOVEit Transfer
- Porta UDP 514 (o la porta syslog scelta) aperta dal server MOVEit Transfer all'host dell'agente Bindplane
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/moveit_transfer: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: IPSWITCH_MOVEIT_TRANSFER raw_log_field: body ingestion_labels: log_source: moveit_transfer service: pipelines: logs/moveit_to_chronicle: receivers: - udplog exporters: - chronicle/moveit_transfer
Parametri di configurazione
Sostituisci i seguenti segnaposto.
Configurazione dell'esportatore:
<CREDS_FILE_PATH>: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: l'ID cliente Google SecOps copiato in precedenza<REGION_ENDPOINT>: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Configurazione di esempio
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/moveit_transfer: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: IPSWITCH_MOVEIT_TRANSFER raw_log_field: body ingestion_labels: log_source: moveit_transfer service: pipelines: logs/moveit_to_chronicle: receivers: - udplog exporters: - chronicle/moveit_transfer
Salvare il file di configurazione
Dopo la modifica, salva il file:
* Linux: premi Ctrl+O, poi Enter e poi Ctrl+X
* Windows: fai clic su File > Salva
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per verificare la presenza di errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per verificare la presenza di errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura l'inoltro di syslog di Progress MOVEit Transfer
Per configurare MOVEit Transfer in modo da inoltrare le voci del log di controllo all'agente Bindplane tramite syslog:
- Accedi alla console di amministrazione web di MOVEit Transfer come utente con autorizzazioni SysAdmin.
- Vai a IMPOSTAZIONI > Sistema > Audit > Syslog. Viene visualizzata la pagina Configura impostazioni Syslog.
- Nella sezione Syslog Logging, seleziona Enabled. Se abilitata, ogni voce di log di controllo viene inviata all'host syslog specificato e al database di audit di MOVEit Transfer.
- Nel campo Host Syslog, inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane (ad esempio,
192.168.1.100). Nel campo Porta Syslog, inserisci
514. Se questo campo viene lasciato vuoto, viene ripristinata la porta predefinita514.Nel menu a discesa Syslog Facility, seleziona la funzionalità in base alla quale i messaggi syslog di MOVEit Transfer verranno visualizzati sull'host syslog remoto. Il valore predefinito è FTP. Sono disponibili le seguenti funzionalità syslog standard:
- KERN
- UTENTE
- DAEMON
- AUTH
- SYSLOG
- LPR
- NOTIZIE
- UUCP
- CRON
- AUTHPRIV
- FTP (predefinito)
- LOCAL0 - LOCAL7
Fai clic su Modifica impostazioni di logging per salvare la configurazione.
Fai clic su Invia messaggio Syslog di prova per inviare un messaggio di prova all'host dell'agente Bindplane specificato. Poiché l'implementazione di BSD Syslog si basa su UDP, verifica manualmente che il messaggio di test sia arrivato controllando i log dell'agente Bindplane.
Verifica che il messaggio di test sia stato ricevuto dall'agente Bindplane:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Requisiti del firewall
Assicurati che sia presente la seguente regola firewall per consentire il traffico syslog da MOVEit Transfer all'agente Bindplane:
| Direzione | Protocollo | Origine | Destinazione | Porta |
|---|---|---|---|---|
| In uscita da MOVEit Transfer | UDP | IP server MOVEit Transfer | IP host dell'agente Bindplane | 514 |
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| colonna1 | metadata.collected_timestamp | Convertito utilizzando i pattern di corrispondenza della data: d/M/aaaa H:mm:ss A, M/d/aaaa H:mm:ss A, MM/gg/aaaa HH:mm:ss A |
| colonna1 | metadata.event_timestamp | Convertito utilizzando i pattern di corrispondenza della data: d/M/aaaa H:mm:ss A, M/d/aaaa H:mm:ss A, MM/gg/aaaa HH:mm:ss A |
| colonna2 | security_result.action_details | Valore copiato direttamente |
| colonna3 | target.hostname, target.asset.hostname | Valore copiato direttamente dalla colonna 3 |
| column4 | principal.ip, principal.asset.ip | Estratto dalla colonna 4 utilizzando il pattern grok per l'IP |
| column6 | target.file.full_path | Concatenato da folderPath e fileName se entrambi presenti, altrimenti solo da fileName |
| column7 | target.file.full_path | |
| column15 | target.file.full_path | |
| column7 | target.user.email_addresses | Unite se colonna2 == file_sentemail |
| column10 | metadata.description | Valore copiato direttamente |
| column11 | metadata.product_event_type | Valore copiato direttamente se non è None |
| column12 | target.ip, target.asset.ip | Estratto dalla colonna 12 utilizzando il pattern grok per l'IP |
| column16 | target.file.full_path | Concatenato da folderPath e fileName se entrambi presenti, altrimenti solo da fileName |
| column23 | target.file.full_path | |
| column19 | target.user.user_display_name | Valore copiato direttamente se column2 == file_sentemail e column8 == sender, altrimenti per l'utente di destinazione |
| event_received_time | metadata.collected_timestamp | Convertito utilizzando i pattern di corrispondenza della data: UNIX_MS, gg/MM/aaaa HH:mm:ss, aaaa-MM-gg HH:mm:ss, MM/gg/aaaa HH:mm:ss A, aaaa/MM/gg HH:mm:ss, RFC3339, aaaa-MM-ggTHH:mm:ss |
| timestamp | metadata.event_timestamp | Convertito utilizzando i pattern di corrispondenza delle date: MMM d HH:mm:ss, MMM dd HH:mm:ss, ISO8601, aaaa-MM-gg HH:mm:ss, aaaa-MM-gg HH:mm:ss Z, MM/gg/aaaa HH:mm:ss A, aa-MM-gg HH:mm:ss, RFC3339, aaaa-MM-ggTHH:mm:ss |
| prin_ip | principal.ip, principal.asset.ip | Valore copiato direttamente |
| AgentVersion | metadata.product_version | Valore copiato direttamente |
| principal_host | principal.hostname, principal.asset.hostname | Valore copiato direttamente |
| Nome utente | principal.user.userid | Valore copiato direttamente |
| company_name | principal.user.company_name | Valore copiato direttamente |
| ID | target.process.pid | Valore copiato direttamente |
| InstID | metadata.product_log_id | Valore copiato direttamente |
| FileID | target.resource.attribute.labels | Unito come additional_id_2 con chiave FileID e valore da FileID |
| FolderID | target.resource.attribute.labels | Unito come additional_id_3 con la chiave FolderID e il valore di FolderID |
| FolderPath | target.file.full_path | Concatenato da FolderPath e FileName se entrambi presenti, altrimenti da FolderPath |
| FileName | target.file.full_path | |
| FileName | target.resource.attribute.labels | Unito come nome file con la chiave FileName e il valore di FileName |
| host | principal.hostname, principal.asset.hostname | Valore copiato direttamente |
| log_level | security_result.severity | Imposta su INFORMATIONAL se INFO o DEBUG, ERROR se ERROR |
| source_module_name | observer.resource.attribute.labels | Unito come source_module_label con la chiave source_module_name e il valore di source_module_name |
| source_module_type | observer.application | Valore copiato direttamente |
| log_msg | metadata.description | Valore di log_msg se http_method != GET e file_path è vuoto, altrimenti log_desc, altrimenti description, altrimenti Message |
| log_desc | metadata.description | |
| descrizione | metadata.description | |
| Messaggio | metadata.description | |
| porta | principal.port | Valore copiato direttamente, convertito in numero intero |
| tgtport | target.port | Valore copiato direttamente, convertito in numero intero |
| pacchetto | principal.process.command_line | Valore copiato direttamente |
| srcip | principal.ip, principal.asset.ip | Valore copiato direttamente |
| nome utente | principal.user.userid | Valore copiato direttamente |
| versione | metadata.product_version | Valore copiato direttamente |
| http_method | network.http.method | Valore copiato direttamente |
| azione | security_result.action_details | Valore copiato direttamente |
| riepilogo | security_result.summary | Valore copiato direttamente |
| security_result | security_result | Unito direttamente |
| tgtip | target.ip, target.asset.ip | Valore copiato direttamente |
| application_proto | network.application_protocol | In maiuscolo e copiato direttamente |
| url | network.http.referral_url | Valore copiato direttamente |
| status_code | network.http.response_code | Valore copiato direttamente, convertito in numero intero |
| file_path | principal.process.file.full_path | Valore copiato direttamente |
| file_size | principal.process.file.size | Convertito in uinteger se non è 0 |
| process_id | principal.process.pid | Valore copiato direttamente |
| session_id | network.session_id | Valore copiato direttamente |
| task_id | additional.fields | Unito come additional_field con la chiave TASK_ID e string_value da task_id |
| AgentBrand | metadata.product_event_type | Valore copiato direttamente |
| Parm1 | additional.fields | Unito come additional_field_3 con la chiave Parm1 e string_value da Parm1 |
| Parm2 | additional.fields | Unito come additional_field_4 con la chiave Parm2 e string_value da Parm2 |
| Errore | additional.fields | Unito come additional_field_5 con la chiave Error e string_value da Error |
| XFerSize | target.resource.attribute.labels | Unito come additional_field_1 con la chiave XFerSize e il valore di XFerSize |
| FolderPath | metadata.event_type | Imposta FILE_DELETION se FolderPath e action_performed corrispondono a Delete File, NETWORK_HTTP se tgtip o host e application_proto == HTTP, USER_LOGIN se Username o username, STATUS_UPDATE se tgtip o host o principal_host o IPAddress, altrimenti GENERIC_EVENT |
| tgtip | metadata.event_type | |
| host | metadata.event_type | |
| principal_host | metadata.event_type | |
| IPAddress | metadata.event_type | |
| Nome utente | metadata.event_type | |
| nome utente | metadata.event_type | |
| tgtip | metadata.event_type | Imposta USER_LOGIN se column2 == sec_signon e tgtip o tar_host, USER_LOGOUT se sec_signoff e tgtip o tar_host, FILE_UNCATEGORIZED se folder_add, FILE_CREATION se file_upload o download e tgtip e is_tgt_file_present, FILE_DELETION se file_delete e srcip e is_tgt_file_present, FILE_MODIFICATION se file_rename, FILE_UNCATEGORIZED se file_dlhashchk, EMAIL_TRANSACTION se file_sentemail e useremail, STATUS_UPDATE se srcip, altrimenti GENERIC_EVENT |
| tar_host | metadata.event_type | |
| srcip | metadata.event_type | |
| is_tgt_file_present | metadata.event_type | |
| colonna2 | metadata.event_type | |
| useremail | metadata.event_type | |
| security_result | metadata.event_type | |
| extensions.auth.type | extensions.auth.type | Impostato su MACHINE per gli eventi di accesso/uscita |
| metadata.vendor_name | metadata.vendor_name | Impostato su "IPS" |
| metadata.product_name | metadata.product_name | Imposta su "IPSWITCH MOVEIT TRANSFER" |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.