Recopila registros de Ivanti Connect Secure (Pulse Secure)

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Ivanti Connect Secure (Pulse Secure) a Google Security Operations con Bindplane.

Ivanti Connect Secure (anteriormente Pulse Secure) es una solución de VPN SSL que proporciona acceso remoto seguro a aplicaciones, recursos y redes empresariales. Es compatible con la autenticación de varios factores, la verificación de cumplimiento de extremos y las políticas de acceso detalladas para trabajadores remotos y socios. Nota: Ivanti adquirió Pulse Secure en 2020. El analizador extrae campos de los registros con formato syslog de la VPN de Pulse Secure. Utiliza grok para analizar el mensaje de registro y, luego, asigna estos valores al modelo de datos unificado (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso con privilegios a la consola de administración de Ivanti Connect Secure (Pulse Secure)

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  • Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PULSE_SECURE_VPN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parámetros de configuración

  • Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • udplog: Usa udplog para el registro del sistema UDP o tcplog para el registro del sistema TCP.
      • 0.0.0.0: Dirección IP en la que se realizará la escucha (0.0.0.0 para escuchar en todas las interfaces)
      • 514: Número de puerto en el que se debe escuchar (puerto syslog estándar)

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID de cliente de la sección Obtén el ID de cliente
      • endpoint: URL del extremo regional:
        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.
      • log_type: Tipo de registro tal como aparece en Chronicle (PULSE_SECURE_VPN)

Guarda el archivo de configuración

  • Después de editarlo, guarda el archivo:
    • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
    • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica que el servicio esté en ejecución:

        sudo systemctl status observiq-otel-collector

    2. Revisa los registros en busca de errores:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:

    • Símbolo del sistema o PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.

      3. Haz clic con el botón derecho y selecciona Reiniciar.

      4. Verifica que el servicio esté en ejecución:

        sc query observiq-otel-collector

      5. Revisa los registros en busca de errores:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de Syslog en Ivanti Connect Secure (Pulse Secure)

  1. Accede a la consola del administrador de Ivanti Connect Secure (anteriormente Pulse Secure).
  2. Ve a System > Log/Monitoring > Syslog Servers.
  3. Haz clic en Servidor nuevo para agregar un servidor syslog.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre o IP del servidor: Ingresa la dirección IP del host del agente de Bindplane.
    • Puerto del servidor: Ingresa 514.
    • Facility: Selecciona LOCAL0 (o la instalación que prefieras).
    • Tipo: Selecciona UDP.
  5. En la sección Filtro de eventos, selecciona los tipos de eventos que deseas reenviar:
    • Estándar: Para el formato syslog estándar
  6. Selecciona las categorías de registro:
    • Eventos: Selecciona Registros de acceso del usuario, Registros de administrador y Eventos de sensores.
    • Niveles de gravedad: Selecciona Info y niveles superiores para obtener registros completos.
  7. Haz clic en Guardar cambios.
  8. Para verificar que se envíen los mensajes de syslog, consulta los registros del agente de Bindplane.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acción security_result.action_details Se asigna directamente desde el campo de acción.
aplicación principal.application Se asigna directamente desde el campo de la aplicación.
bytes_read network.received_bytes Se asigna directamente desde el campo bytes_read y se convierte en un número entero sin signo.
bytes_written network.sent_bytes Se asigna directamente desde el campo bytes_written y se convierte en un número entero sin signo.
client_host principal.hostname, principal.asset.hostname Se asigna directamente desde el campo client_host.
cmd principal.process.command_line Se asigna directamente desde el campo cmd.
connection_status security_result.detection_fields.value.string_value Se asigna directamente desde el campo connection_status.
data_time metadata.event_timestamp.seconds Se analiza a partir del campo data_time con varios formatos de marca de tiempo (MM-dd-aaaa HH:mm:ss Z, RFC 3339, ISO8601, MMM d HH:mm:ss, MMM d HH:mm:ss).
devname principal.hostname, principal.asset.hostname Se asigna directamente desde el campo devname.
dstip target.ip, target.asset.ip Se asigna directamente desde el campo dstip.
dstport target.port Se asigna directamente desde el campo dstport y se convierte en un número entero.
dstcountry target.location.country_or_region Se asigna directamente desde el campo dstcountry si no está reservado o vacío.
duración network.session_duration.seconds Se asigna directamente desde el campo de duración y se convierte en un número entero.
dvc intermediary.hostname o intermediary.ip Si el campo dvc se puede convertir en una dirección IP, se asigna a intermediary.ip. De lo contrario, se asigna a intermediary.hostname.
dvc_hostname intermediary.hostname, principal.hostname, principal.asset.hostname o intermediary.ip, principal.ip, principal.asset.ip Si el campo dvc_hostname se puede convertir en una dirección IP, se asigna a los campos de IP respectivos. De lo contrario, se asigna a los campos de nombre de host respectivos.
event_type metadata.product_event_type Se asigna directamente desde el campo event_type.
failure_reason security_result.description Se asigna directamente desde el campo failure_reason. Si el mensaje contiene "porque el host", el texto "host" se antepone al motivo del error.
has_principal event.idm.read_only_udm.principal (presencia) Se establece como "verdadero" si se completó algún campo principal; de lo contrario, se establece como "falso". Se deriva de la lógica del analizador.
has_target event.idm.read_only_udm.target (presencia) Se establece como "true" si se completó algún campo de destino; de lo contrario, se establece como "false". Se deriva de la lógica del analizador.
has_target_user event.idm.read_only_udm.target.user.userid (presencia) Se establece en "true" si se completó target.user.userid; de lo contrario, se establece en "false". Se deriva de la lógica del analizador.
host_ip principal.ip, principal.asset.ip Se asigna directamente desde el campo host_ip.
host_mac principal.mac Se asigna directamente desde el campo host_mac, reemplazando los guiones por dos puntos.
http_method network.http.method Se asigna directamente desde el campo http_method.
http_response network.http.response_code Se asigna directamente desde el campo http_response y se convierte en un número entero.
info_desc about.labels.value Se asigna directamente desde el campo info_desc.
ip_new target.ip, target.asset.ip Se asigna directamente desde el campo ip_new.
level security_result.severity, security_result.severity_details La gravedad de security_result se deriva del campo de nivel (“error”/“warning” -> ALTA, “notice” -> MEDIA, “information”/“info” -> BAJA). El valor sin procesar del nivel también se asigna a security_result.severity_details.
logid metadata.product_log_id Se asigna directamente desde el campo logid.
locip principal.ip, principal.asset.ip Se asigna directamente desde el campo locip.
mensaje metadata.description Se usa para extraer varios campos con los filtros grok y kv. Si el mensaje contiene "EventID", se procesa como un registro de eventos de Windows.
message_info metadata.description Se asigna directamente a metadata.description si no se usa de otra manera en patrones de Grok más específicos.
msg metadata.product_event_type, metadata.description Si el campo msg está presente, se extrae el tipo de producto y se asigna a metadata.product_event_type, y el resto del mensaje se asigna a metadata.description.
msg_hostname principal.hostname, principal.asset.hostname Se asigna directamente desde el campo msg_hostname.
msg_ip principal.ip, principal.asset.ip Se asigna directamente desde el campo msg_ip.
msg_user_agent network.http.user_agent, network.http.parsed_user_agent, metadata.product_version La cadena del agente de usuario se asigna a network.http.user_agent, el agente de usuario analizado se asigna a network.http.parsed_user_agent y la versión del producto (si está presente) se asigna a metadata.product_version.
network_duration network.session_duration.seconds Se asigna directamente desde el campo network_duration y se convierte en un número entero.
policyid security_result.rule_id Se asigna directamente desde el campo policyid.
policyname security_result.rule_name Se asigna directamente desde el campo policyname.
policytype security_result.rule_type Se asigna directamente desde el campo policytype.
priority_code about.labels.value Se asigna directamente desde el campo priority_code y también se usa para derivar about.labels.value para la clave "Severity" (consulta la lógica).
prod_name metadata.product_name Se asigna directamente desde el campo prod_name.
product_type metadata.product_event_type Se asigna directamente desde el campo product_type.
product_version metadata.product_version Se asigna directamente desde el campo product_version.
protocolo network.ip_protocol Se asigna a network.ip_protocol después de convertirse en un nombre de protocolo IP a través de una búsqueda.
pwd principal.process.file.full_path Se asigna directamente desde el campo pwd.
dominio principal.group.attribute.labels.value Se asigna directamente desde el campo del dominio.
rcvdbyte network.received_bytes Se asigna directamente desde el campo rcvdbyte y se convierte en un número entero sin signo.
remip target.ip Se asigna directamente desde el campo remip.
resource_name target.resource.name Se asigna directamente desde el campo resource_name después de quitar los espacios en blanco y los guiones iniciales o finales.
resource_status security_result.description Se asigna directamente desde el campo resource_status.
resource_user_group principal.user.group_identifiers Se asigna directamente desde el campo resource_user_group.
resource_user_name principal.user.userid Se asigna directamente desde el campo resource_user_name.
roles principal.user.group_identifiers Se asigna directamente desde el campo de roles.
sentbyte network.sent_bytes Se asigna directamente desde el campo sentbyte y se convierte en un número entero sin signo.
session_id network.session_id Se asigna directamente desde el campo session_id.
sessionid network.session_id Se asigna directamente desde el campo sessionid.
srcip principal.ip, principal.asset.ip Se asigna directamente desde el campo srcip.
srcport principal.port Se asigna directamente desde el campo srcport y se convierte en un número entero.
srccountry principal.location.country_or_region Se asigna directamente desde el campo srccountry si no está reservado o vacío.
subtype metadata.product_event_type Se usa junto con el tipo para formar metadata.product_event_type.
target_file target.file.full_path Se asigna directamente desde el campo target_file.
target_host target.hostname, target.asset.hostname Se asigna directamente desde el campo target_host.
target_ip target.ip, target.asset.ip Se asigna directamente desde el campo target_ip.
target_port target.port Se asigna directamente desde el campo target_port y se convierte en un número entero.
target_url target.url Se asigna directamente desde el campo target_url.
hora metadata.event_timestamp.seconds Se analiza a partir del campo de hora con el formato “aaaa-MM-dd HH:mm:ss”.
tipo metadata.product_event_type Se usa junto con el subtipo para formar metadata.product_event_type.
u_event_source_ip principal.ip, principal.asset.ip o target.ip Si target_ip o target_host están presentes, u_event_source_ip se asigna a principal.ip y principal.asset.ip. De lo contrario, si target_ip, target_host y target_url están vacíos, u_event_source_ip se asigna a target.ip.
u_observer_ip observer.ip Se asigna directamente desde el campo u_observer_ip.
u_prin_ip principal.ip, principal.asset.ip Se asigna directamente desde el campo u_prin_ip.
usuario target.user.userid Se asigna directamente desde el campo del usuario.
user_agent network.http.user_agent, network.http.parsed_user_agent La cadena de usuario-agente se asigna a network.http.user_agent, y el usuario-agente analizado se asigna a network.http.parsed_user_agent.
user_group_identifier target.user.group_identifiers o principal.user.group_identifiers En la mayoría de los casos, se asigna a target.user.group_identifiers. Se asigna a principal.user.group_identifiers en los eventos de cambio de IP (USER_UNCATEGORIZED) y restricciones de Realm.
user_ip principal.ip, principal.asset.ip Se asigna directamente desde el campo user_ip. Si está vacío y u_event_source_ip no está vacío, toma el valor de u_event_source_ip.
nombre de usuario principal.user.userid o target.user.userid En la mayoría de los casos, se asigna a principal.user.userid. Se asigna a target.user.userid en algunas situaciones específicas (p.ej., cuando detect_user_logout_failed es falso y detect_policy_change_failed es falso).
username_removed target.user.userid Se asigna directamente desde el campo username_removed.
vd principal.administrative_domain Se asigna directamente desde el campo vd.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.