Collecter les journaux Ivanti Connect Secure (Pulse Secure)

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Ivanti Connect Secure (Pulse Secure) dans Google Security Operations à l'aide de Bindplane.

Ivanti Connect Secure (anciennement Pulse Secure) est une solution VPN SSL qui permet d'accéder à distance de manière sécurisée aux applications, ressources et réseaux d'entreprise. Il est compatible avec l'authentification multifacteur, la vérification de la conformité des points de terminaison et les règles d'accès précises pour les télétravailleurs et les partenaires. Remarque : Pulse Secure a été racheté par Ivanti en 2020. L'analyseur extrait les champs des journaux au format syslog Pulse Secure VPN. Il utilise grok pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console d'administration Ivanti Connect Secure (Pulse Secure)

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PULSE_SECURE_VPN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - udplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
  - 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
  - 514 : numéro de port à écouter (port syslog standard)
- Configuration de l'exportateur :
  - creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
  - endpoint : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
  - log_type : type de journal tel qu'il apparaît dans Chronicle (PULSE_SECURE_VPN)

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
  sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
  sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert Syslog sur Ivanti Connect Secure (Pulse Secure)

Connectez-vous à la console d'administration Ivanti Connect Secure (anciennement Pulse Secure).
Accédez à System > Log/Monitoring > Syslog Servers (Système > Journal/Surveillance > Serveurs Syslog).
Cliquez sur Nouveau serveur pour ajouter un serveur Syslog.
Fournissez les informations de configuration suivantes :
- Nom/Adresse IP du serveur : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
- Port du serveur : saisissez 514.
- Établissement : sélectionnez LOCAL0 (ou l'établissement de votre choix).
- Type : sélectionnez UDP.
Dans la section Filtre d'événements, sélectionnez les types d'événements à transférer :
- Standard : pour le format syslog standard
Sélectionnez les catégories de journaux :
- Événements : sélectionnez Journaux d'accès utilisateur, Journaux d'administration ou Événements des capteurs.
- Niveaux de gravité : sélectionnez Info ou un niveau supérieur pour une journalisation complète.
Cliquez sur Enregistrer les modifications.
Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
action	security_result.action_details	Mappé directement à partir du champ "action".
application	principal.application	Mappé directement à partir du champ de l'application.
bytes_read	network.received_bytes	Mappé directement à partir du champ "bytes_read" et converti en entier non signé.
bytes_written	network.sent_bytes	Mappé directement à partir du champ "bytes_written" et converti en entier non signé.
client_host	principal.hostname, principal.asset.hostname	Mappé directement à partir du champ "client_host".
cmd	principal.process.command_line	Mappé directement à partir du champ "cmd".
connection_status	security_result.detection_fields.value.string_value	Mappé directement à partir du champ "connection_status".
data_time	metadata.event_timestamp.seconds	Analysé à partir du champ "data_time" à l'aide de différents formats d'horodatage (MM-jj-aaaa HH:mm:ss Z, RFC 3339, ISO8601, MMM d HH:mm:ss, MMM d HH:mm:ss).
devname	principal.hostname, principal.asset.hostname	Mappé directement à partir du champ "devname".
dstip	target.ip, target.asset.ip	Mappé directement à partir du champ dstip.
dstport	target.port	Mappé directement à partir du champ "dstport" et converti en entier.
dstcountry	target.location.country_or_region	Directement mappé à partir du champ "dstcountry" s'il n'est pas défini sur "Reserved" (Réservé) ou vide.
duration	network.session_duration.seconds	Mappé directement à partir du champ de durée et converti en entier.
dvc	intermediary.hostname ou intermediary.ip	Si le champ "dvc" peut être converti en adresse IP, il est mappé à intermediary.ip. Sinon, il est mappé sur intermediary.hostname.
dvc_hostname	intermediary.hostname, principal.hostname, principal.asset.hostname ou intermediary.ip, principal.ip, principal.asset.ip	Si le champ "dvc_hostname" peut être converti en adresse IP, il est mappé aux champs d'adresse IP correspondants. Sinon, il est mappé aux champs de nom d'hôte respectifs.
event_type	metadata.product_event_type	Mappé directement à partir du champ "event_type".
failure_reason	security_result.description	Mappé directement à partir du champ "failure_reason". Si le message contient "because host", le texte "host" est ajouté au début du motif d'échec.
has_principal	event.idm.read_only_udm.principal (presence)	Définissez sur "true" si des champs principaux sont renseignés, ou sur "false" dans le cas contraire. Dérivé de la logique de l'analyseur.
has_target	event.idm.read_only_udm.target (présence)	Défini sur "true" si des champs cibles sont renseignés, ou sur "false" dans le cas contraire. Dérivé de la logique de l'analyseur.
has_target_user	event.idm.read_only_udm.target.user.userid (présence)	Défini sur "true" si target.user.userid est renseigné, ou sur "false" dans le cas contraire. Dérivé de la logique de l'analyseur.
host_ip	principal.ip, principal.asset.ip	Directement mappé à partir du champ "host_ip".
host_mac	principal.mac	Mappé directement à partir du champ "host_mac", en remplaçant les tirets par des deux-points.
http_method	network.http.method	Mappé directement à partir du champ "http_method".
http_response	network.http.response_code	Mappé directement à partir du champ "http_response" et converti en entier.
info_desc	about.labels.value	Mappé directement à partir du champ "info_desc".
ip_new	target.ip, target.asset.ip	Mappé directement à partir du champ "ip_new".
level	security_result.severity, security_result.severity_details	La gravité security_result.severity est dérivée du champ "level" ("error"/"warning" -> HIGH, "notice" -> MEDIUM, "information"/"info" -> LOW). La valeur brute du niveau est également mappée à security_result.severity_details.
logid	metadata.product_log_id	Mappé directement à partir du champ "logid".
locip	principal.ip, principal.asset.ip	Mappé directement à partir du champ "locip".
message	metadata.description	Permet d'extraire différents champs à l'aide des filtres grok et kv. Si le message contient "EventID", il est traité comme un journal des événements Windows.
message_info	metadata.description	Directement mappé à metadata.description s'il n'est pas utilisé dans des modèles grok plus spécifiques.
Message	metadata.product_event_type, metadata.description	Si le champ "msg" est présent, le type de produit est extrait et mappé sur metadata.product_event_type, et le reste du message est mappé sur metadata.description.
msg_hostname	principal.hostname, principal.asset.hostname	Directement mappé à partir du champ msg_hostname.
msg_ip	principal.ip, principal.asset.ip	Mappé directement à partir du champ msg_ip.
msg_user_agent	network.http.user_agent, network.http.parsed_user_agent, metadata.product_version	La chaîne d'agent utilisateur est mappée sur network.http.user_agent, l'agent utilisateur analysé est mappé sur network.http.parsed_user_agent et la version du produit (le cas échéant) est mappée sur metadata.product_version.
network_duration	network.session_duration.seconds	Mappée directement à partir du champ "network_duration" et convertie en entier.
policyid	security_result.rule_id	Mappé directement à partir du champ "policyid".
policyname	security_result.rule_name	Directement mappé à partir du champ "policyname".
policytype	security_result.rule_type	Mappé directement à partir du champ "policytype".
priority_code	about.labels.value	Directement mappé à partir du champ priority_code et également utilisé pour dériver about.labels.value pour la clé "Severity" (voir la logique).
prod_name	metadata.product_name	Mappé directement à partir du champ "prod_name".
product_type	metadata.product_event_type	Directement mappé à partir du champ "product_type".
product_version	metadata.product_version	Directement mappé à partir du champ "product_version".
proto	network.ip_protocol	Mappé à network.ip_protocol après avoir été converti en nom de protocole IP à l'aide d'une recherche.
pwd	principal.process.file.full_path	Mappé directement à partir du champ "pwd".
domaine	principal.group.attribute.labels.value	Mappé directement à partir du champ "realm".
rcvdbyte	network.received_bytes	Mappé directement à partir du champ "rcvdbyte" et converti en entier non signé.
remip	target.ip	Mappé directement à partir du champ "remip".
resource_name	target.resource.name	Directement mappé à partir du champ resource_name après suppression des espaces blancs et des tirets de début et de fin.
resource_status	security_result.description	Mappé directement à partir du champ "resource_status".
resource_user_group	principal.user.group_identifiers	Mappé directement à partir du champ "resource_user_group".
resource_user_name	principal.user.userid	Mappé directement à partir du champ resource_user_name.
rôles	principal.user.group_identifiers	Mappé directement à partir du champ "Rôles".
sentbyte	network.sent_bytes	Directement mappé à partir du champ "sentbyte" et converti en entier non signé.
session_id	network.session_id	Mappé directement à partir du champ "session_id".
sessionid	network.session_id	Mappé directement à partir du champ "sessionid".
srcip	principal.ip, principal.asset.ip	Mappé directement à partir du champ srcip.
srcport	principal.port	Mappé directement à partir du champ "srcport" et converti en entier.
srccountry	principal.location.country_or_region	Directement mappé à partir du champ "srccountry" s'il n'est pas défini sur "Réservé" ou vide.
subtype	metadata.product_event_type	À utiliser avec le type pour former metadata.product_event_type.
target_file	target.file.full_path	Mappé directement à partir du champ target_file.
target_host	target.hostname, target.asset.hostname	Directement mappé à partir du champ target_host.
target_ip	target.ip, target.asset.ip	Mappé directement à partir du champ "target_ip".
target_port	target.port	Mappé directement à partir du champ target_port et converti en entier.
target_url	target.url	Mappé directement à partir du champ target_url.
heure	metadata.event_timestamp.seconds	Analysé à partir du champ "time" (heure) au format "aaaa-MM-jj HH:mm:ss".
type	metadata.product_event_type	À utiliser avec le sous-type pour former metadata.product_event_type.
u_event_source_ip	principal.ip, principal.asset.ip ou target.ip	Si target_ip ou target_host sont présents, u_event_source_ip est mappé sur principal.ip et principal.asset.ip. Sinon, si target_ip, target_host et target_url sont tous vides, u_event_source_ip est mappé sur target.ip.
u_observer_ip	observer.ip	Mappé directement à partir du champ u_observer_ip.
u_prin_ip	principal.ip, principal.asset.ip	Mappé directement à partir du champ u_prin_ip.
utilisateur	target.user.userid	Mappé directement à partir du champ utilisateur.
user_agent	network.http.user_agent, network.http.parsed_user_agent	La chaîne user-agent est mappée sur network.http.user_agent, et l'user-agent analysé est mappé sur network.http.parsed_user_agent.
user_group_identifier	target.user.group_identifiers ou principal.user.group_identifiers	Dans la plupart des cas, il est mappé sur target.user.group_identifiers. Mappé à principal.user.group_identifiers dans les événements de modification d'adresse IP (USER_UNCATEGORIZED) et de restrictions de domaine.
user_ip	principal.ip, principal.asset.ip	Mappé directement à partir du champ "user_ip". Si ce champ est vide et que u_event_source_ip ne l'est pas, il prend la valeur de u_event_source_ip.
nom d'utilisateur	principal.user.userid ou target.user.userid	Dans la plupart des cas, il est mappé sur principal.user.userid. Mappé à target.user.userid dans certains cas spécifiques (par exemple, lorsque detect_user_logout_failed et detect_policy_change_failed sont définis sur "false").
username_removed	target.user.userid	Mappé directement à partir du champ "username_removed".
vd	principal.administrative_domain	Mappé directement à partir du champ "vd".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.