Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Semperis DSP

Compatible con:

Google secops SIEM

En este documento, se explica cómo transferir registros de Semperis Directory Services Protector (DSP) a Google Security Operations con el agente de Bindplane.

Semperis Directory Services Protector (DSP) es una plataforma de detección y respuesta ante amenazas de Active Directory que supervisa los cambios y los ataques de AD, y proporciona alertas en tiempo real y corrección automatizada. El analizador extrae campos de las entradas de registro de DSP y los asigna al modelo de datos unificado (UDM), capturando modificaciones de objetos de AD, eventos de autenticación, cambios de DNS y resultados de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o un host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el servidor de Semperis DSP
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado a la consola de administración de Semperis DSP con permisos de administrador

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: El ID de cliente es necesario para configurar el exportador del agente de Bindplane.

Instala el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como active (running).

Recursos de instalación adicionales

Para obtener opciones de instalación adicionales y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/semperis_dsp:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SEMPERIS_DSP
        raw_log_field: body

service:
    pipelines:
        logs/semperis_dsp:
            receivers:
                - tcplog
            exporters:
                - chronicle/semperis_dsp

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- tcplog: El tipo de receptor según el protocolo:
  - udplog para Syslog de UDP
  - tcplog para Syslog de TCP
  - syslog para Syslog de RFC 3164/5424
- 0.0.0.0: Dirección IP en la que se escuchará:
  - 0.0.0.0 para escuchar en todas las interfaces (recomendado)
  - Dirección IP específica para escuchar en una interfaz
- 514: Número de puerto en el que se escuchará (por ejemplo, 514, 1514, 6514)
Configuración del exportador:
- <customer_id>: ID de cliente del paso anterior
- malachiteingestion-pa.googleapis.com: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.
- Ajusta creds_file_path según la plataforma:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de servicios:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de Syslog de Semperis DSP

Accede a la consola de administración de Semperis DSP.
Ve a Configuración > Integración de SIEM.
Habilita el reenvío de Syslog.
Proporciona los siguientes detalles de configuración:
- Host: Ingresa la dirección IP del host del agente de Bindplane (por ejemplo, 192.168.1.100).
- Puerto: Ingresa 514 (debe coincidir con el puerto del receptor de Bindplane).
- Protocolo: Selecciona TCP (debe coincidir con el tipo de receptor de Bindplane).
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
event_type	extensions.auth.type	Se establece en "SSO" si ObjectModificationType == "LoginADSM".
host	intermediary.hostname	Valor copiado directamente
ObjectModificationType	metadata.description	Valor copiado directamente
event_type	metadata.event_type	Se establece en RESOURCE_CREATION si ObjectModificationType == "CreateObject" y OriginatingUsers != ""; RESOURCE_WRITTEN si ObjectModificationType == "ModifyObject" y OriginatingUsers != "" y AttributeName contiene "Password"; RESOURCE_WRITTEN si ObjectModificationType == "ModifyObject" y OriginatingUsers != ""; RESOURCE_DELETION si ObjectModificationType == "DeleteObject" y OriginatingUsers != ""; USER_LOGIN si ObjectModificationType == "LoginADSM" y OriginatingUsers != ""; RESOURCE_WRITTEN si ObjectModificationType == "OperationRequest" y OriginatingUsers != ""; STATUS_UPDATE si principal_present == "true"; USER_UNCATEGORIZED si principal_user_present == "true"; de lo contrario, GENERIC_EVENT.
	metadata.product_name	Se establece en "SEMPERIS_DSP".
	metadata.vendor_name	Se establece en "SEMPERIS".
StringValueFrom	network.dns.answers.data	Valor copiado directamente después de la limpieza
NameNode	network.dns.answers.name	Valor copiado directamente
Ttl	network.dns.answers.ttl	Valor copiado directamente, convertido a uinteger
Type	network.dns.answers.type	Se establece en "1" si Type =~ "DNS_TYPE_A"; "12" si Type =~ "DNS_TYPE_PTR", convertido a uinteger.
OriginatingServer	principal.asset.hostname	Valor copiado directamente
ip	principal.asset.ip	Valor copiado directamente después de la validación y la limpieza
OriginatingServer	principal.hostname	Valor copiado directamente
ip	principal.ip	Valor copiado directamente después de la validación y la limpieza
DistinguishedName	principal.user.group_identifiers	Valor combinado directamente
ForestId	principal.user.product_object_id	Valor copiado directamente
OriginatingUsers	principal.user.userid	Valor copiado directamente si OperationType != "LoginADSM"
security_action	security_result.action	Valor copiado directamente
RequestedAction	security_result.summary	Valor copiado directamente si OperationResult =~ "Granted" o "Denied"
AttributeName	target.resource.name	Valor copiado directamente si AttributeName != "" y AttributeName != "isDeleted"
ClassName	target.resource.resource_subtype	Valor copiado directamente
OriginatingUsers	target.user.userid	Valor copiado directamente si OperationType == "LoginADSM"

Registro de cambios

Consulta el registro de cambios de este analizador

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.