Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Symantec VIP Enterprise Gateway

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Symantec VIP Enterprise Gateway no Google Security Operations usando o agente Bindplane.

O Symantec VIP (Validação e proteção de ID) Enterprise Gateway é uma solução de autenticação multifator que gera mensagens syslog para eventos de autenticação, validação de credenciais, sincronização de LDAP e atividade de verificação de integridade. O analisador extrai campos de registros formatados em JSON e syslog e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o gateway VIP da Symantec
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso administrativo à interface da Web do Symantec VIP Gateway

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/symantec_vip:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SYMANTEC_VIP
        raw_log_field: body

service:
    pipelines:
        logs/symantec_vip_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/symantec_vip

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz).
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o syslog no Symantec VIP Enterprise Gateway

Faça login na UI da Web do Symantec VIP Gateway.
Acesse Registros > Configuração do Syslog.
Se esta for a primeira vez que você configura o Syslog, selecione Sim quando solicitado. Se já estiver configurado, clique em Editar.
Informe os seguintes detalhes de configuração:
- Facilidade do Syslog: selecione LOG_LOCAL0.
- Host syslog: insira o endereço IP do agente do Bindplane.
- Porta do Syslog: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
Clique em Salvar.
Acesse Configurações > Configurações do console.
Informe os seguintes detalhes de configuração:
- Nível de registro: selecione Informações.
- Enable Syslog: selecione Yes.
Clique em Enviar.
Acesse Configurações > Configurações de verificação de integridade.
Selecione Sim para ativar o serviço de verificação de integridade.
Informe os seguintes detalhes de configuração:
- Nível de registro: selecione Informações.
- Enable Syslog: selecione Yes.
Clique em Enviar.
Acesse Repositório de usuários > Sincronização de diretório LDAP.
Edite os seguintes detalhes de configuração:
- Nível do registro: selecione Informações.
- Enable Syslog: selecione Yes.
Clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
aplicativo	read_only_udm.principal.application	Valor extraído do campo `application` pelo filtro JSON.
comando	read_only_udm.target.process.command_line	Valor extraído do campo `command` pelo padrão grok.
credentialType		Esse campo não é mapeado diretamente para o UDM. Usado para derivar o valor de read_only_udm.extensions.auth.mechanism.
dados		Esse campo não é mapeado diretamente para o UDM. Ele é analisado para extrair outros campos.
data2		Esse campo não é mapeado diretamente para o UDM. Ele é analisado para extrair outros campos.
datetime	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Segundos e nanossegundos desde o início da era Unix extraídos do campo `datetime`.
desc	read_only_udm.metadata.description	Valor extraído do campo `desc` pelo filtro JSON.
descrição	read_only_udm.security_result.description	Valor extraído do campo `description` pelo filtro JSON.
filename	read_only_udm.target.process.file.full_path	Valor extraído do campo `filename` pelo padrão grok.
nome do host	read_only_udm.principal.hostname	Valor extraído do campo `hostname` pelo filtro JSON.
host_name	read_only_udm.intermediary.hostname	Valor extraído do campo `host_name` pelo filtro JSON.
log_level		Esse campo não é mapeado diretamente para o UDM. Usado para derivar o valor de read_only_udm.security_result.severity.
log_type	read_only_udm.metadata.product_event_type	Valor extraído do campo `log_type` pelo filtro JSON.
msg		Esse campo não é mapeado diretamente para o UDM. Ele é analisado para extrair outros campos.
operação	read_only_udm.security_result.summary	Valor extraído do campo `operation` pelo padrão grok.
processid	read_only_udm.target.process.pid	Valor extraído do campo `processid` pelo padrão grok.
produto	read_only_udm.metadata.product_name	Valor extraído do campo `product` pelo filtro JSON.
reason	read_only_udm.metadata.description	Valor extraído do campo `reason` pelo padrão grok.
request_id	read_only_udm.target.resource.id	Valor extraído do campo `request_id` pelo padrão grok.
src_ip	read_only_udm.principal.ip	Valor extraído do campo `src_ip` pelo padrão grok.
status	read_only_udm.metadata.description	Valor extraído do campo `status` pelo padrão grok.
resumo	read_only_udm.security_result.summary	Valor extraído do campo `summary` pelo filtro JSON.
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	Nanossegundos do carimbo de data/hora do registro original.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Segundos do carimbo de data/hora do registro original.
tempo		Esse campo não é mapeado diretamente para o UDM. Ele é usado para derivar os valores de read_only_udm.metadata.event_timestamp.seconds e read_only_udm.metadata.event_timestamp.nanos.
usuário	read_only_udm.target.user.userid	Valor extraído do campo `user` pelo filtro JSON ou pelo padrão grok.
fornecedor	read_only_udm.metadata.vendor_name	Valor extraído do campo `vendor` pelo filtro JSON.
	read_only_udm.extensions.auth.mechanism	Determinado pelo campo `credentialType`. Se `credentialType` for `SMS_OTP` ou `STANDARD_OTP`, `OTP` será usado. Se `credentialType` corresponder à expressão regular `PASSWORD`, `USERNAME_PASSWORD` será usado.
	read_only_udm.extensions.auth.type	Se o campo `reason` corresponder à expressão regular `LDAP`, `SSO` será usado. Caso contrário, `AUTHTYPE_UNSPECIFIED` será usado.
	read_only_udm.metadata.event_type	Determinado pela presença de determinados campos. Se `user` ou `processid` não estiverem vazios, `USER_LOGIN` será usado. Se `user` estiver vazio e `src_ip` não estiver vazio ou for `0.0.0.0`, `STATUS_UPDATE` será usado. Caso contrário, `GENERIC_EVENT` será usado.
	read_only_udm.metadata.log_type	Fixado no código como `SYMANTEC_VIP`.
	read_only_udm.security_result.action	Determinado pelo campo `status`. Se `status` for `Authentication Success`, `GRANTED`, `Authentication Completed`, `After Services Authenticate call` ou `CHALLENGED`, `ALLOW` será usado. Se `status` for `DENIED`, `Acces-Reject`, `Unknown Error`, `Service Unavailable` ou `FAILED`, `BLOCK` será usado. Se `status` for `PUSH request sent for user` ou `Trying to fetch attribute`, `QUARANTINE` será usado.
	read_only_udm.security_result.severity	Determinado pelo campo `log_level`. Se `log_level` for `DEBUG`, `INFO` ou `AUDIT`, `INFORMATIONAL` será usado. Se `log_level` for `ERROR`, `ERROR` será usado. Se `log_level` for `WARNING`, `MEDIUM` será usado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.