Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Varonis

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Varonis dans Google Security Operations à l'aide de l'agent Bindplane.

Varonis est une plate-forme d'analyse et de sécurité des données qui génère des messages syslog au format CEF et LEEF pour les événements d'accès aux fichiers, les modifications d'autorisations, l'activité d'authentification et les alertes de sécurité DatAlert. L'analyseur extrait les champs des journaux au format CEF, LEEF et clé-valeur, puis les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Varonis
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à Varonis

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

**Remarque** : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit s'afficher comme RUNNING (En cours d'exécution).

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit s'afficher comme active (running) (actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et des informations sur la résolution des problèmes, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/varonis:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VARONIS
        raw_log_field: body

service:
    pipelines:
        logs/varonis_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/varonis

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address: adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port Syslog standard (nécessite un accès root sur Linux ; utilisez 1514 pour un accès non root).
Configuration de l'exportateur :
- creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrer le fichier de configuration

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer l'exportation Syslog dans Varonis

Connectez-vous à l'interface utilisateur Web Varonis.
Accédez à Tools > DatAlert > Select DatAlert (Outils > DatAlert > Sélectionner DatAlert).
Sélectionnez Configuration.
Fournissez les informations de configuration suivantes :
- Syslog Message IP Address (Adresse IP du message Syslog) : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Facility name (Nom de l'installation) : sélectionnez une installation.
Cliquez sur Apply (Appliquer).

Configurer le format Syslog dans Varonis

Accédez à Tools > DatAlert > Alert Templates (Outils > DatAlert > Modèles d'alerte).
Cliquez sur Edit Alert Template (Modifier le modèle d'alerte), puis sélectionnez External system default template (Modèle par défaut du système externe).
Dans Apply to alert methods (Appliquer aux méthodes d'alerte), sélectionnez Syslog message (Message Syslog) dans la liste.
Sélectionnez Rules > Alert Method (Règles > Méthode d'alerte) dans le menu.
Sélectionnez Syslog message (Message Syslog).
Cliquez sur OK.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`act`	`security_result.summary`	Valeur du champ `act` dans le message CEF.
`cn1`	`security_result.rule_id`	Valeur du champ `cn1` dans le message CEF.
`cs1`	`network.email.to`	Valeur du champ `cs1` dans le message CEF, en particulier le destinataire de l'e-mail.
`cs2`	`security_result.rule_name`	Valeur du champ `cs2` dans le message CEF.
`device_version`	`metadata.product_version`	Valeur du champ `device_version` dans le message CEF.
`dhost`	`principal.hostname`	Valeur du champ `dhost` dans le message CEF, représentant le nom d'hôte principal. Si `file_server` est présent et n'est pas défini sur "DirectoryServices", il remplace cette valeur.
`duser`	`target.user.userid`	Valeur du champ `duser` dans le message CEF. Subit une transformation gsub pour supprimer les barres obliques inverses et est divisé en `target.user.userid` et `target.administrative_domain`.
`dvchost`	`target.hostname`	Valeur du champ `dvchost` dans le message CEF.
`filePath`	`target.file.full_path`	Valeur du champ `filePath` dans le message CEF.
`rt`	`metadata.event_timestamp`	Valeur du champ `rt` dans le message CEF, analysée en tant qu'horodatage.
`severity`	`security_result.severity`	Valeur du champ `severity` dans le message CEF ou LEEF. Convertie en majuscules. Mappée aux valeurs de gravité UDM (LOW, INFORMATIONAL, MEDIUM, HIGH, CRITICAL) en fonction de la valeur numérique ou du mot clé.
`Acting Object`	`target.user.user_display_name`	Valeur du champ `Acting Object` dans les données clé-valeur. Divisée par "\" pour extraire le nom à afficher.
`Acting Object SAM Account Name`	`target.user.userid`	Valeur du champ `Acting Object SAM Account Name` dans les données clé-valeur.
`Device hostname`	`target.hostname`	Valeur du champ `Device hostname` dans les données clé-valeur.
`Device IP address`	`target.ip`	Valeur du champ `Device IP address` dans les données clé-valeur.
`Event Time`	`metadata.event_timestamp`	Valeur du champ `Event Time` dans les données clé-valeur, analysée en tant qu'horodatage.
`Event Type`	`target.application`, `metadata.event_type`	Valeur du champ `Event Type` dans les données clé-valeur. Utilisée pour dériver `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valeur du champ `File Server/Domain` dans les données clé-valeur. Si la valeur n'est pas "DirectoryServices", elle remplace le `principal.hostname` dérivé de `dhost`.
`Path`	`target.file.full_path`	Valeur du champ `Path` dans les données clé-valeur.
`Rule Description`	`metadata.description`	Valeur du champ `Rule Description` dans les données clé-valeur.
`Rule ID`	`security_result.rule_id`	Valeur du champ `Rule ID` dans les données clé-valeur.
`Rule Name`	`security_result.rule_name`	Valeur du champ `Rule Name` dans les données clé-valeur.
`intermediary_host`	`intermediary.hostname`	Valeur extraite par grok, représentant le nom d'hôte intermédiaire.
`log_type`	`metadata.log_type`	Codé en dur sur `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Dérivé en fonction des valeurs de `evt_typ`, `act` et `filepath`. La valeur par défaut est STATUS_UPDATE si `event_type` est GENERIC_EVENT et que `principal_hostname` est présent.
`metadata.product_name`	`metadata.product_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `product_name` du message LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `vendor` du message LEEF.
`prin_host`	`principal.hostname`	Valeur extraite par grok, représentant le nom d'hôte principal.
`product_name`	`metadata.product_name`	Valeur du message LEEF.
`security_result.action`	`security_result.action`	Dérivé du champ `result` ou `Event Status`. Défini sur "ALLOW" si le résultat est `Success`, sinon défini sur `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	L'horodatage de l'événement est dérivé de différents champs (`datetime1`, `event_time`, `start_datetime`, `datetime2`) en fonction de la disponibilité. Le `create_time` du journal brut est utilisé comme solution de repli et mappé à `timestamp` et `metadata.event_timestamp` si aucun autre champ d'horodatage n'est disponible.
`vendor`	`metadata.vendor_name`	Valeur du message LEEF.

Journal des modifications

Consulter le journal des modifications de cet analyseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.