Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Varonis

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Varonis dans Google Security Operations à l'aide de l'agent Bindplane.

Varonis est une plate-forme d'analyse et de sécurité des données qui génère des messages syslog au format CEF et LEEF pour les événements d'accès aux fichiers, les modifications d'autorisations, l'activité d'authentification et les alertes de sécurité DatAlert. L'analyseur extrait les champs des journaux au format CEF, LEEF et clé-valeur, et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Varonis
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à Varonis

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/varonis:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VARONIS
        raw_log_field: body

service:
    pipelines:
        logs/varonis_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/varonis

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer l'exportation Syslog dans Varonis

Connectez-vous à l'interface utilisateur Web Varonis.
Accédez à Outils> DatAlert> Sélectionnez DatAlert.
Sélectionnez Configuration.
Fournissez les informations de configuration suivantes :
- Adresse IP du message Syslog : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Nom de l'établissement : sélectionnez un établissement.
Cliquez sur Appliquer.

Configurer le format syslog dans Varonis

Accédez à Outils > DatAlert > Modèles d'alertes.
Cliquez sur Modifier le modèle d'alerte, puis sélectionnez Modèle par défaut du système externe.
Dans Appliquer aux méthodes d'alerte, sélectionnez Message Syslog dans la liste.
Dans le menu, sélectionnez Règles> Méthode d'alerte.
Sélectionnez Message Syslog.
Cliquez sur OK.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`act`	`security_result.summary`	Valeur du champ `act` dans le message CEF.
`cn1`	`security_result.rule_id`	Valeur du champ `cn1` dans le message CEF.
`cs1`	`network.email.to`	Valeur du champ `cs1` dans le message CEF, plus précisément le destinataire de l'e-mail.
`cs2`	`security_result.rule_name`	Valeur du champ `cs2` dans le message CEF.
`device_version`	`metadata.product_version`	Valeur du champ `device_version` dans le message CEF.
`dhost`	`principal.hostname`	Valeur du champ `dhost` dans le message CEF, représentant le nom d'hôte principal. Si `file_server` est présent et n'est pas défini sur "DirectoryServices", il remplace cette valeur.
`duser`	`target.user.userid`	Valeur du champ `duser` dans le message CEF. Subit une transformation gsub pour supprimer les barres obliques inverses et est divisé en `target.user.userid` et `target.administrative_domain`.
`dvchost`	`target.hostname`	Valeur du champ `dvchost` dans le message CEF.
`filePath`	`target.file.full_path`	Valeur du champ `filePath` dans le message CEF.
`rt`	`metadata.event_timestamp`	Valeur du champ `rt` du message CEF, analysée en tant que code temporel.
`severity`	`security_result.severity`	Valeur du champ `severity` dans le message CEF ou LEEF. Converties en majuscules. Mappé sur les valeurs de gravité UDM (FAIBLE, INFORMATIF, MOYEN, ÉLEVÉ, CRITIQUE) en fonction de la valeur numérique ou du mot clé.
`Acting Object`	`target.user.user_display_name`	Valeur du champ `Acting Object` dans les données clé-valeur. Divisez par "\" pour extraire le nom à afficher.
`Acting Object SAM Account Name`	`target.user.userid`	Valeur du champ `Acting Object SAM Account Name` dans les données clé-valeur.
`Device hostname`	`target.hostname`	Valeur du champ `Device hostname` dans les données clé-valeur.
`Device IP address`	`target.ip`	Valeur du champ `Device IP address` dans les données clé-valeur.
`Event Time`	`metadata.event_timestamp`	Valeur du champ `Event Time` dans les données clé/valeur, analysée en tant que code temporel.
`Event Type`	`target.application`, `metadata.event_type`	Valeur du champ `Event Type` dans les données clé-valeur. Utilisé pour dériver `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valeur du champ `File Server/Domain` dans les données clé-valeur. Si la valeur n'est pas "DirectoryServices", elle écrase le `principal.hostname` dérivé de `dhost`.
`Path`	`target.file.full_path`	Valeur du champ `Path` dans les données clé-valeur.
`Rule Description`	`metadata.description`	Valeur du champ `Rule Description` dans les données clé-valeur.
`Rule ID`	`security_result.rule_id`	Valeur du champ `Rule ID` dans les données clé-valeur.
`Rule Name`	`security_result.rule_name`	Valeur du champ `Rule Name` dans les données clé-valeur.
`intermediary_host`	`intermediary.hostname`	Valeur extraite par grok, représentant le nom d'hôte intermédiaire.
`log_type`	`metadata.log_type`	Codé en dur sur `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Dérivé des valeurs de `evt_typ`, `act` et `filepath`. La valeur par défaut est STATUS_UPDATE si `event_type` est GENERIC_EVENT et que `principal_hostname` est présent.
`metadata.product_name`	`metadata.product_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `product_name` du message LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Codé en dur sur `VARONIS`, mais peut être remplacé par le champ `vendor` du message LEEF.
`prin_host`	`principal.hostname`	Valeur extraite par grok, représentant le nom d'hôte principal.
`product_name`	`metadata.product_name`	Valeur du message LEEF.
`security_result.action`	`security_result.action`	Dérivé du champ `result` ou `Event Status`. Définissez sur "ALLOW" si le résultat est `Success`, sinon définissez sur `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	Le code temporel de l'événement est dérivé de différents champs (`datetime1`, `event_time`, `start_datetime`, `datetime2`) en fonction de leur disponibilité. Le `create_time` du journal brut est utilisé comme solution de secours et est mappé à `timestamp` et `metadata.event_timestamp` si aucun autre champ de code temporel n'est disponible.
`vendor`	`metadata.vendor_name`	Valeur du message LEEF.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.