Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Varonis

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Varonis in Google Security Operations utilizzando l'agente Bindplane.

Varonis è una piattaforma di analisi e sicurezza dei dati che genera messaggi syslog in formato CEF e LEEF per eventi di accesso ai file, modifiche delle autorizzazioni, attività di autenticazione e avvisi di sicurezza DatAlert. Il parser estrae i campi dai log formattati CEF, LEEF e coppia chiave-valore e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Varonis
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso privilegiato a Varonis

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/varonis:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VARONIS
        raw_log_field: body

service:
    pipelines:
        logs/varonis_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/varonis

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'esportazione di syslog in Varonis

Accedi all'interfaccia utente web di Varonis.
Vai a Strumenti > DatAlert > seleziona DatAlert.
Seleziona Configurazione.
Fornisci i seguenti dettagli di configurazione:
- Indirizzo IP del messaggio Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 514 per UDP).
- Nome struttura: seleziona una struttura.
Fai clic su Applica.

Configurare il formato syslog in Varonis

Vai a Strumenti > DatAlert > Modelli di avviso.
Fai clic su Modifica modello di avviso e seleziona Modello predefinito del sistema esterno.
In Applica ai metodi di avviso, seleziona Messaggio Syslog dall'elenco.
Seleziona Regole > Metodo di avviso dal menu.
Seleziona Messaggio Syslog.
Fai clic su OK.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.summary`	Valore del campo `act` nel messaggio CEF.
`cn1`	`security_result.rule_id`	Valore del campo `cn1` nel messaggio CEF.
`cs1`	`network.email.to`	Valore del campo `cs1` nel messaggio CEF, in particolare il destinatario dell'email.
`cs2`	`security_result.rule_name`	Valore del campo `cs2` nel messaggio CEF.
`device_version`	`metadata.product_version`	Valore del campo `device_version` nel messaggio CEF.
`dhost`	`principal.hostname`	Valore del campo `dhost` nel messaggio CEF, che rappresenta il nome host principale. Se `file_server` è presente e non è "DirectoryServices", questo valore viene sovrascritto.
`duser`	`target.user.userid`	Valore del campo `duser` nel messaggio CEF. Subisce la trasformazione gsub per rimuovere le barre rovesciate e dividere in `target.user.userid` e `target.administrative_domain`.
`dvchost`	`target.hostname`	Valore del campo `dvchost` nel messaggio CEF.
`filePath`	`target.file.full_path`	Valore del campo `filePath` nel messaggio CEF.
`rt`	`metadata.event_timestamp`	Valore del campo `rt` nel messaggio CEF, analizzato come timestamp.
`severity`	`security_result.severity`	Valore del campo `severity` nel messaggio CEF o LEEF. Convertito in maiuscolo. Mappato ai valori di gravità UDM (LOW, INFORMATIONAL, MEDIUM, HIGH, CRITICAL) in base al valore numerico o alla parola chiave.
`Acting Object`	`target.user.user_display_name`	Valore del campo `Acting Object` nei dati coppia chiave-valore. Dividi per "\" per estrarre il nome visualizzato.
`Acting Object SAM Account Name`	`target.user.userid`	Valore del campo `Acting Object SAM Account Name` nei dati coppia chiave-valore.
`Device hostname`	`target.hostname`	Valore del campo `Device hostname` nei dati coppia chiave-valore.
`Device IP address`	`target.ip`	Valore del campo `Device IP address` nei dati coppia chiave-valore.
`Event Time`	`metadata.event_timestamp`	Valore del campo `Event Time` nei dati coppia chiave-valore, analizzato come timestamp.
`Event Type`	`target.application`, `metadata.event_type`	Valore del campo `Event Type` nei dati coppia chiave-valore. Utilizzato per derivare `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valore del campo `File Server/Domain` nei dati coppia chiave-valore. Se non è "DirectoryServices", sovrascrive `principal.hostname` derivato da `dhost`.
`Path`	`target.file.full_path`	Valore del campo `Path` nei dati coppia chiave-valore.
`Rule Description`	`metadata.description`	Valore del campo `Rule Description` nei dati coppia chiave-valore.
`Rule ID`	`security_result.rule_id`	Valore del campo `Rule ID` nei dati coppia chiave-valore.
`Rule Name`	`security_result.rule_name`	Valore del campo `Rule Name` nei dati coppia chiave-valore.
`intermediary_host`	`intermediary.hostname`	Valore estratto da grok, che rappresenta il nome host intermedio.
`log_type`	`metadata.log_type`	Codificato in `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Derivato in base ai valori di `evt_typ`, `act` e `filepath`. Il valore predefinito è STATUS_UPDATE se `event_type` è GENERIC_EVENT e `principal_hostname` è presente.
`metadata.product_name`	`metadata.product_name`	Codificato in modo permanente su `VARONIS`, ma può essere sovrascritto dal campo `product_name` del messaggio LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Codificato in modo permanente su `VARONIS`, ma può essere sovrascritto dal campo `vendor` del messaggio LEEF.
`prin_host`	`principal.hostname`	Valore estratto da grok, che rappresenta il nome host principale.
`product_name`	`metadata.product_name`	Valore ottenuto dal messaggio LEEF.
`security_result.action`	`security_result.action`	Derivato dal campo `result` o `Event Status`. Imposta "ALLOW" se il risultato è `Success`, altrimenti imposta `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	Il timestamp dell'evento viene derivato da vari campi (`datetime1`, `event_time`, `start_datetime`, `datetime2`) in base alla disponibilità. `create_time` del log non elaborato viene utilizzato come fallback e mappato sia a `timestamp` che a `metadata.event_timestamp` se non sono disponibili altri campi timestamp.
`vendor`	`metadata.vendor_name`	Valore ottenuto dal messaggio LEEF.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.