Recolha registos do Vectra Detect

Este documento explica como carregar registos do Vectra Detect para o Google Security Operations através do Bindplane. O analisador transforma os registos dos formatos SYSLOG, JSON e CEF num modelo de dados unificado (UDM). Primeiro, normaliza os dados removendo carateres e campos desnecessários. Em seguida, usa padrões grok para extrair informações de diferentes formatos de registos e, por último, mapeia os campos extraídos para os atributos da UDM correspondentes.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Um anfitrião Windows 2016 ou posterior, ou Linux com systemd
• Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente BindPlane
• Acesso privilegiado à IU do Vectra

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:

   1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'VECTRA_DETECT'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o Vectra Detect para enviar Syslog

1. Inicie sessão na IU do Vectra Detect.
2. Aceda a Definições > Notificação.
3. Aceda à secção Syslog.
4. Clique em Editar para adicionar ou editar a configuração do Syslog.
   • Destino: introduza o endereço IP do agente Bindplane.
   • Porta: introduza o número da porta do agente do Bindplane.
   • Protocolo: selecione UDP ou TCP com base na configuração real do agente Bindplane.
   • Formato: selecione JSON.
   • Tipos de registos: selecione os registos que quer enviar para o Google SecOps.
   • Selecione a caixa de verificação Incluir detalhes melhorados.
5. No lado direito, pode ver três botões de comutação para configuração adicional:
   • Incluir deteções triadas: quando esta opção está desativada, as mensagens syslog não são enviadas quando são criadas ou atualizadas deteções triadas.
   • Incluir deteções na categoria Informações: quando esta opção está desativada, as mensagens syslog não são enviadas quando são criadas ou atualizadas deteções na categoria Informações.
   • Incluir diminuições da pontuação do anfitrião/conta: quando esta opção está desativada, as mensagens syslog não são enviadas quando as pontuações de ameaça e certeza estão a diminuir e/ou permanecem iguais.
6. Clique em Guardar.
7. Clique em Testar para testar a configuração.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.