Coletar registros do Vectra Detect

Este documento explica como ingerir registros do Vectra Detect no Google Security Operations usando o Bindplane. O analisador transforma os registros dos formatos SYSLOG, JSON e CEF em um modelo de dados unificado (UDM). Primeiro, ele normaliza os dados removendo caracteres e campos desnecessários. Depois, usa padrões grok para extrair informações de diferentes formatos de registro e, por fim, mapeia os campos extraídos para os atributos correspondentes da UDM.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Um host Windows 2016 ou mais recente ou Linux com systemd
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente BindPlane.
• Acesso privilegiado à interface do Vectra

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'VECTRA_DETECT'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID do cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Vectra Detect para enviar Syslog

1. Faça login na interface do Vectra Detect.
2. Acesse Configurações > Notificação.
3. Acesse a seção Syslog.
4. Clique em Editar para adicionar ou editar a configuração do Syslog.
   • Destino: insira o endereço IP do agente do Bindplane.
   • Porta: digite o número da porta do agente do Bindplane.
   • Protocolo: selecione UDP ou TCP com base na configuração real do agente do Bindplane.
   • Formato: selecione JSON.
   • Tipos de registro: selecione os registros que você quer enviar para o Google SecOps.
   • Marque a caixa de seleção Incluir detalhes avançados.
5. No lado direito, você encontra três botões de alternância para configuração adicional:
   • Incluir detecções triadas: quando desativada, as mensagens do syslog não são enviadas quando detecções triadas são criadas ou atualizadas.
   • Incluir detecções na categoria "Informações": quando desativada, as mensagens do syslog não são enviadas quando detecções na categoria "Informações" são criadas ou atualizadas.
   • Incluir diminuições na pontuação do host/da conta: quando desativada, as mensagens do syslog não são enviadas quando as pontuações de ameaça e certeza estão diminuindo e/ou permanecem as mesmas.
6. Clique em Salvar.
7. Clique em Testar para testar a configuração.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.