Raccogliere i log di Vectra Stream

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Vectra Stream in Google Security Operations utilizzando Bindplane. Il parser estrae le coppie chiave-valore dai log di Vectra Stream, normalizza vari campi in un modello UDM (Unified Data Model) e mappa i tipi di log a tipi di eventi UDM specifici. Gestisce i log in formato JSON e syslog, elimina i messaggi non formattati e arricchisce i dati con un contesto aggiuntivo in base a valori di campo specifici.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Un host Windows 2016 o versioni successive o Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla UI di Vectra

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'VECTRA_STREAM'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Vectra Stream per inviare syslog

Accedi all'interfaccia utente di Vectra (brain).
Vai a Impostazioni > Notifiche.
Vai alla sezione Syslog.
Fai clic su Modifica per aggiungere o modificare la configurazione Syslog.
Fornisci i seguenti dettagli di configurazione:
- Destinazione: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Protocollo: seleziona UDP o TCP in base alla configurazione effettiva dell'agente Bindplane.
- Formato: seleziona JSON.
- Tipi di log: seleziona i log che vuoi inviare a Google SecOps.
Fai clic su Salva.
Fai clic su Test per testare la configurazione.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
AA	network.dns.authoritative	Convertito in booleano dal valore stringa.
account_session_id	network.session_id	Mappatura diretta.
account_session_time	network.session_duration	Convertito in timestamp da secondi UNIX.
risposte	network.dns.answers.data	Mappatura diretta.
assigned_ip	network.dhcp.yiaddr	Mappatura diretta.
beacon_type	metadata.description	Mappatura diretta.
beacon_uid	network.session_id	Mappatura diretta.
calling_station_id	intermediary.asset.product_object_id	Mappatura diretta.
certificate.issuer	network.tls.client.certificate.issuer	Mappatura diretta.
certificate.not_valid_after	network.tls.client.certificate.not_after	Convertito in timestamp da UNIX o UNIX_MS a seconda del formato.
certificate.not_valid_before	network.tls.client.certificate.not_before	Convertito in timestamp da UNIX o UNIX_MS a seconda del formato.
certificate.serial	network.tls.client.certificate.serial	Mappatura diretta.
certificate.subject	network.tls.client.certificate.subject	Mappatura diretta.
certificate.version	network.tls.client.certificate.version	Mappatura diretta.
crittografia	network.tls.cipher	Mappatura diretta.
cipher_alg	network.tls.cipher	Mappatura diretta.
client	principal.application	Mappatura diretta.
client_cipher	network.tls.client.supported_ciphers	Mappatura diretta.
community_id	network.community_id	Mappatura diretta.
compression_alg	additional.fields.value.string_value	Aggiunto a campi aggiuntivi con la chiave "compression_alg".
connect_info	security_result.description	Mappatura diretta.
conn_state	metadata.description	Mappato a una descrizione in base al valore di conn_state.
biscotto	target.user.userid	Mappatura diretta.
curva	network.tls.curve	Mappatura diretta.
dhcp_server_ip	network.dhcp.giaddr	Mappatura diretta.
dns_server_ips	principal.ip	Ogni IP nell'array viene aggiunto all'array principal.ip.
dominio	target.domain.name	Mappatura diretta.
dst_display_name	target.hostname, target.asset.hostname	Mappatura diretta.
dst_luid	target.asset.product_object_id	Mappatura diretta.
duration	network.session_duration.seconds	Convertito in numero intero dal valore stringa.
endpoint	principal.application	Mappatura diretta.
stabilito	network.tls.established	Convertito in booleano dal valore stringa.
host	target.hostname, target.asset.hostname	Nome host estratto dal campo "host".
host_key	additional.fields.value.string_value	Aggiunta a campi aggiuntivi con la chiave "host_key".
host_key_alg	additional.fields.value.string_value	Aggiunto a campi aggiuntivi con la chiave "host_key_alg".
host_multihomed	additional.fields.value.string_value	Aggiunto a campi aggiuntivi con la chiave "host_multihomed" e il valore "subnet %{host_multihomed}".
nome host	target.hostname, target.asset.hostname	Mappatura diretta.
id.orig_h	principal.ip	Mappatura diretta.
id.orig_p	principal.port	Convertito in numero intero dal valore stringa.
id.resp_h	target.ip, target.asset.ip	Mappatura diretta.
id.resp_p	target.port	Convertito in numero intero dal valore stringa.
issuer	network.tls.client.certificate.issuer	Mappatura diretta.
ja3	network.tls.client.ja3	Mappatura diretta.
ja3s	network.tls.server.ja3s	Mappatura diretta.
kex_alg	additional.fields.value.string_value	Aggiunto a campi aggiuntivi con la chiave "kex_alg".
lease_time	network.dhcp.lease_time_seconds	Convertito in numero intero senza segno dal valore stringa.
log_type	metadata.log_type	Mappatura diretta.
mac	principal.mac	Mappatura diretta.
mac_alg	additional.fields.value.string_value	Aggiunto ai campi aggiuntivi con la chiave "mac_alg".
mail_from	network.email.from	Mappatura diretta.
metadata_type	metadata.product_event_type	Mappatura diretta.
metodo	network.http.method	Mappatura diretta.
nome	target.file.full_path	Mappatura diretta.
nas_identifier	target.user.attribute.roles.name	Mappatura diretta.
next_protocol	network.tls.next_protocol	Mappatura diretta.
orig_hostname	principal.hostname	Mappatura diretta.
orig_ip_bytes	network.sent_bytes	Convertito in numero intero senza segno dal valore della stringa.
orig_sluid	principal.hostname	Mappatura diretta.
percorso	target.file.full_path	Mappatura diretta.
proto	network.ip_protocol	Mappato al nome del protocollo IP in base al valore numerico.
richiesta eseguita dal proxy	principal.ip	Se il valore è un indirizzo IP, viene aggiunto all'array principal.ip.
qclass	network.dns.questions.class	Convertito in numero intero senza segno dal valore della stringa.
qclass_name	network.dns.questions.name	Mappatura diretta.
query	network.dns.questions.name, principal.process.command_line	Mappatura diretta.
qtype	network.dns.questions.type	Convertito in numero intero senza segno dal valore della stringa.
RA	network.dns.recursion_available	Convertito in booleano dal valore stringa.
radius_type	metadata.description	Mappatura diretta.
rcode	network.dns.response_code	Convertito in numero intero senza segno dal valore della stringa.
RD	network.dns.recursion_desired	Convertito in booleano dal valore stringa.
rcpt_to	network.email.reply_to, network.email.to	Il primo indirizzo email viene mappato a reply_to, mentre gli altri vengono aggiunti all'array to.
referrer	network.http.referral_url	Mappatura diretta.
resp_domain	target.domain.name	Mappatura diretta.
resp_hostname	target.hostname, target.asset.hostname	Mappatura diretta.
resp_ip_bytes	network.received_bytes	Convertito in numero intero senza segno dal valore stringa.
resp_mime_types	target.file.mime_type	Mappatura diretta.
result	security_result.description	Mappatura diretta.
result_code	security_result.action_details	Mappatura diretta.
rtt	network.session_duration.seconds	Convertito in numero intero dal valore stringa.
security_result	security_result	Unito all'oggetto security_result esistente.
sensor_uid	observer.asset_id	Formattato come "Sensor_UID:%{sensor_uid}".
server	target.application	Mappatura diretta.
server_name	network.tls.client.server_name	Mappatura diretta.
servizio	target.application	Mappatura diretta.
src_display_name	principal.hostname	Mappatura diretta.
src_luid	principal.asset.product_object_id	Mappatura diretta.
stato	security_result.summary	Mappatura diretta.
status_code	network.http.response_code	Convertito in numero intero dal valore stringa.
status_msg	security_result.summary	Mappatura diretta.
subject	network.email.subject	Mappatura diretta.
operazione riuscita	security_result.action	Mappato su "ALLOW" (CONSENTI) se true, "BLOCK" (BLOCCA) se false.
TC	network.dns.truncated	Convertito in booleano dal valore stringa.
trans_id	network.dhcp.transaction_id, network.dns.id	Convertito in numero intero senza segno dal valore della stringa.
ts	metadata.event_timestamp	Convertito in timestamp da vari formati.
uid	metadata.product_log_id	Mappatura diretta.
uri	target.url	Mappatura diretta.
user_agent	network.http.user_agent	Mappatura diretta.
nome utente	principal.user.userid	Mappatura diretta.
versione	network.tls.version, principal.platform_version	Mappatura diretta.
version_num	network.tls.version_protocol	Mappatura diretta.
	metadata.event_type	Determinato dalla logica del parser in base ai tipi di log e metadati.
	metadata.vendor_name	Valore hardcoded: "Vectra".
	metadata.product_name	Valore hardcoded: "Vectra Stream".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.