Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros de segurança de identidade de máquina do CyberArk (antigo Venafi)

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do CyberArk Machine Identity Security (antigo Venafi) no Google Security Operations usando o Bindplane. O CyberArk Machine Identity Security oferece gerenciamento automatizado do ciclo de vida de certificados, proteção de identidade de máquina e serviços de PKI de confiança zero. Ele permite que as organizações descubram, gerenciem e automatizem o provisionamento e a renovação de certificados TLS/SSL e chaves criptográficas em toda a infraestrutura.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps.
Um host Windows 2016 ou mais recente ou Linux com systemd.
Se você estiver executando um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao console de configuração do Venafi (VCC).

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <your_customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'VENAFI_ZTPKI'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <your_customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho do arquivo em que o arquivo de autenticação foi salvo na Etapa 1.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configurar o encaminhamento de syslog na segurança de identidade de máquina do CyberArk (antigo Venafi)

Faça login no Venafi Configuration Console (VCC).
Acesse Configuração > Preferências do sistema > Registro.
Na seção Configurações do Syslog, selecione Ativar Syslog.
Informe os seguintes detalhes de configuração:
- Servidor Syslog: insira o endereço IP do host do agente Bindplane.
- Porta: digite 514 (ou a porta que você configurou no agente do Bindplane).
- Protocolo: selecione TCP.
- Formato Syslog: selecione RFC 5424 (recomendado) ou RFC 3164.
Na seção Categorias de registros, selecione os tipos de eventos a serem encaminhados:
- Eventos do ciclo de vida do certificado (emissão, renovação, revogação)
- Alertas de conformidade e violações da política
- Eventos de autenticação e autorização
- Ações administrativas e mudanças de configuração
- Resultados da verificação de descoberta
Clique em Salvar para aplicar a configuração.
Verifique se os registros estão sendo enviados conferindo os registros do agente do Bindplane no sistema host.

Para instruções detalhadas e específicas da versão, consulte a documentação da Venafi ou entre em contato com o suporte da CyberArk.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`account_list`	`additional.fields`	Mesclado
`data_name_label`	`additional.fields`	Mesclado
`data_value_label`	`additional.fields`	Mesclado
`grouping_name_label`	`additional.fields`	Mesclado
`grouping_value_label`	`additional.fields`	Mesclado
`text1_name_label`	`additional.fields`	Mesclado
`text2_name_label`	`additional.fields`	Mesclado
`text2_value_label`	`additional.fields`	Mesclado
`value1_name_label`	`additional.fields`	Mesclado
`value2_name_label`	`additional.fields`	Mesclado
`value2_value_label`	`additional.fields`	Mesclado
`description`	`metadata.description`	Mapeado diretamente
`created_at`	`metadata.event_timestamp`	Analisado como `ISO8601`
`not_after`	`metadata.event_timestamp`	Analisado como `ISO8601`
`not_before`	`metadata.event_timestamp`	Analisado como `ISO8601`
`time_stamp`	`metadata.event_timestamp`	Analisado como `yyyy-MM-ddTHH:mm:ssZ`
`timestamp`	`metadata.event_timestamp`	Analisado como `ISO8601`
`has_principal`	`metadata.event_type`	Mapeado: `true` → `NETWORK_CONNECTION`, `true` → `STATUS_UPDATE`
`has_user`	`metadata.event_type`	Mapeado: `true` → `USER_UNCATEGORIZED`
`name`	`metadata.product_event_type`	Mapeado diretamente
`%{id}`	`metadata.product_log_id`	Mesclado
`event_id`	`metadata.product_log_id`	Mapeado diretamente
`id`	`metadata.product_log_id`	Mapeado quando `id` != ``
`organization_name`	`network.organization_name`	Mapeado diretamente
`issuer_dn`	`network.tls.client.certificate.issuer`	Mapeado diretamente
`serial`	`network.tls.client.certificate.serial`	Mapeado diretamente
`fingerprint`	`network.tls.client.certificate.sha1`	Mapeado diretamente
`fingerprint_sha256`	`network.tls.client.certificate.sha256`	Mapeado diretamente
`dvc_ip`	`principal.asset.ip`	Mesclado
`dvc_ip`	`principal.ip`	Mesclado
`organization_id_label`	`principal.user.attribute.labels`	Mesclado
`subject_dn_label`	`principal.user.attribute.labels`	Mesclado
`user_email`	`principal.user.email_addresses`	Mapeado: `^.+@.+$` → `user_email`
`common_name`	`principal.user.user_display_name`	Mapeado diretamente
`user_id`	`principal.user.userid`	Mapeado diretamente
`certificate_id_label`	`security_result.detection_fields`	Mesclado
`certificate_request_id_label`	`security_result.detection_fields`	Mesclado
`deleted_at_label`	`security_result.detection_fields`	Mesclado
`imported_label`	`security_result.detection_fields`	Mesclado
`key_algorithm_label`	`security_result.detection_fields`	Mesclado
`key_size_label`	`security_result.detection_fields`	Mesclado
`revocation_reason_label`	`security_result.detection_fields`	Mesclado
`revocation_status_label`	`security_result.detection_fields`	Mesclado
`signature_algorithm_label`	`security_result.detection_fields`	Mesclado
`updated_at_label`	`security_result.detection_fields`	Mesclado
`policy_id`	`security_result.rule_id`	Mapeado diretamente
`policy_name`	`security_result.rule_name`	Mapeado diretamente
`text1_value`	`target.asset.ip`	Mesclado
`text1_value`	`target.ip`	Mesclado
`target_port`	`target.port`	Mapeado diretamente
`subsystem_label`	`target.resource.attribute.labels`	Mesclado
`object`	`target.resource.name`	Mapeado diretamente
`object_id`	`target.resource.product_object_id`	Mapeado diretamente
`account_name`	`target.user.user_display_name`	Mapeado diretamente
`account_id`	`target.user.userid`	Mapeado diretamente
N/A	`metadata.event_type`	Constante: `GENERIC_EVENT`
N/A	`metadata.product_name`	Constante: `VENAFI ZTPKI`
N/A	`metadata.vendor_name`	Constante: `VENAFI ZTPKI`
N/A	`security_result.severity`	Constante: `LOW`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.