收集 CyberArk Machine Identity Security 記錄 (原名為 Venafi)

支援的國家/地區:

本文說明如何使用 Bindplane,將 CyberArk Machine Identity Security (舊稱 Venafi) 記錄檔擷取至 Google Security Operations。CyberArk Machine Identity Security 提供自動化憑證生命週期管理、機器身分保護和零信任 PKI 服務。機構可透過這項服務,在基礎架構中探索、管理及自動佈建和更新 TLS/SSL 憑證和加密金鑰。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • 搭載 systemd 的 Windows 2016 以上版本或 Linux 主機。
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟。
  • 具備 Venafi 設定控制台 (VCC) 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」

  3. 下載擷取驗證檔案

    • 將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」部分中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <your_customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'VENAFI_ZTPKI'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels
  • 視基礎架構需求替換通訊埠和 IP 位址。
  • <your_customer_id> 替換為實際的客戶 ID。
  • /path/to/ingestion-authentication-file.json 更新為您在步驟 1 中儲存驗證檔案的檔案路徑。

重新啟動 Bindplane 代理程式,以套用變更

  1. 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart observiq-otel-collector

  2. 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」主控台,或輸入下列指令:

    net stop observiq-otel-collector && net start observiq-otel-collector

在 CyberArk Machine Identity Security (舊稱 Venafi) 上設定 Syslog 轉送

  1. 登入 Venafi 設定控制台 (VCC)
  2. 依序前往「Configuration」>「System Preferences」>「Logging」

  3. 在「系統記錄設定」部分,選取「啟用系統記錄」

  4. 請提供下列設定詳細資料:

    • 系統記錄伺服器:輸入 Bindplane 代理程式主機的 IP 位址。
    • 通訊埠:輸入 514 (或您在 Bindplane 代理程式中設定的通訊埠)。
    • 「通訊協定」:選取「TCP」
    • 系統記錄格式:選取 RFC 5424 (建議) 或 RFC 3164

  5. 在「記錄類別」部分,選取要轉送的事件類型:

    • 憑證生命週期事件 (核發、續約、撤銷)
    • 違反政策和法規遵循警示
    • 驗證和授權事件
    • 管理動作和設定變更
    • 探索掃描結果

  6. 按一下「儲存」即可套用設定。

  7. 在主機系統上檢查 Bindplane 代理程式記錄,確認記錄是否已傳送。

如需詳細的特定版本操作說明,請參閱 Venafi 說明文件或洽詢 CyberArk 支援團隊。

UDM 對應表

記錄欄位 UDM 對應 邏輯
account_list additional.fields 已合併
data_name_label additional.fields 已合併
data_value_label additional.fields 已合併
grouping_name_label additional.fields 已合併
grouping_value_label additional.fields 已合併
text1_name_label additional.fields 已合併
text2_name_label additional.fields 已合併
text2_value_label additional.fields 已合併
value1_name_label additional.fields 已合併
value2_name_label additional.fields 已合併
value2_value_label additional.fields 已合併
description metadata.description 直接對應
created_at metadata.event_timestamp 已剖析為 ISO8601
not_after metadata.event_timestamp 已剖析為 ISO8601
not_before metadata.event_timestamp 已剖析為 ISO8601
time_stamp metadata.event_timestamp 已剖析為 yyyy-MM-ddTHH:mm:ssZ
timestamp metadata.event_timestamp 已剖析為 ISO8601
has_principal metadata.event_type 已對應:trueNETWORK_CONNECTIONtrueSTATUS_UPDATE
has_user metadata.event_type 已對應:trueUSER_UNCATEGORIZED
name metadata.product_event_type 直接對應
%{id} metadata.product_log_id 已合併
event_id metadata.product_log_id 直接對應
id metadata.product_log_id id != `` 時對應
organization_name network.organization_name 直接對應
issuer_dn network.tls.client.certificate.issuer 直接對應
serial network.tls.client.certificate.serial 直接對應
fingerprint network.tls.client.certificate.sha1 直接對應
fingerprint_sha256 network.tls.client.certificate.sha256 直接對應
dvc_ip principal.asset.ip 已合併
dvc_ip principal.ip 已合併
organization_id_label principal.user.attribute.labels 已合併
subject_dn_label principal.user.attribute.labels 已合併
user_email principal.user.email_addresses 已對應:^.+@.+$user_email
common_name principal.user.user_display_name 直接對應
user_id principal.user.userid 直接對應
certificate_id_label security_result.detection_fields 已合併
certificate_request_id_label security_result.detection_fields 已合併
deleted_at_label security_result.detection_fields 已合併
imported_label security_result.detection_fields 已合併
key_algorithm_label security_result.detection_fields 已合併
key_size_label security_result.detection_fields 已合併
revocation_reason_label security_result.detection_fields 已合併
revocation_status_label security_result.detection_fields 已合併
signature_algorithm_label security_result.detection_fields 已合併
updated_at_label security_result.detection_fields 已合併
policy_id security_result.rule_id 直接對應
policy_name security_result.rule_name 直接對應
text1_value target.asset.ip 已合併
text1_value target.ip 已合併
target_port target.port 直接對應
subsystem_label target.resource.attribute.labels 已合併
object target.resource.name 直接對應
object_id target.resource.product_object_id 直接對應
account_name target.user.user_display_name 直接對應
account_id target.user.userid 直接對應
不適用 metadata.event_type 常數:GENERIC_EVENT
不適用 metadata.product_name 常數:VENAFI ZTPKI
不適用 metadata.vendor_name 常數:VENAFI ZTPKI
不適用 security_result.severity 常數:LOW

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。