Esta página foi traduzida pela API Cloud Translation.

Recolha registos de gestão de segurança do AlgoSec

Compatível com:

Google secops SIEM

Este documento explica como carregar registos de gestão de segurança da AlgoSec para o Google Security Operations através de um agente do Bindplane. O analisador extrai os campos, processando registos formatados em CEF e não CEF. Analisa campos comuns, como datas/horas, endereços IP e detalhes de eventos, e, em seguida, mapeia-os para o UDM com base no produto (Suite, Firewall Analyzer, FireFlow) e no ID do evento, definindo os campos de metadados e de resultados de segurança adequados. Também processa tipos de eventos específicos, como início/fim de sessão, alertas administrativos e relatórios de análise, extraindo detalhes relevantes e definindo níveis de gravidade.

Antes de começar

Certifique-se de que tem uma instância do Google SecOps.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado ao AlgoSec Firewall Analyzer, FireFlow e AppViz.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Firewall Analyzer

Inicie sessão no dispositivo AFA através de SSH.
Aceda ao diretório de configuração do syslog-ng:
```
cd /etc/syslog-ng
```
Faça uma cópia de segurança da configuração existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edite o ficheiro de configuração syslog-ng:
```
vi syslog-ng.conf
```

Adicione as seguintes linhas para definir o servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Substitua <bindplane-server-ip> pelo endereço IP do agente do Bindplane.

Guarde e saia do editor.
Reinicie o serviço syslog-ng para aplicar as alterações:
```
service syslog-ng restart
```
Opcional: valide a configuração do Syslog:
1. Aceda a Administração > Definições do servidor Syslog.
2. Clique em Testar ligação.

Configure o Syslog para o FireFlow

Inicie sessão na máquina FireFlow como root.
Abra o ficheiro /etc/syslog.conf para edição.
```
vi /etc/syslog.conf
```
Adicione a seguinte linha ao ficheiro: local0.*@<BindplaneAgent>.
- Substitua <BindplaneAgent> pelo endereço IP do servidor do agente do Bindplane.

Configure o Syslog para o AppViz

Inicie sessão no dispositivo AppViz através de SSH.
Aceda ao diretório de configuração do syslog-ng:
```
cd /etc/syslog-ng
```
Faça uma cópia de segurança da configuração existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edite o ficheiro de configuração syslog-ng:
```
vi syslog-ng.conf
```

Adicione o seguinte para definir o servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Substitua <bindplane-server-ip> pelo endereço IP do agente do Bindplane.

Guarde e saia do editor.
Reinicie o serviço syslog-ng para aplicar as alterações:
```
service syslog-ng restart
```
Valide a configuração do Syslog:
1. Na interface do AppViz, aceda a Administração > Definições do servidor Syslog.
2. Clique em Testar ligação.

Configure o Syslog para eventos de início e fim de sessão

Inicie sessão no dispositivo ASMS através de SSH.
Aceda ao diretório de configuração do syslog-ng:
```
cd /etc/syslog-ng
```
Faça uma cópia de segurança da configuração existente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Edite o ficheiro de configuração syslog-ng:
```
vi syslog-ng.conf
```

Adicione o seguinte para definir o servidor syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Substitua <bindplane-server-ip> pelo endereço IP do seu servidor syslog.

Guarde e saia do editor.
Reinicie o serviço syslog-ng para aplicar as alterações:
```
service syslog-ng restart
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`by_user`	`principal.user.user_display_name`	O valor do campo `by_user` do registo não processado é atribuído a este campo UDM.
`collection_time`	`metadata.event_timestamp`	Os campos de segundos e nanos são combinados para criar uma data/hora.
`comm`	`target.process.command_line`	O valor do campo `comm` extraído do campo `desc` através do grok é atribuído a este campo UDM.
`datetime`	`metadata.event_timestamp`	A data e a hora são extraídas do registo não processado e usadas para preencher a data/hora do evento.
`desc`	`metadata.description`	O valor do campo `desc` do registo não processado é atribuído a este campo de UDM quando não está disponível nenhuma outra descrição.
`dest_ip`	`target.ip`	O valor do campo `dest_ip` do registo não processado é atribuído a este campo UDM.
`dest_port`	`target.port`	O valor do campo `dest_port` do registo não processado é atribuído a este campo UDM.
`details`	`security_result.summary`	O valor do campo `details` do registo não processado é atribuído a este campo UDM.
`device`	`principal.asset.hostname`	O valor do campo `device` do registo não processado é atribuído a este campo UDM.
`dst_ip`	`target.ip`	O valor do campo `dst_ip` do registo não processado é atribuído a este campo UDM.
`dst_port`	`target.port`	O valor do campo `dst_port` do registo não processado é atribuído a este campo UDM.
`event_id`	`metadata.product_event_type`	O valor do campo `event_id` do registo não processado é atribuído a este campo UDM. Também é usado na lógica do analisador para determinar o `metadata.event_type` e outros campos.
`event_name`	`metadata.product_event_type`	O valor do campo `event_name` do registo não processado é atribuído a este campo UDM.
`firewall`	`target.hostname`	O valor do campo `firewall` do registo não processado é atribuído a este campo UDM.
`host`	`principal.hostname`	O valor do campo `host` do registo não processado é atribuído a este campo UDM.
`host_type`	`principal.asset.category`	O valor do campo `host_type` do registo não processado é atribuído a este campo UDM.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Se o valor for um endereço IP, é mapeado para `principal.ip`, `target.ip` ou `observer.ip`, consoante a origem do registo e o tipo de evento. Se for um nome do anfitrião, é mapeado para `principal.hostname`, `target.hostname` ou `observer.hostname`.
`IP`	`principal.ip`	O valor do campo `IP` do registo não processado é atribuído a este campo UDM.
`kv_data`	`security_result.summary`	O valor do campo `kv_data` do registo não processado é atribuído a este campo UDM.
`log_type`	`metadata.log_type`	Codificado para `ALGOSEC`.
`metric`	`security_result.action_details`	O valor do campo `metric` do registo não processado é atribuído a este campo UDM.
`msg`	`security_result.summary`/`security_result.description`	O valor do campo `msg` do registo não processado é usado para preencher o resumo ou a descrição do resultado de segurança, consoante o contexto. Também é usado para extrair os campos `risk_level`, `risk_count`, `risk_code` e `risk_title`.
`pid`	`target.process.pid`	O valor do campo `pid` extraído do campo `desc` através do grok é atribuído a este campo UDM.
`product`	`metadata.product_name`	O valor do campo `product` do registo não processado é atribuído a este campo UDM.
`report`	`security_result.description`	O valor do campo `report` do registo não processado está incluído na descrição do resultado de segurança.
`report_data.Device IP`	`target.ip`	O valor do campo `Device IP` dos dados JSON analisados é atribuído a este campo de UDM.
`report_data.Highest Risk Level`	`security_result.description`	O valor do campo `Highest Risk Level` dos dados JSON analisados está incluído na descrição do resultado de segurança. Também é usado para determinar a gravidade do resultado de segurança.
`report_data.Security Rating Score`	`security_result.description`	O valor do campo `Security Rating Score` dos dados JSON analisados está incluído na descrição do resultado de segurança.
`Requestor.Email`	`principal.user.email_addresses`	O valor do campo `Email` no objeto `Requestor` dos dados JSON analisados é atribuído a este campo de UDM.
`Requestor.Name`	`principal.user.user_display_name`	O valor do campo `Name` no objeto `Requestor` dos dados JSON analisados é atribuído a este campo de UDM.
`RequestType`	`target.resource.attribute.labels`	O valor do campo `RequestType` do registo não processado é adicionado como uma etiqueta ao recurso de destino.
`risk_title`	`security_result.summary`	O valor do campo `risk_title` do registo não processado é atribuído a este campo UDM.
`src_ip`	`principal.ip`	O valor do campo `src_ip` do registo não processado é atribuído a este campo UDM.
`src_port`	`principal.port`	O valor do campo `src_port` do registo não processado é atribuído a este campo UDM.
`status`	`security_result.description`/`security_result.action_details`	O valor do campo `status` do registo não processado é incluído na descrição do resultado de segurança ou nos detalhes da ação, consoante o contexto. Também é usado para determinar a gravidade do resultado de segurança.
`target_app`	`target.application`	O valor do campo `target_app` do registo não processado é atribuído a este campo UDM.
`TemplateName`	`metadata.description`	O valor do campo `TemplateName` do registo não processado é atribuído a este campo UDM.
`url`	`security_result.url_back_to_product`	O valor do campo `url` do registo não processado é atribuído a este campo UDM.
`user`	`principal.user.userid`	O valor do campo `user` do registo não processado é atribuído a este campo UDM.
`vendor`	`metadata.vendor_name`	O valor do campo `vendor` do registo não processado é atribuído a este campo UDM.
`version`	`metadata.product_version`	O valor do campo `version` do registo não processado é atribuído a este campo UDM.
`WorkFlow`	`target.resource.attribute.labels`	O valor do campo `WorkFlow` do registo não processado é adicionado como uma etiqueta ao recurso de destino.
(Lógica do analisador)	`extensions.auth.type`	Codificado para `MACHINE`.
(Lógica do analisador)	`security_result.action`	Determinado com base no `event_id` e noutros campos. Normalmente, definido como `ALLOW` ou `BLOCK`.
(Lógica do analisador)	`security_result.category`	Codificado como `POLICY_VIOLATION` para eventos do Firewall Analyzer.
(Lógica do analisador)	`security_result.description`	Construído com base noutros campos, fornecendo contexto e detalhes sobre o evento.
(Lógica do analisador)	`security_result.severity`	Determinado com base nos campos `event_id`, `msg` e outros. Normalmente, definido como `LOW`, `MEDIUM` ou `HIGH`.
(Lógica do analisador)	`metadata.event_type`	Determinado com base no `event_id` e noutros campos. Os exemplos incluem `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION` e `STATUS_UPDATE`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.