Esta página foi traduzida pela API Cloud Translation.

Recolha registos de identidades privilegiadas do BeyondTrust

Compatível com:

Google secops SIEM

Este documento explica como carregar registos de identidades privilegiadas do BeyondTrust para o Google Security Operations através do Bindplane. O analisador extrai registos do BeyondTrust Remote Support, processando mensagens syslog formatadas em CEF e não CEF. Analisa os campos principais, mapeia-os para o modelo de dados unificado (UDM) e determina o tipo de evento com base nos campos extraídos, como dst, src, suid e sEventID, enriquecendo os dados com contexto adicional, como detalhes do utilizador, endereços IP e resultados de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao dispositivo de acesso remoto privilegiado da BeyondTrust

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BEYONDTRUST_PI'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no BeyondTrust Privileged Identity

Inicie sessão no Beyondtrust Privileged Appliance.
Aceda a Dispositivo > Segurança > Administração do dispositivo.
Aceda à secção Syslog.
Indique os seguintes detalhes de configuração:
- Nome do anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta: a porta predefinida está definida como 514 (UDP).
- Formato: selecione RFC 5424.
Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
cs1	additional.fields[0].key	Mapeado diretamente a partir do campo de registo não processado `cs1Label`.
cs1Label	additional.fields[0].value.string_value	Mapeado diretamente a partir do campo de registo não processado `cs1`.
cs3	additional.fields[1].value.string_value	Mapeado diretamente a partir do campo de registo não processado `cs3Label`.
cs3Label	additional.fields[1].key	Mapeado diretamente a partir do campo de registo não processado `cs3`.
cs4	additional.fields[2].value.string_value	Mapeado diretamente a partir do campo de registo não processado `cs4Label`.
cs4Label	additional.fields[2].key	Mapeado diretamente a partir do campo de registo não processado `cs4`.
dados	metadata.description	Para mensagens CEF, o campo `msg` (extraído de `data`) é mapeado para `metadata.description`. Para mensagens não CEF, o campo `sMessage` (ou partes do mesmo, consoante o formato da mensagem específico) é mapeado para `metadata.description`.
dhost	target.hostname	Mapeado diretamente a partir do campo de registo não processado `dhost`.
dntdom	target.administrative_domain	Mapeado diretamente a partir do campo de registo não processado `dntdom`.
duser	target.user.user_display_name	Mapeado diretamente a partir do campo de registo não processado `duser`.
msg	metadata.description	Mapeado diretamente a partir do campo de registo não processado `msg` em mensagens CEF.
rt	metadata.event_timestamp.seconds	A data/hora de época é extraída do campo `rt` nas mensagens CEF.
sEventType	metadata.product_event_type	Mapeado diretamente a partir do campo de registo não processado `sEventType` em mensagens não CEF.
shost	principal.ip	Mapeado diretamente a partir do campo de registo não processado `shost`.
sIpAddress	principal.ip	Mapeado diretamente a partir do campo de registo não processado `sIpAddress` em mensagens não CEF.
sLoginName	principal.user.userid	Extraído do campo `sLoginName` através de uma expressão regular para separar o domínio e o ID do utilizador.
sMessage	security_result.description	Mapeado diretamente a partir do campo de registo não processado `sMessage` em mensagens não CEF ou as partes extraídas do mesmo são usadas para `security_result.description`.
sntdom	principal.administrative_domain	Mapeado diretamente a partir do campo de registo não processado `sntdom`.
sOriginatingAccount	principal.user.userid	Extraído do campo `sOriginatingAccount` através de uma expressão regular para separar o domínio e o ID do utilizador.
sOriginatingApplicationComponent	principal.application	Usado em combinação com `sOriginatingApplicationName` para preencher `principal.application`.
sOriginatingApplicationName	principal.application	Usado em combinação com `sOriginatingApplicationComponent` para preencher `principal.application`.
sOriginatingSystem	principal.hostname	Mapeado diretamente a partir do campo de registo não processado `sOriginatingSystem` em mensagens não CEF.
suser	principal.user.user_display_name	Mapeado diretamente a partir do campo de registo não processado `suser`. Determinado pela lógica do analisador com base na presença e nos valores de outros campos, como `dst`, `src`, `shost` e `suid`. Os valores possíveis são `NETWORK_CONNECTION`, `STATUS_UPDATE`, `USER_UNCATEGORIZED` e `GENERIC_EVENT`. Definido como "BEYONDTRUST_PI". Definido como "BeyondTrust Remote Support". Extraído do cabeçalho CEF em mensagens CEF. Definido como "BeyondTrust". Definido como "ALLOW" ou "BLOCK" com base nos campos `status`, `reason` ou `sMessage`. Definido como `LOW`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.