Recolha registos do BeyondTrust Remote Support

Este analisador processa mensagens syslog do BeyondTrust Remote Support, transformando-as no formato UDM. Processa registos formatados em CEF e não CEF, extraindo campos, realizando transformações de dados e mapeando-os para os campos UDM adequados, incluindo detalhes principais, de destino e de resultados de segurança.

Antes de começar

• Certifique-se de que tem uma instância do Google Security Operations.
• Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

1. Para a instalação do Windows, execute o seguinte script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para a instalação do Linux, execute o seguinte script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda à máquina onde o Bindplane está instalado.

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: BeyondTrust_Remote_Support
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicie o agente do Bindplane para aplicar as alterações:

   sudo systemctl restart bindplane
   

Configure a exportação do Syslog a partir do BeyondTrust Remote Support

1. Inicie sessão no BeyondTrust Remote Support.
2. Aceda a Segurança > Administração de dispositivos.
3. Aceda à secção Syslog e defina os seguintes valores:
   • Servidor Syslog remoto: introduza o nome de anfitrião ou o endereço IP do servidor de anfitrião syslog (Bindplane). Neste campo, pode adicionar até três servidores syslog.
   • Formato da mensagem: selecione RFC 5424.
   • Porta: introduza a porta do servidor de anfitrião syslog (Bindplane).
4. Clique em Enviar.

Mapeamento de UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.