Recopilar registros de asistencia remota de BeyondTrust

Este analizador gestiona los mensajes syslog de BeyondTrust Remote Support y los transforma al formato UDM. Procesa registros con formato CEF y sin formato CEF, extrae campos, realiza transformaciones de datos y los asigna a los campos de UDM correspondientes, incluidos los detalles de la entidad principal, el destino y el resultado de seguridad.

Antes de empezar

• Asegúrate de que tienes una instancia de Google Security Operations.
• Asegúrate de que usas Windows 2016 o una versión posterior, o un host Linux con systemd.
• Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

1. Para instalar en Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para instalar Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

1. Accede al equipo en el que está instalado Bindplane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: BeyondTrust_Remote_Support
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de Bindplane para aplicar los cambios:

   sudo systemctl restart bindplane
   

Configurar la exportación de Syslog desde la asistencia remota de BeyondTrust

1. Inicia sesión en tu cuenta de asistencia remota de BeyondTrust.
2. Ve a Seguridad > Administración de dispositivos.
3. Ve a la sección Syslog y define los siguientes valores:
   • Servidor Syslog remoto: introduce el nombre de host o la dirección IP del servidor host de syslog (Bindplane). En este campo, puede añadir hasta tres servidores syslog.
   • Formato del mensaje: selecciona RFC 5424.
   • Puerto: introduce el puerto del servidor host de syslog (Bindplane).
4. Haz clic en Enviar.

Asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.