收集 BeyondTrust 远程支持日志
支持的平台:
Google SecOps
SIEM
此解析器会处理来自 BeyondTrust Remote Support 的 syslog 消息,并将其转换为 UDM 格式。它会处理 CEF 和非 CEF 格式的日志,提取字段、执行数据转换,并将其映射到适当的 UDM 字段,包括正文、目标和安全结果详细信息。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 Bindplane 的机器。
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels重启 Bindplane 代理以应用更改:
sudo systemctl restart bindplane
通过 BeyondTrust Remote Support 配置 Syslog 导出
- 登录您的 BeyondTrust 远程支持服务。
- 依次前往安全性 > 设备管理。
- 前往 Syslog 部分,然后设置以下值:
- 远程 Syslog 服务器:输入 syslog 主机服务器 (Bindplane) 的主机名或 IP 地址。您最多可以在该字段中添加 3 个 syslog 服务器。
- 消息格式:选择 RFC 5424。
- 端口:输入 syslog 主机服务器 (Bindplane) 的端口。
- 点击提交。
UDM 映射
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“account:expiration”字段。 |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“account:email:locale”字段。 |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“ssions:command_shell_is_whitelist”字段。 |
| datetime | read_only_udm.metadata.event_timestamp.seconds | 系统会从原始日志中的“datetime”字段解析该值,并将其转换为 Unix 时间戳。 |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | 系统会从原始日志中的“dtPostTime”字段解析此值,并将其转换为 Unix 时间戳。 |
| 事件 | read_only_udm.metadata.product_event_type | 该值取自原始日志中的“event”字段。 |
| 主机 | read_only_udm.principal.hostname | 该值取自原始日志中的“host”字段。 |
| id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“id”字段。 |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“license_pool:id”字段。 |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | 此值取自原始日志中的“login_schedule:timezone”字段。 |
| old_account:email:address | read_only_udm.target.user.email_addresses | 此值取自原始日志中的“old_account:email:address”字段。 |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_account:failed_logins”字段。 |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_display_number”字段。 |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | 此值取自原始日志中的“old_login_schedule:timezone”字段。 |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:api:reporting”字段。 |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:jump_item_role:default:id”字段。 |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:jump_item_role:default:name”字段。 |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:jump_item_role:teams:id”字段。 |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:jump_item_role:teams:name”字段。 |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:presentations:control:status”字段。 |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:public_sites:templates:status”字段。 |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:presentation_reports”字段。 |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:support_reports”字段。 |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_permissions:reporting:vault_reports”字段。 |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support”字段。 |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:accept_team_sessions:status”字段。 |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:bomgar_button:change_public_sites:status”字段。 |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:bomgar_button:personal:deploy:status”字段。 |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:bomgar_button:team:manage”字段。 |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:bomgar_button:team:manage:status”字段。 |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:ios_content”字段。 |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:jump:local”字段。 |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:jump:local:status”字段。 |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:jump:remote”字段。 |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:jump:remote:status”字段。 |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:rdp:local”字段。 |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:rdp:local:status”字段。 |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:rdp:remote”字段。 |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:rdp:remote:status”字段。 |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:session_assignment:idle_timeout”字段。 |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:session_assignment:idle_timeout:status”字段。 |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:session_assignment:session_limit”字段。 |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:session_assignment:session_limit:status=forbid_override”字段。 |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:session_keys”字段。 |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:status”字段。 |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:team_share”字段。 |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:team_transfer”字段。 |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:vnc:local”字段。 |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:vnc:local:status”字段。 |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:vnc:remote”字段。 |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_permissions:support:vnc:remote:status”字段。 |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“old_private_display_name”字段。 |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_provider:id”字段。 |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“old_provider:name”字段。 |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“permissions:jump_item_role:default:id”字段。 |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“permissions:jump_item_role:default:name”字段。 |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“permissions:jump_item_role:teams:id”字段。 |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“permissions:jump_item_role:teams:name”字段。 |
| provider:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“provider:id”字段。 |
| provider:name | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“provider:name”字段。 |
| reason | read_only_udm.security_result.description | 该值取自原始日志中的“reason”字段,并附加到“description”字段,前缀为“- Reason:”。 |
| sEventID | read_only_udm.metadata.product_event_type | 此值取自原始日志中的“sEventID”字段。 |
| sIpAddress | read_only_udm.principal.ip | 此值取自原始日志中的“sIpAddress”字段。 |
| sLoginName | read_only_udm.principal.user.userid | 系统会从原始日志中的“sLoginName”字段解析此值。如果该字段包含网域,系统会提取该网域并将其映射到 read_only_udm.principal.namespace。 |
| sMessage | read_only_udm.security_result.description | 该值取自原始日志中的“sMessage”字段。解析器会提取引号内的文本,并将其映射到说明字段。 |
| sOriginatingAccount | read_only_udm.principal.user.userid | 系统会从原始日志中的“sOriginatingAccount”字段解析此值。如果该字段包含网域,系统会提取该网域并将其映射到 read_only_udm.principal.namespace。 |
| sOriginatingApplicationComponent | read_only_udm.principal.application | 该值取自原始日志中的“sOriginatingApplicationComponent”字段,并附加到应用字段中括号内的 sOriginatingApplicationName 值后面。 |
| sOriginatingApplicationName | read_only_udm.principal.application | 该值取自原始日志中的“sOriginatingApplicationName”字段。 |
| sOriginatingSystem | read_only_udm.principal.hostname | 此值取自原始日志中的“sOriginatingSystem”字段。 |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“session_policy:id”字段。 |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“session_policy:name”字段。 |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“session_policy:purpose”字段。 |
| 网站 | read_only_udm.target.hostname | 该值取自原始日志中的“site”字段。 |
| 状态 | read_only_udm.security_result.summary | 该值取自原始日志中的“status”字段,并附加到摘要字段。 |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:jump:local”字段。 |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:allow_pinned_clients”字段。 |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:allow_users”字段。 |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:canned_scripts”字段。 |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“support:permissions:chat”字段。 |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:chat:push_url”字段。 |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:chat:send_file”字段。 |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:command_shell”字段。 |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:deploy_callback_button”字段。 |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:elevation”字段。 |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:file_transfers:cust”字段。 |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:file_transfers:download”字段。 |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:file_transfers:rep”字段。 |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:file_transfers:upload”字段。 |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:registry_access”字段。 |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:request_pin_unpin”字段。 |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing”字段。 |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:allow_elevated_tools”字段。 |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:annotations”字段。 |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:application_restriction”字段。 |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:application_sharing”字段。 |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:clipboard_direction”字段。 |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:cobrowse”字段。 |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:privacy_mode”字段。 |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:screen_sharing:show_screen”字段。 |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:system_info”字段。 |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:permissions:system_info:actions”字段。 |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:command_shell”字段。 |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:default”字段。 |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:deploy_callback_button”字段。 |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:elevate”字段。 |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:file_transfer”字段。 |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:registry”字段。 |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:screen_sharing:cobrowse”字段。 |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | 此值取自原始日志中的“support:prompting:screen_sharing:full_access”字段。 |
| 目标 | read_only_udm.target.application | 此值取自原始日志中的“target”字段。解析器会将“rep_client”替换为“代表控制台”,并将“web/login”替换为“Web/登录”。 |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | 该值取自原始日志中的“two_factor_auth:app”字段。 |
| 时间 | read_only_udm.metadata.product_log_id | 该值取自原始日志中的“when”字段。 |
| 时间 | read_only_udm.metadata.event_timestamp.seconds | 系统会从原始日志中的“when”字段解析此值,并将其转换为 Unix 时间戳。 |
| 受众群体 | read_only_udm.principal.user.userid | 系统会从原始日志中的“who”字段解析此值。解析器会提取圆括号内的文本。 |
| 受众群体 | read_only_udm.principal.user.user_display_name | 系统会从原始日志中的“who”字段解析此值。解析器会提取括号前面的文本。 |
| who_ip | read_only_udm.principal.ip | 此值取自原始日志中的“who_ip”字段。 |
| read_only_udm.metadata.vendor_name | 该值由解析器设置为“BeyondTrust”。 | |
| read_only_udm.metadata.product_name | 该值由解析器设置为“BeyondTrust Remote Support”。 | |
| read_only_udm.metadata.log_type | 该值由解析器设置为“BOMGAR”。 | |
| read_only_udm.extensions.auth.type | 如果目标是“rep_client”,则将此值设置为“MACHINE”;如果目标是“web/login”,则将此值设置为“SSO”;否则,由解析器将此值设置为“AUTHTYPE_UNSPECIFIED”。 | |
| read_only_udm.extensions.auth.mechanism | 如果方法为“使用密码”,则将此值设置为“USERNAME_PASSWORD”;如果方法为“使用提升权限”,则将此值设置为“REMOTE”;否则,解析器会将此值留空。 | |
| read_only_udm.security_result.action | 如果状态不是“失败”,原因不是“失败”或“用户未找到”,并且 sMessage 不包含“登录 Web 应用失败”,则将此值设为“允许”。否则,该值将由解析器设置为“BLOCK”。 | |
| read_only_udm.security_result.summary | 该值会根据 eventName 设置为“用户登录”或“用户退出”,后跟解析器返回的状态(如果不为空)。 | |
| read_only_udm.security_result.description | 该值设为“用户”,后跟 userid、IP 地址、状态、eventName、连接器(对于登录为“to”,对于退出为“from”)、目标和方法。如果原因不为空且不为“失败”,则解析器会将其附加到说明中,并在前面加上“- 原因:”前缀。 |
变化
2024-01-12
- 改进了对“质询”状态事件的处理。
- 增强了电子邮件地址映射功能,提高了准确性。
2022-11-24
- 修复了解析显示名称、ID 和方法等用户信息时出现的 bug。
- 提高了用户登录事件的身份验证类型分类准确性。
2022-10-13
- 将客户专用解析器集成到默认解析器中,以扩大适用范围。
2022-09-26
- 将客户专用解析器集成到默认解析器中,以扩大适用范围。
2022-08-19
- 将自定义解析器合并到默认解析器中,以提高可维护性和性能。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。