Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Carbon Black App Control

Compatible avec:

Google SecOps SIEM

Ce document explique comment collecter les journaux Carbon Black App Control. L'analyseur est compatible avec les formats CEF et JSON. Il tente d'abord d'analyser l'entrée au format JSON. Si cela échoue, il traite l'entrée en tant que CEF, effectue des substitutions de texte, extrait les champs CEF, les met en correspondance avec l'UDM et définit le type d'événement sur "GENERIC_EVENT". Sinon, il utilise un fichier d'inclusion de mappage UDM spécifique au format JSON.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Serveur Carbon Black App Control (CB Protection) (version 8.x ou ultérieure recommandée)
Assurez-vous de disposer d'un accès privilégié à Carbon Black App Control.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

Accédez au fichier de configuration:
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

Modifiez le fichier config.yaml comme suit :

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:11592"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: JSON
            namespace: cb_app_control
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.
Remplacez <customer_id> par le numéro client réel.
Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer CB App Control pour envoyer des journaux Syslog

Connectez-vous à la console de contrôle des applications CB avec un compte administrateur.
Accédez à Administration > Configuration système > Journalisation externe.
Dans la section "Enregistrement des événements externes" :
- Activer la journalisation Syslog: cochez la case Syslog activé.
- Server Address (Adresse du serveur) : <Bindplane Server IP>.
- Port : <Bindplane Server PORT>.
- Protocole: sélectionnez TCP.
- Format Syslog: sélectionnez JSON.
Sous Options de journalisation des événements, sélectionnez les types de journaux à envoyer :
- Non-respect des règles
- Événements de surveillance de l'intégrité des fichiers (FIM)
- Événements d'authentification des utilisateurs
- Données de renseignement sur les menaces
Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`ABId`	`principal.asset.asset_id`	Le `ABId` du journal JSON est utilisé dans l'ID de l'asset au format `PRODUCT_SPECIFIC_ID:{ABId}-{Bit9Server}`.
`Bit9Server`	`principal.asset.asset_id`	Utilisé dans l'ID de l'entité principale, combiné à `ABId`. Permet également de créer le champ `metadata.url_back_to_product`.
`CommandLine`	`about.process.command_line`	Mappage direct.
`EventType`	`metadata.product_event_type`	Mappé avec le `EventTypeId` correspondant entre crochets (par exemple, "[5] - Discovery").
`EventTypeId`	`metadata.product_event_type`	Utilisé avec `EventType` pour renseigner `metadata.product_event_type`.
`EventSubType`	`metadata.description`	Ajouté au champ `metadata.description`.
`EventSubTypeId`	`metadata.description`	Non mappé explicitement, mais pouvant contribuer à la description en fonction de la logique interne de l'analyseur.
`externalId`	`metadata.product_log_id`	Mappage direct.
`FileHash`	`about.file.sha256`	Mappage direct.
`FileName`	`additional.fields` (avec la clé "FileName")	Ajouté en tant que champ supplémentaire. Utilisé également dans les informations de fichier dans `metadata.description` pour certains événements.
`FilePath`	`about.file.full_path`	Mappage direct.
`FileThreat`	`additional.fields` (avec la clé "fileThreat")	Ajouté en tant que champ supplémentaire.
`FileTrust`	`additional.fields` (avec la clé "fileTrust")	Ajouté en tant que champ supplémentaire.
`HostId`	`principal.asset.asset_id`	Permet de créer l'URL de retour vers le produit dans `metadata.url_back_to_product`.
`HostName`	`target.hostname`	Mappage direct.
`HostIP`	`target.ip`	Mappage direct.
`Message`	`metadata.description`	Mappage direct.
`PathName`	`about.file.full_path`	Mappage direct.
`Platform`	`target.platform`	Mappé sur la valeur d'énumération `WINDOWS`.
`Policy`	`additional.fields` (avec la clé "Policy")	Ajouté en tant que champ supplémentaire.
`PolicyId`	`additional.fields` (avec la clé "PolicyId")	Ajouté en tant que champ supplémentaire.
`ProcessKey`	`additional.fields` (avec la clé "ProcessKey")	Ajouté en tant que champ supplémentaire.
`ProcessPath`	`about.process.command_line`	Mappage direct.
`ProcessPathName`	`about.process.command_line`	Mappage direct.
`ProcessThreat`	`additional.fields` (avec la clé "ProcessThreat")	Ajouté en tant que champ supplémentaire.
`ProcessTrust`	`additional.fields` (avec la clé "ProcessTrust")	Ajouté en tant que champ supplémentaire.
`RuleName`	`additional.fields` (avec la clé "ruleName")	Ajouté en tant que champ supplémentaire.
`Timestamp`	`metadata.event_timestamp`	Mappage direct.
`UserName`	`target.user.user_display_name`	Mappage direct.
`UserSid`	`principal.user.userid`	Mappage direct.
`agent.ephemeral_id`	`observer.labels` (avec la clé "ephemeral_id")	Ajouté en tant que libellé d'observateur.
`agent.name`	`principal.hostname`, `observer.hostname`, `observer.user.userid`	Mappé sur plusieurs champs.
`agent.type`	`observer.application`	Mappage direct.
`agent.version`	`metadata.product_version`	Mappage direct pour les journaux JSON. Pour les journaux CEF, extraits du message CEF.
`cat`	`security_result.category_details`	Mappage direct.
`cs1`	`additional.fields` (avec la clé "rootHash" ou un autre cs1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs1Label`.
`cs1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs1`.
`cs2`	`additional.fields` (avec la clé "installerFilename" ou un autre cs2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs2Label`.
`cs2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs2`.
`cs3`	`additional.fields` (avec la clé "Policy" ou un autre cs3Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs3Label`.
`cs3Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs3`.
`cs5`	`additional.fields` (avec la clé "ruleName" ou un autre cs5Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cs5Label`.
`cs5Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cs5`.
`cfp1`	`additional.fields` (avec la clé "fileTrust" ou un autre cfp1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cfp1Label`.
`cfp1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cfp1`.
`cfp2`	`additional.fields` (avec la clé "processTrust" ou un autre cfp2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `cfp2Label`.
`cfp2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `cfp2`.
`deviceProcessName`	`about.process.command_line`	Mappage direct.
`dhost`	`target.hostname`	Mappage direct.
`dst`	`target.ip`	Mappage direct.
`duser`	`target.user.user_display_name`	Mappage direct.
`dvchost`	`about.hostname`	Mappage direct.
`eventId`	`additional.fields` (avec la clé "eventId")	Ajouté en tant que champ supplémentaire.
`fileHash`	`about.file.sha256`	Mappage direct.
`flexString1`	`additional.fields` (avec la clé "fileThreat" ou un autre flexString1Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `flexString1Label`.
`flexString1Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `flexString1`.
`flexString2`	`additional.fields` (avec la clé "processThreat" ou une autre flexString2Label)	Ajouté en tant que champ supplémentaire avec la clé définie par `flexString2Label`.
`flexString2Label`	`additional.fields`	Utilisé comme clé pour le champ supplémentaire renseigné par `flexString2`.
`fname`	`additional.fields` (avec la clé "fname")	Ajouté en tant que champ supplémentaire. Utilisé également dans les informations de fichier dans `metadata.description` pour certains événements.
`host.architecture`	`target.asset.hardware.cpu_platform`	Mappage direct.
`host.hostname`	`target.asset.asset_id`	Utilisé dans l'ID de l'asset cible ("ID de l'hôte: {host.hostname}"). Également mappé sur `target.hostname`.
`host.id`	`target.asset.asset_id`	Utilisé dans l'ID de l'asset cible ("ID de l'hôte: {host.id}").
`host.ip`	`target.asset.ip`	Mappage direct.
`host.mac`	`target.mac`	Mappage direct.
`host.name`	`target.hostname`	Mappage direct.
`host.os.build`	`target.platform_patch_level`	Mappage direct.
`host.os.kernel`	`target.platform_patch_level`	Ajouté à `target.platform_patch_level`.
`host.os.platform`	`target.platform`	Mappé sur la valeur d'énumération `WINDOWS`.
`host.os.type`	`target.platform`	Mappé sur la valeur d'énumération `WINDOWS`.
`host.os.version`	`target.platform_version`	Mappage direct.
`log.file.path`	`target.file.full_path`	Mappage direct.
`metadata.event_type`	`metadata.event_type`	Définissez la valeur sur "GENERIC_EVENT" pour les journaux CEF et "SYSTEM_AUDIT_LOG_UNCATEGORIZED" pour les journaux JSON.
`metadata.log_type`	`metadata.log_type`	Définissez cette valeur sur "CB_EDR".
`metadata.product_log_id`	`metadata.product_log_id`	Mappé à partir de `externalId` pour les journaux CEF. Non applicable aux journaux JSON.
`metadata.product_name`	`metadata.product_name`	Définissez-le sur "App Control" (Contrôle des applications) pour les journaux CEF et sur "CB_APP_CONTROL" pour les journaux JSON.
`metadata.product_version`	`metadata.product_version`	Extrait du message CEF pour les journaux CEF. Mappé à partir de `agent.version` pour les journaux JSON.
`metadata.vendor_name`	`metadata.vendor_name`	Définissez-le sur "Carbon Black".
`msg`	`metadata.description`, `additional.fields`	Permet de renseigner `metadata.description` et éventuellement d'autres champs en fonction de la logique de l'analyseur.
`sproc`	`principal.process.command_line`	Mappage direct.
`metadata.url_back_to_product`	`metadata.url_back_to_product`	Construit à l'aide des champs `Bit9Server` et `HostId` pour les journaux JSON. Non applicable aux journaux CEF.
`security_result.severity`	`security_result.severity`	Variable définie sur `MEDIUM`.
`timestamp`	`events.timestamp`	Mappage direct pour les journaux JSON. Pour les journaux CEF, la logique de l'analyseur détermine le code temporel en fonction du champ `rt` du journal brut, le cas échéant, ou du `collection_time` si `rt` n'est pas présent.

Modifications

2022-07-01

Amélioration
Mappage du champ "agent.type" sur "observer.application".
Mappage du champ "agent.name" sur "observer.user.userid".
Mappage du champ "host.name" sur "observer.hostname".
Mappage des champs "agent.type" et "agent.name" sur "observer.asset_id".
Mappage du champ "agent.ephemeral_id" sur "observer.labels".
Mappage du champ "host.os.platform" sur "target.platform".
Mappage du champ "host.os.version" sur "target.platform_version".
Mappage du champ "host.os.kernel" sur "target.platform_patch_level".
Le champ "cloud.instance.id" a été mappé sur "principal.resource.product_object_id".
Mappage du champ "cloud.instance.name" sur "principal.resource.name".
Le champ "host.mac" a été mappé sur "target.mac".
Mappage du champ "host.ip" sur "target.asset.ip".
Mappage du champ "host.id" sur "target.asset.asset_id".
Mappage du champ "host.architecture" sur "target.asset.hardware".
Mappage du champ "message.UserSID" sur "principal.user.userid".
Mappage du champ "message.ProcessPath" sur "about.process.command_line".
Mappage des champs "cloud.machine.type" et "cloud.provider" sur "principal.resource.attribute.labels".
Ajout de vérifications conditionnelles pour "message.Bit9Server" et "message.HostId" mappés sur "metadata.url_back_to_product".

2022-06-22

Correction de bugs
Mappage de l'ID d'hôte sur principal.asset_id
Association de la combinaison Bit9Server et HostId à metadata.url_back_to_product

2022-05-19

Correction de bugs
analysé les journaux demandés dans le bug ;
journaux d'échec de l'API analysés

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.