Collecter les journaux CyberArk EPM

Ce code d'analyseur transforme les données de journal CyberArk EPM en modèle de données unifié (UDM). Il itère sur chaque événement du journal, met en correspondance les champs pertinents avec leurs champs UDM correspondants, gère des structures de données spécifiques telles que "exposedUsers" et enrichit la sortie avec des informations statiques sur les fournisseurs et les produits.

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous d'avoir un accès privilégié à la console de gestion du serveur EPM.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

1. Pour l'installation sous Windows, exécutez le script suivant:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Pour l'installation Linux, exécutez le script suivant:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez à la machine sur laquelle l'agent Bindplane est installé.

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Cyberark_EPM
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Redémarrez l'agent Bindplane pour appliquer les modifications:

   sudo systemctl restart bindplane
   

Configurer le transfert d'événements tiers dans EPM

1. Connectez-vous à la console de gestion du serveur EPM.
2. Accédez à Paramètres avancés > Configuration du serveur.
3. Dans la section Écouteurs d'événements, recherchez le paramètre Écouteurs tiers.
4. Définissez la valeur sur Activé pour activer les écouteurs tiers.
5. Configurez l'écouteur Syslog en fournissant les informations suivantes :
   • Adresse IP du serveur syslog: saisissez l'adresse IP du serveur syslog (Bindplane).
   • Port Syslog: spécifiez le numéro de port du serveur Syslog (Bindplane).
   • Protocole: choisissez le protocole configuré sur le serveur syslog (TCP ou UDP).
   • Format: sélectionnez Syslog comme format des journaux.
6. Cliquez sur Enregistrer.

Tableau de mappage UDM

Modifications

2023-08-22

• Analyseur nouvellement créé

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.