Raccogli i log di CyberArk EPM

Supportato in:

Questo codice dell'analizzatore sintattico trasforma i dati dei log di CyberArk EPM in un modello di dati unificato (UDM). Esegue l'iterazione di ogni evento nel log, mappa i campi pertinenti ai relativi campi UDM, gestisce strutture di dati specifiche come "exposedUsers" e arricchisce l'output con informazioni statiche su fornitori e prodotti.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato alla Console di gestione del server EPM.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

  1. Per l'installazione su Windows, esegui il seguente script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Per l'installazione di Linux, esegui il seguente script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al computer su cui è installato BindPlane.
  2. Modifica il file config.yaml come segue:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Cyberark_EPM
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Riavvia l'agente BindPlane per applicare le modifiche:

    sudo systemctl restart bindplane
    

Configurare il reindirizzamento di eventi di terze parti in EPM

  1. Accedi alla console di gestione del server EPM.
  2. Vai a Avanzate > Configurazione server.
  3. Nella sezione Appositi per gli eventi, individua l'impostazione Appositi di terze parti.
  4. Imposta il valore su On per attivare gli ascoltatori di terze parti.
  5. Configura l'ascoltatore Syslog fornendo i seguenti dettagli:
    • Indirizzo IP del server syslog: inserisci l'indirizzo IP del server syslog (Bindplane).
    • Porta Syslog: specifica il numero di porta del server syslog (Bindplane).
    • Protocollo: scegli il protocollo configurato nel server syslog (TCP o UDP).
    • Formato: seleziona Syslog come formato per i log.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
agentId principal.asset.asset_id Concatena "agentId:" con il valore del campo agentId.
computerName principal.hostname Mappa direttamente il campo computerName.
displayName metadata.description Mappa direttamente il campo displayName.
eventType metadata.product_event_type Mappa direttamente il campo eventType.
exposedUsers.[].accountName target.user.attribute.labels Crea un'etichetta con la chiave "accountName_[index]" e il valore da exposedUsers.[index].accountName.
exposedUsers.[].domain target.user.attribute.labels Crea un'etichetta con la chiave "domain_[index]" e il valore da exposedUsers.[index].domain.
exposedUsers.[].username target.user.attribute.labels Crea un'etichetta con la chiave "username_[index]" e il valore da exposedUsers.[index].username.
filePath target.file.full_path Mappa direttamente il campo filePath.
hash target.file.sha1 Mappa direttamente il campo dell'hash.
operatingSystemType principal.platform Mappa "Windows" a "WINDOWS" se il campo operatingSystemType è "Windows".
policyName security_result.rule_name Mappa direttamente il campo policyName.
processCommandLine target.process.command_line Mappa direttamente il campo processCommandLine.
publisher additional.fields Crea un campo con chiave "Editore" e string_value dal campo editore.
sourceProcessCommandLine target.process.parent_process.command_line Mappa direttamente il campo sourceProcessCommandLine.
sourceProcessHash target.process.parent_process.file.sha1 Mappa direttamente il campo sourceProcessHash.
sourceProcessSigner additional.fields Crea un campo con la chiave "sourceProcessSigner" e il valore stringa dal campo sourceProcessSigner.
threatProtectionAction security_result.action_details Mappa direttamente il campo threatProtectionAction.
metadata.event_timestamp Imposta il timestamp dell'evento su create_time della voce di log.
metadata.event_type Hardcoded to "STATUS_UPDATE".
metadata.log_type Hardcoded su "CYBERARK_EPM".
metadata.product_name Hardcoded su "EPM".
metadata.vendor_name Hardcoded su "CYBERARK".
security_result.alert_state Hardcoded to "ALERTING".
userName principal.user.userid Mappa direttamente il campo userName.

Modifiche

2023-08-22

  • Analizzatore appena creato