CyberArk EPM ログを収集する

以下でサポートされています。

このパーサーコードは、CyberArk EPM ログデータを統合データモデル(UDM)に変換します。ログ内の各イベントを反復処理し、関連するフィールドを対応する UDM フィールドにマッピングし、「exposedUsers」などの特定のデータ構造を処理し、静的なベンダーとプロダクトの情報で出力を拡充します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • EPM Server Management Console への特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定 > 収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Cyberark_EPM
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane エージェントを再起動して変更を適用します。

    sudo systemctl restart bindplane
    

EPM でサードパーティ イベント転送を構成する

  1. EPM Server Management コンソールにログインします。
  2. [詳細設定> サーバー構成] に移動します。
  3. [イベント リスナー] セクションで、[サードパーティ リスナー] の設定を見つけます。
  4. サードパーティ リスナーを有効にするには、値を [オン] に設定します。
  5. 次の詳細を指定して、Syslog リスナーを構成します。
    • Syslog Server IP: syslog サーバー(Bindplane)の IP アドレスを入力します。
    • Syslog Port: syslog サーバー(Bindplane)のポート番号を指定します。
    • プロトコル: syslog サーバーで構成されているプロトコル(TCP または UDP)を選択します。
    • 形式: ログの形式として [Syslog] を選択します。
  6. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
agentId principal.asset.asset_id 「agentId:」と agentId フィールドの値を連結します。
computerName principal.hostname computerName フィールドを直接マッピングします。
displayName metadata.description displayName フィールドを直接マッピングします。
eventType metadata.product_event_type eventType フィールドを直接マッピングします。
exposedUsers.[].accountName target.user.attribute.labels キーが「accountName_[index]」、値が exposedUsers.[index].accountName のラベルを作成します。
exposedUsers.[].domain target.user.attribute.labels キーが「domain_[index]」、値が exposedUsers.[index].domain のラベルを作成します。
exposedUsers.[].username target.user.attribute.labels キー「username_[index]」と、exposedUsers.[index].username の値を持つラベルを作成します。
filePath target.file.full_path filePath フィールドを直接マッピングします。
ハッシュ target.file.sha1 ハッシュ フィールドを直接マッピングします。
operatingSystemType principal.platform operatingSystemType フィールドが「Windows」の場合、「Windows」を「WINDOWS」にマッピングします。
policyName security_result.rule_name policyName フィールドを直接マッピングします。
processCommandLine target.process.command_line processCommandLine フィールドを直接マッピングします。
パブリッシャー additional.fields パブリッシャー フィールドからキー「Publisher」と string_value を持つフィールドを作成します。
sourceProcessCommandLine target.process.parent_process.command_line sourceProcessCommandLine フィールドを直接マッピングします。
sourceProcessHash target.process.parent_process.file.sha1 sourceProcessHash フィールドを直接マッピングします。
sourceProcessSigner additional.fields sourceProcessSigner フィールドから、キーが「sourceProcessSigner」、string_value が sourceProcessSigner フィールドの値のフィールドを作成します。
threatProtectionAction security_result.action_details threatProtectionAction フィールドを直接マッピングします。
metadata.event_timestamp イベントのタイムスタンプをログエントリの create_time に設定します。
metadata.event_type 「STATUS_UPDATE」にハードコードされました。
metadata.log_type 「CYBERARK_EPM」にハードコードされました。
metadata.product_name 「EPM」にハードコードされました。
metadata.vendor_name 「CYBERARK」にハードコードされました。
security_result.alert_state 「ALERTING」にハードコードされています。
userName principal.user.userid userName フィールドを直接マッピングします。

変更点

2023-08-22

  • 新しく作成されたパーサー