CyberArk EPM ログを収集する

このパーサーコードは、CyberArk EPM ログデータを統合データモデル（UDM）に変換します。ログ内の各イベントを反復処理し、関連するフィールドを対応する UDM フィールドにマッピングし、「exposedUsers」などの特定のデータ構造を処理し、静的なベンダーとプロダクトの情報で出力を拡充します。

始める前に

• Google Security Operations インスタンスがあることを確認します。
• Windows 2016 以降、または systemd を使用した Linux ホストを使用していることを確認します。
• プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
• EPM Server Management コンソールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [収集エージェント] に移動します。
3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [プロファイル] に移動します。
3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

1. Windows へのインストールの場合は、次のスクリプトを実行します。
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Linux へのインストールの場合は、次のスクリプトを実行します。
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

1. BindPlane がインストールされているマシンにアクセスします。

2. config.yaml ファイルを次のように編集します。

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Cyberark_EPM
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. BindPlane Agent を再起動して変更を適用します。

   sudo systemctl restart bindplane
   

EPM でサードパーティ イベント転送を構成する

1. EPM Server Management コンソールにログインします。
2. [詳細設定] > [サーバー構成] に移動します。
3. [イベント リスナー] セクションで、[サードパーティ リスナー] の設定を見つけます。
4. サードパーティ リスナーを有効にするには、値を [オン] に設定します。
5. 次の詳細を指定して、Syslog リスナーを構成します。
   • Syslog サーバー IP: Syslog サーバー（Bindplane）の IP アドレスを入力します。
   • Syslog ポート: Syslog サーバー（Bindplane）のポート番号を指定します。
   • プロトコル: Syslog サーバーで構成されているプロトコル（TCP または UDP）を選択します。
   • 形式: ログの形式として [Syslog] を選択します。
6. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	論理
agentId	principal.asset.asset_id	「agentId:」と agentId フィールドの値を連結します。
computerName	principal.hostname	computerName フィールドを直接マッピングします。
displayName	metadata.description	displayName フィールドを直接マッピングします。
eventType	metadata.product_event_type	eventType フィールドを直接マッピングします。
exposedUsers.[].accountName	target.user.attribute.labels	キー「accountName_[index]」と exposedUsers.[index].accountName の値でラベルを作成します。
exposedUsers.[].domain	target.user.attribute.labels	キー「domain_[index]」と exposedUsers.[index].domain の値でラベルを作成します。
exposedUsers.[].username	target.user.attribute.labels	キー「username_[index]」と exposedUsers.[index].username の値でラベルを作成します。
filePath	target.file.full_path	filePath フィールドを直接マッピングします。
hash	target.file.sha1	hash フィールドを直接マッピングします。
operatingSystemType	principal.platform	operatingSystemType フィールドが「Windows」の場合、「Windows」を「WINDOWS」にマッピングします。
policyName	security_result.rule_name	policyName フィールドを直接マッピングします。
processCommandLine	target.process.command_line	processCommandLine フィールドを直接マッピングします。
publisher	additional.fields	キー「Publisher」と publisher フィールドの string_value でフィールドを作成します。
sourceProcessCommandLine	target.process.parent_process.command_line	sourceProcessCommandLine フィールドを直接マッピングします。
sourceProcessHash	target.process.parent_process.file.sha1	sourceProcessHash フィールドを直接マッピングします。
sourceProcessSigner	additional.fields	キー「sourceProcessSigner」と sourceProcessSigner フィールドの string_value でフィールドを作成します。
threatProtectionAction	security_result.action_details	threatProtectionAction フィールドを直接マッピングします。
	metadata.event_timestamp	イベントのタイムスタンプをログエントリの create_time に設定します。
	metadata.event_type	「STATUS_UPDATE」にハードコードされています。
	metadata.log_type	「CYBERARK_EPM」にハードコードされています。
	metadata.product_name	「EPM」にハードコードされています。
	metadata.vendor_name	「CYBERARK」にハードコードされています。
	security_result.alert_state	「ALERTING」にハードコードされています。
userName	principal.user.userid	userName フィールドを直接マッピングします。

変更

2023-08-22

• 新しく作成されたパーサー

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。