CyberArk EPM ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーコードは、CyberArk EPM ログデータを統合データモデル(UDM)に変換します。ログ内の各イベントを反復処理し、関連するフィールドを対応する UDM フィールドにマッピングし、「exposedUsers」などの特定のデータ構造を処理し、静的なベンダーとプロダクトの情報で出力を拡充します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- EPM Server Management Console への特権アクセス権があることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定 > 収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yaml
ファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Cyberark_EPM raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
BindPlane エージェントを再起動して変更を適用します。
sudo systemctl restart bindplane
EPM でサードパーティ イベント転送を構成する
- EPM Server Management コンソールにログインします。
- [詳細設定> サーバー構成] に移動します。
- [イベント リスナー] セクションで、[サードパーティ リスナー] の設定を見つけます。
- サードパーティ リスナーを有効にするには、値を [オン] に設定します。
- 次の詳細を指定して、Syslog リスナーを構成します。
- Syslog Server IP: syslog サーバー(Bindplane)の IP アドレスを入力します。
- Syslog Port: syslog サーバー(Bindplane)のポート番号を指定します。
- プロトコル: syslog サーバーで構成されているプロトコル(TCP または UDP)を選択します。
- 形式: ログの形式として [Syslog] を選択します。
- [保存] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
agentId | principal.asset.asset_id | 「agentId:」と agentId フィールドの値を連結します。 |
computerName | principal.hostname | computerName フィールドを直接マッピングします。 |
displayName | metadata.description | displayName フィールドを直接マッピングします。 |
eventType | metadata.product_event_type | eventType フィールドを直接マッピングします。 |
exposedUsers.[].accountName | target.user.attribute.labels | キーが「accountName_[index]」、値が exposedUsers.[index].accountName のラベルを作成します。 |
exposedUsers.[].domain | target.user.attribute.labels | キーが「domain_[index]」、値が exposedUsers.[index].domain のラベルを作成します。 |
exposedUsers.[].username | target.user.attribute.labels | キー「username_[index]」と、exposedUsers.[index].username の値を持つラベルを作成します。 |
filePath | target.file.full_path | filePath フィールドを直接マッピングします。 |
ハッシュ | target.file.sha1 | ハッシュ フィールドを直接マッピングします。 |
operatingSystemType | principal.platform | operatingSystemType フィールドが「Windows」の場合、「Windows」を「WINDOWS」にマッピングします。 |
policyName | security_result.rule_name | policyName フィールドを直接マッピングします。 |
processCommandLine | target.process.command_line | processCommandLine フィールドを直接マッピングします。 |
パブリッシャー | additional.fields | パブリッシャー フィールドからキー「Publisher」と string_value を持つフィールドを作成します。 |
sourceProcessCommandLine | target.process.parent_process.command_line | sourceProcessCommandLine フィールドを直接マッピングします。 |
sourceProcessHash | target.process.parent_process.file.sha1 | sourceProcessHash フィールドを直接マッピングします。 |
sourceProcessSigner | additional.fields | sourceProcessSigner フィールドから、キーが「sourceProcessSigner」、string_value が sourceProcessSigner フィールドの値のフィールドを作成します。 |
threatProtectionAction | security_result.action_details | threatProtectionAction フィールドを直接マッピングします。 |
metadata.event_timestamp | イベントのタイムスタンプをログエントリの create_time に設定します。 | |
metadata.event_type | 「STATUS_UPDATE」にハードコードされました。 | |
metadata.log_type | 「CYBERARK_EPM」にハードコードされました。 | |
metadata.product_name | 「EPM」にハードコードされました。 | |
metadata.vendor_name | 「CYBERARK」にハードコードされました。 | |
security_result.alert_state | 「ALERTING」にハードコードされています。 | |
userName | principal.user.userid | userName フィールドを直接マッピングします。 |
変更点
2023-08-22
- 新しく作成されたパーサー