このページは Cloud Translation API によって翻訳されました。

CyberArk EPM ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーコードは、CyberArk EPM ログデータを統合データモデル（UDM）に変換します。ログ内の各イベントを反復処理し、関連するフィールドを対応する UDM フィールドにマッピングし、「exposedUsers」などの特定のデータ構造を処理し、静的なベンダーとプロダクトの情報で出力を拡充します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
EPM Server Management Console への特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定 > 収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Cyberark_EPM
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

BindPlane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

EPM でサードパーティイベント転送を構成する

EPM Server Management コンソールにログインします。
[詳細設定> サーバー構成] に移動します。
[イベントリスナー] セクションで、[サードパーティリスナー] の設定を見つけます。
サードパーティリスナーを有効にするには、値を [オン] に設定します。
次の詳細を指定して、Syslog リスナーを構成します。
- Syslog Server IP: syslog サーバー（Bindplane）の IP アドレスを入力します。
- Syslog Port: syslog サーバー（Bindplane）のポート番号を指定します。
- プロトコル: syslog サーバーで構成されているプロトコル（TCP または UDP）を選択します。
- 形式: ログの形式として [Syslog] を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
agentId	principal.asset.asset_id	「agentId:」と agentId フィールドの値を連結します。
computerName	principal.hostname	computerName フィールドを直接マッピングします。
displayName	metadata.description	displayName フィールドを直接マッピングします。
eventType	metadata.product_event_type	eventType フィールドを直接マッピングします。
exposedUsers.[].accountName	target.user.attribute.labels	キーが「accountName_[index]」、値が exposedUsers.[index].accountName のラベルを作成します。
exposedUsers.[].domain	target.user.attribute.labels	キーが「domain_[index]」、値が exposedUsers.[index].domain のラベルを作成します。
exposedUsers.[].username	target.user.attribute.labels	キー「username_[index]」と、exposedUsers.[index].username の値を持つラベルを作成します。
filePath	target.file.full_path	filePath フィールドを直接マッピングします。
ハッシュ	target.file.sha1	ハッシュフィールドを直接マッピングします。
operatingSystemType	principal.platform	operatingSystemType フィールドが「Windows」の場合、「Windows」を「WINDOWS」にマッピングします。
policyName	security_result.rule_name	policyName フィールドを直接マッピングします。
processCommandLine	target.process.command_line	processCommandLine フィールドを直接マッピングします。
パブリッシャー	additional.fields	パブリッシャーフィールドからキー「Publisher」と string_value を持つフィールドを作成します。
sourceProcessCommandLine	target.process.parent_process.command_line	sourceProcessCommandLine フィールドを直接マッピングします。
sourceProcessHash	target.process.parent_process.file.sha1	sourceProcessHash フィールドを直接マッピングします。
sourceProcessSigner	additional.fields	sourceProcessSigner フィールドから、キーが「sourceProcessSigner」、string_value が sourceProcessSigner フィールドの値のフィールドを作成します。
threatProtectionAction	security_result.action_details	threatProtectionAction フィールドを直接マッピングします。
	metadata.event_timestamp	イベントのタイムスタンプをログエントリの create_time に設定します。
	metadata.event_type	「STATUS_UPDATE」にハードコードされました。
	metadata.log_type	「CYBERARK_EPM」にハードコードされました。
	metadata.product_name	「EPM」にハードコードされました。
	metadata.vendor_name	「CYBERARK」にハードコードされました。
	security_result.alert_state	「ALERTING」にハードコードされています。
userName	principal.user.userid	userName フィールドを直接マッピングします。

変更点

2023-08-22

新しく作成されたパーサー