CyberArk EPM ログを収集する

以下でサポートされています。

このパーサーコードは、CyberArk EPM ログデータを統合データモデル(UDM)に変換します。ログ内の各イベントを反復処理し、関連するフィールドを対応する UDM フィールドにマッピングし、「exposedUsers」などの特定のデータ構造を処理し、静的なベンダーとプロダクトの情報で出力を拡充します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用した Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • EPM Server Management コンソールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Cyberark_EPM
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane Agent を再起動して変更を適用します。

    sudo systemctl restart bindplane
    

EPM でサードパーティ イベント転送を構成する

  1. EPM Server Management コンソールにログインします。
  2. [詳細設定] > [サーバー構成] に移動します。
  3. [イベント リスナー] セクションで、[サードパーティ リスナー] の設定を見つけます。
  4. サードパーティ リスナーを有効にするには、値を [オン] に設定します。
  5. 次の詳細を指定して、Syslog リスナーを構成します。
    • Syslog サーバー IP: Syslog サーバー(Bindplane)の IP アドレスを入力します。
    • Syslog ポート: Syslog サーバー(Bindplane)のポート番号を指定します。
    • プロトコル: Syslog サーバーで構成されているプロトコル(TCP または UDP)を選択します。
    • 形式: ログの形式として [Syslog] を選択します。
  6. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
agentId principal.asset.asset_id 「agentId:」と agentId フィールドの値を連結します。
computerName principal.hostname computerName フィールドを直接マッピングします。
displayName metadata.description displayName フィールドを直接マッピングします。
eventType metadata.product_event_type eventType フィールドを直接マッピングします。
exposedUsers.[].accountName target.user.attribute.labels キー「accountName_[index]」と exposedUsers.[index].accountName の値でラベルを作成します。
exposedUsers.[].domain target.user.attribute.labels キー「domain_[index]」と exposedUsers.[index].domain の値でラベルを作成します。
exposedUsers.[].username target.user.attribute.labels キー「username_[index]」と exposedUsers.[index].username の値でラベルを作成します。
filePath target.file.full_path filePath フィールドを直接マッピングします。
hash target.file.sha1 hash フィールドを直接マッピングします。
operatingSystemType principal.platform operatingSystemType フィールドが「Windows」の場合、「Windows」を「WINDOWS」にマッピングします。
policyName security_result.rule_name policyName フィールドを直接マッピングします。
processCommandLine target.process.command_line processCommandLine フィールドを直接マッピングします。
publisher additional.fields キー「Publisher」と publisher フィールドの string_value でフィールドを作成します。
sourceProcessCommandLine target.process.parent_process.command_line sourceProcessCommandLine フィールドを直接マッピングします。
sourceProcessHash target.process.parent_process.file.sha1 sourceProcessHash フィールドを直接マッピングします。
sourceProcessSigner additional.fields キー「sourceProcessSigner」と sourceProcessSigner フィールドの string_value でフィールドを作成します。
threatProtectionAction security_result.action_details threatProtectionAction フィールドを直接マッピングします。
metadata.event_timestamp イベントのタイムスタンプをログエントリの create_time に設定します。
metadata.event_type 「STATUS_UPDATE」にハードコードされています。
metadata.log_type 「CYBERARK_EPM」にハードコードされています。
metadata.product_name 「EPM」にハードコードされています。
metadata.vendor_name 「CYBERARK」にハードコードされています。
security_result.alert_state 「ALERTING」にハードコードされています。
userName principal.user.userid userName フィールドを直接マッピングします。

変更

2023-08-22

  • 新しく作成されたパーサー

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。