Recolha registos do CyberArk Privilege Cloud

Compatível com:

Este documento explica como carregar registos do CyberArk Privilege Cloud para o Google Security Operations através do Bindplane. O código do analisador transforma os registos do formato SYSLOG + KV não processado no formato do modelo de dados unificado (UDM) do Google SecOps. Primeiro, extrai campos de mensagens formatadas em CEF através de padrões grok e da análise de chave/valor. Em seguida, mapeia esses campos e outros para os respetivos campos UDM, enriquecendo os dados com valores padronizados para fornecedor, produto e gravidade.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
  • Acesso privilegiado ao CyberArk Privilege Cloud

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CYBERARK_PRIVILEGE_CLOUD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações

  1. Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  2. Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Instale o túnel seguro

  1. Certifique-se de que o ID da máquina é exclusivo, mesmo quando as máquinas são implementadas em vários domínios.
  2. Transfira o pacote de software Privilege Cloud a partir de Implemente o Privilege Cloud Connector (Standard), copie o ficheiro ZIP Secure Tunnel e descompacte-o.
  3. Execute a instalação a partir da pasta descomprimida.
  4. Na página Selecionar pasta de instalação, introduza a localização da pasta de instalação e clique em Seguinte.
  5. Na página Pronto para instalar, clique em Instalar.
  6. Quando a instalação estiver concluída, clique em Terminar. A ferramenta de configuração é iniciada.

Configure o túnel seguro

  1. Na página Autenticar no Privilege Cloud, introduza os seguintes detalhes e, de seguida, clique em Seguinte:
    • Subdomínio ou ID de cliente: o subdomínio é o identificador do sistema no endereço do sistema, conforme apresentado no FQDN do Privilege Cloud Portal: https://<subdomain>.Privilegecloud.cyberark.com. Introduza apenas o identificador de <subdomain> e não o URL completo. Em alternativa, use o ID de cliente que lhe foi fornecido pela CyberArk.
    • Nome de utilizador e palavra-passe: introduza as credenciais fornecidas pelo apoio técnico da CyberArk.
  2. Na página Configure componentes no local, adicione os componentes que quer ligar através do túnel seguro e clique em Configurar componentes.
  3. Indique os seguintes detalhes de configuração:
    • Tipo de componente: selecione SIEM.
    • Endereço do anfitrião: introduza o endereço do anfitrião do agente do Bindplane (o componente SIEM tem de incluir um nome de anfitrião).
    • Porta de destino: introduza o número da porta do agente do Bindplane.
    • Porta remota: a porta usada pelo CyberArk para interagir com o seu túnel seguro (a porta remota é fornecida pelo apoio técnico do CyberArk. Normalmente, a porta é 1468).
    • Clique em Avançadas para apresentar esta coluna.
    • Acesso através de túneis seguros: pode configurar os túneis seguros aos quais os seus servidores vão aceder, mesmo que estes túneis seguros estejam a ser executados numa máquina diferente.
  4. Clique em Configurar componentes > Fechar.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
agir security_result.action_details Mapeado diretamente a partir do campo act no registo não processado.
app network.application_protocol Mapeado a partir do campo app no registo não processado e transformado através da lógica em parse_app_protocol.include.
cn1 additional.fields.value.string_value Mapeado diretamente a partir do campo cn1 no registo não processado.
cn1Label additional.fields.key Mapeado diretamente a partir do campo cn1Label no registo não processado.
cn2 additional.fields.value.string_value Mapeado diretamente a partir do campo cn2 no registo não processado.
cn2Label additional.fields.key Mapeado diretamente a partir do campo cn2Label no registo não processado.
cs1 additional.fields.value.string_value Mapeado diretamente a partir do campo cs1 no registo não processado.
cs1Label additional.fields.key Mapeado diretamente a partir do campo cs1Label no registo não processado.
cs2 additional.fields.value.string_value Mapeado diretamente a partir do campo cs2 no registo não processado.
cs2Label additional.fields.key Mapeado diretamente a partir do campo cs2Label no registo não processado.
cs3 additional.fields.value.string_value Mapeado diretamente a partir do campo cs3 no registo não processado.
cs3Label additional.fields.key Mapeado diretamente a partir do campo cs3Label no registo não processado.
cs4 additional.fields.value.string_value Mapeado diretamente a partir do campo cs4 no registo não processado.
cs4Label additional.fields.key Mapeado diretamente a partir do campo cs4Label no registo não processado.
cs5 additional.fields.value.string_value Mapeado diretamente a partir do campo cs5 no registo não processado.
cs5Label additional.fields.key Mapeado diretamente a partir do campo cs5Label no registo não processado.
device_event_class_id metadata.product_event_type Mapeado diretamente a partir do campo device_event_class_id no registo não processado.
device_version metadata.product_version Mapeado diretamente a partir do campo device_version no registo não processado.
dhost target.hostname Mapeado diretamente a partir do campo dhost no registo não processado.
duser target.user.user_display_name Mapeado diretamente a partir do campo duser no registo não processado.
dvc about.ip Mapeado diretamente a partir do campo dvc no registo não processado.
event_name metadata.product_event_type Mapeado diretamente a partir do campo event_name no registo não processado.
externalId metadata.product_log_id Mapeado diretamente a partir do campo externalId no registo não processado.
fname additional.fields.value.string_value Mapeado diretamente a partir do campo fname no registo não processado.
msg metadata.description Mapeado diretamente a partir do campo msg no registo não processado.
motivo security_result.summary Mapeado diretamente a partir do campo reason no registo não processado.
gravidade security_result.severity Mapeado a partir do campo severity no registo não processado e transformado em "BAIXO", "MÉDIO", "ALTO" ou "CRÍTICO" com base no respetivo valor.
shost principal.ip Mapeado diretamente a partir do campo shost no registo não processado.
suser principal.user.user_display_name Mapeado diretamente a partir do campo suser no registo não processado.
tempo metadata.event_timestamp.seconds Mapeado diretamente a partir do campo time no registo não processado após a análise e a conversão numa data/hora.
metadata.event_type Defina como "USER_UNCATEGORIZED" se suser estiver presente e duser não estiver. Caso contrário, defina como "GENERIC_EVENT".
metadata.log_type Definido como "CYBERARK_PRIVILEGE_CLOUD".
metadata.product_name Definido como "CYBERARK_PRIVILEGE_CLOUD".
principal.asset.hostname Valor retirado dos campos shost ou dvc, se contiverem um nome do anfitrião.
principal.asset.ip Valor retirado dos campos shost ou dvc, se contiverem um endereço IP.
principal.hostname Valor retirado dos campos shost ou dvc, se contiverem um nome do anfitrião.
target.asset.hostname Valor retirado do campo dhost, se contiver um nome de anfitrião.
additional.fields.key A chave dos campos adicionais é determinada pelo campo de etiqueta correspondente (por exemplo, cn1Label por cn1).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.