Raccogli i log di Delinea Secret Server

Questo documento spiega come raccogliere i log di Secret Server di Delinea (in precedenza Thycotic). L'analizzatore sintattico trasforma i log non elaborati in un formato strutturato conforme all'UDM di Google Security Operations. Innanzitutto estrae i campi chiave come timestamp, tipi di eventi e informazioni utente, quindi utilizza la logica condizionale in base al tipo di evento specifico per mappare i dati nei campi UDM appropriati, arricchendoli infine per l'analisi in Google SecOps.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
• Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso privilegiato a Delinea.

Recupera il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane Agent.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse di installazione aggiuntive

• Per altre opzioni di installazione, consulta questa guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace with your specific IP and port
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Path to the ingestion authentication file
       creds: '/path/to/your/ingestion-auth.json'
       # Your Chronicle customer ID
       customer_id: 'your_customer_id'
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
         log_type: SYSLOG
         namespace: thycotic
         raw_log_field: body
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia Bindplane Agent per applicare le modifiche

• Per riavviare Bindplane Agent in Linux, esegui il seguente comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Delinea Secret Server per inviare i log utilizzando Syslog

1. Accedi a Delinea Secret Server con le credenziali di amministratore.
2. Vai ad Amministrazione > Configurazione.
3. Fai clic su Modifica.
4. Seleziona la casella di controllo Attiva il logging Syslog/CEF e specifica i seguenti dettagli:
   • Server Syslog/CEF: inserisci l'indirizzo IP di Bindplane.
   • Protocollo Syslog/CEF: seleziona UDP o TCP (a seconda della configurazione di Bindplane).
   • Porta Syslog/CEF: inserisci il numero di porta su cui Bindplane è configurato per l'ascolto.
5. Fai clic su Salva.

Mappatura UDM

Modifiche

2024-06-04

• Analisi migliorata per i log non analizzati.
• I campi "Host" e "Server" sono stati mappati ai campi UDM relativi al nome host.
• "Container_Id" e "Container_name" sono stati mappati ai campi UDM relativi ai nomi di asset e risorse.

2023-09-22

• È stata modificata la logica di analisi per gestire meglio i log non analizzati.
• È stata aggiunta la gestione degli errori per i campi "rt" e "ts".

2023-06-12

• Logica di analisi aggiornata per supportare un nuovo formato di log.
• I campi "fname", "cs2" e "details" sono stati mappati ai campi UDM per ulteriori informazioni e un riepilogo dei risultati di sicurezza.

2022-08-01

• È stato aggiunto il supporto per l'analisi dei log in formato JSON.
• Sono stati mappati numerosi campi dai log JSON ai campi UDM corrispondenti, inclusi i campi relativi alle informazioni su dispositivi e agenti, indirizzi IP, dettagli host, informazioni sulla piattaforma e gravità della sicurezza.
• È stata aggiunta l'analisi per i log di tipo "SECRET - SECRETPASSWORDCHANGEFAILURE".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.