Mengumpulkan log Delinea Secret Server

Dokumen ini menjelaskan cara mengumpulkan log Secret Server Delinea (sebelumnya Thycotic). Parser mengubah log mentah menjadi format terstruktur yang sesuai dengan UDM Google Security Operations. Pertama, alat ini mengekstrak kolom utama seperti stempel waktu, jenis peristiwa, dan informasi pengguna, lalu menggunakan logika kondisional berdasarkan jenis peristiwa tertentu untuk memetakan data ke kolom UDM yang sesuai, yang pada akhirnya memperkaya data untuk analisis di Google SecOps.

Sebelum memulai

• Pastikan Anda memiliki instance Google Security Operations.
• Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Jika berjalan di balik proxy, pastikan port firewall terbuka.
• Pastikan Anda memiliki akses dengan hak istimewa ke Delinea.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Agen Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

1. Akses file konfigurasi:

   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     udplog:
       # Replace with your specific IP and port
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Path to the ingestion authentication file
       creds: '/path/to/your/ingestion-auth.json'
       # Your Chronicle customer ID
       customer_id: 'your_customer_id'
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
         log_type: SYSLOG
         namespace: thycotic
         raw_log_field: body
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang Agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang Agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi Delinea Secret Server untuk Mengirim Log menggunakan Syslog

1. Login ke Delinea Secret Server dengan kredensial administrator.
2. Buka Admin > Configuration.
3. Klik Edit.
4. Centang kotak Aktifkan logging Syslog/CEF dan tentukan detail berikut:
   • Server Syslog/CEF: masukkan alamat IP Bindplane Anda.
   • Protokol Syslog/CEF: pilih UDP atau TCP (bergantung pada konfigurasi Bindplane Anda).
   • Port Syslog/CEF: masukkan nomor port yang dikonfigurasi Bindplane untuk diproses.
5. Klik Simpan.

Pemetaan UDM

Perubahan

2024-06-04

• Penguraian yang ditingkatkan untuk log yang tidak diuraikan.
• Memetakan kolom "Host" dan "server" ke kolom UDM yang terkait dengan nama host.
• Memetakan "Container_Id" dan "Container_name" ke kolom UDM yang terkait dengan nama aset dan resource.

2023-09-22

• Menyesuaikan logika penguraian untuk menangani log yang tidak diuraikan dengan lebih baik.
• Menambahkan penanganan error untuk kolom "rt" dan "ts".

2023-06-12

• Memperbarui logika penguraian untuk mendukung format log baru.
• Memetakan kolom "fname", "cs2", dan "details" ke kolom UDM untuk informasi tambahan dan ringkasan hasil keamanan.

2022-08-01

• Menambahkan dukungan untuk mengurai log dalam format JSON.
• Memetakan banyak kolom dari log JSON ke kolom UDM yang sesuai, termasuk kolom yang terkait dengan informasi perangkat dan agen, alamat IP, detail host, informasi platform, dan tingkat keparahan keamanan.
• Menambahkan penguraian untuk log dengan jenis "SECRET - SECRETPASSWORDCHANGEFAILURE".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.