收集 Delinea Secret Server 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何收集 Delinea(以前称为 Thycotic)Secret Server 日志。解析器会将原始日志转换为符合 Google Security Operations UDM 的结构化格式。该工具首先会提取时间戳、事件类型和用户信息等关键字段,然后根据具体事件类型使用条件逻辑将数据映射到适当的 UDM 字段,最终丰富数据以便在 Google SecOps 中进行分析。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Delinea 的超级用户访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane Agent
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,则位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace with your specific IP and port listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Path to the ingestion authentication file creds: '/path/to/your/ingestion-auth.json' # Your Chronicle customer ID customer_id: 'your_customer_id' endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: log_type: SYSLOG namespace: thycotic raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Delinea Secret Server 以使用 Syslog 发送日志
- 使用管理员凭据登录 Delinea Secret Server。
- 依次前往管理 > 配置。
- 点击修改。
- 选中启用 Syslog/CEF 日志记录复选框,然后指定以下详细信息:
- Syslog/CEF 服务器:输入 BindPlane 的 IP 地址。
- Syslog/CEF 协议:选择 UDP 或 TCP(具体取决于您的绑定层配置)。
- Syslog/CEF 端口:输入 BindPlane 配置为监听的端口号。
- 点击保存。
UDM 映射
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| Account_Domain | event1.idm.read_only_udm.principal.domain | 此值取自原始日志的“msg”字段中的“Account_Domain”字段。 |
| 按用户 | event1.idm.read_only_udm.principal.user.userid | 该值取自原始日志的“msg”字段中的“By User”字段。 |
| 容器 ID | event1.idm.read_only_udm.principal.asset.asset_id | 该值取自原始日志的“msg”字段中的“容器 ID”字段,并以“container_id:”开头。 |
| 容器名称 | event1.idm.read_only_udm.principal.resource.name | 此值取自原始日志的“msg”字段中的“容器名称”字段。 |
| cs2 | event1.idm.read_only_udm.additional.fields[].value.string_value | 此值取自原始日志的“msg”字段中的“cs2”字段。 |
| cs3 | event1.idm.read_only_udm.target.file.full_path | 此值取自原始日志的“msg”字段中的“cs3”字段。 |
| cs4 | event1.idm.read_only_udm.principal.user.user_display_name | 此值取自原始日志的“msg”字段中的“cs4”字段。 |
| 详细信息 | event1.idm.read_only_udm.additional.fields[].value.string_value | 该值取自原始日志的“msg”字段中的“Details”字段。 |
| fname | event1.idm.read_only_udm.target.file.full_path | 此值取自原始日志的“msg”字段中的“fname”字段。 |
| 主机 | event1.idm.read_only_udm.principal.hostname、event1.idm.read_only_udm.principal.asset.hostname | 此值取自原始日志的“msg”字段中的“Host”字段。 |
| 内容名称 | event1.idm.read_only_udm.target.user.userid | 此值取自原始日志的“msg”字段中的“Item Name”字段。 |
| event1.idm.read_only_udm.additional.fields[].key | 该值已硬编码为“fname”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值已硬编码为“群组或用户”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值已硬编码为“详细信息”。 | |
| event1.idm.read_only_udm.additional.fields[].key | 该值已硬编码为“type_id”。 | |
| event1.idm.read_only_udm.extensions.auth.type | 该值已硬编码为“MACHINE”。 | |
| event1.idm.read_only_udm.metadata.description | 该值取自“thycotic_event”字段,该字段是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.event_timestamp.seconds | 该值派生自“rt”字段(如果存在),否则派生自“ts”字段。这两个字段都是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.event_type | 此值基于“thycotic_event”字段和其他条件确定。例如,如果“thycotic_event”为“USER - LOGIN”,则事件类型设置为“USER_LOGIN”。 | |
| event1.idm.read_only_udm.metadata.log_type | 该值已硬编码为“THYCOTIC”。 | |
| event1.idm.read_only_udm.metadata.product_event_type | 该值取自“thycotic_event”字段,该字段是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.product_log_id | 该值取自“action_id”字段,该字段是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.product_name | 该值取自“device_product”字段,该字段是使用 Grok 模式从原始日志中提取的。如果该字段为空,则值会硬编码为“Secret Server”。 | |
| event1.idm.read_only_udm.metadata.product_version | 该值取自“device_version”字段,该字段是使用 Grok 模式从原始日志中提取的。 | |
| event1.idm.read_only_udm.metadata.vendor_name | 该值已硬编码为“Thycotic”。 | |
| event1.idm.read_only_udm.network.ip_protocol | 如果“input.type”字段为“tcp”,则将此值设置为“TCP”。 | |
| event1.idm.read_only_udm.observer.application | 该值取自“agent.type”字段(如果存在),否则将硬编码为“Secret Server”。 | |
| event1.idm.read_only_udm.observer.asset_id | 此值设置为“代理 ID:”与“agent.id”字段串联。 | |
| event1.idm.read_only_udm.observer.hostname | 该值取自“agent.hostname”字段(如果存在),否则取自“server”字段。 | |
| event1.idm.read_only_udm.observer.platform_version | 该值取自“agent.version”字段。 | |
| event1.idm.read_only_udm.observer.user.userid | 该值取自“agent.name”字段。 | |
| event1.idm.read_only_udm.principal.asset.asset_id | 此值设置为“ID:”与“host.id”字段串联。 | |
| event1.idm.read_only_udm.principal.asset.hardware.cpu_platform | 该值取自“host.architecture”字段。 | |
| event1.idm.read_only_udm.principal.asset.hostname | 该值取自“server”字段(如果存在),否则取自“host.hostname”字段。 | |
| event1.idm.read_only_udm.principal.asset.ip | 该值取自“src”(如果存在)字段,否则取自“src_ip”字段。 | |
| event1.idm.read_only_udm.principal.hostname | 该值取自“host.hostname”字段(如果存在),否则取自“server”字段。 | |
| event1.idm.read_only_udm.principal.ip | 该值取自“src”字段(如果存在),否则取自“src_ip”字段或“host.ip”字段。 | |
| event1.idm.read_only_udm.principal.mac | 该值取自“host.mac”字段。 | |
| event1.idm.read_only_udm.principal.platform | 如果“host_os_platform”字段为“centos”,则将此值设置为“LINUX”;否则,将其设置为“host_os_platform”字段的大写值。 | |
| event1.idm.read_only_udm.principal.platform_patch_level | 该值取自“host.os.kernel”字段。 | |
| event1.idm.read_only_udm.principal.platform_version | 该值取自“host.os.version”字段。 | |
| event1.idm.read_only_udm.principal.port | 该值取自“src_port”字段,该字段是使用 Grok 模式从“log.source.address”字段中提取的。 | |
| event1.idm.read_only_udm.principal.user.user_display_name | 此值取自原始日志的“msg”字段中的“cs4”字段。 | |
| event1.idm.read_only_udm.principal.user.userid | 此值取自原始日志的“msg”字段中的“suser”字段,如果“thycotic_event”为“USER - LOGIN”“USER - LOGOUT”“USER - LOGINFAILURE”或“USER - EDIT”,则取自“By User”字段。 | |
| event1.idm.read_only_udm.security_result.action | 该值取自原始日志的“msg”字段中的“Action”字段。也可以根据“thycotic_event”的值设置为“ALLOW”或“BLOCK”。 | |
| event1.idm.read_only_udm.security_result.description | 该值取自“temp_message”字段,该字段包含提取其他字段后“msg”字段的其余部分。 | |
| event1.idm.read_only_udm.security_result.severity | 此值基于“syslog_severity”字段确定。例如,如果“syslog_severity”包含“error”或“warning”,则严重程度会设为“HIGH”。如果“thycotic_event”为“System Log”,则严重程度设为“INFORMATIONAL”。 | |
| event1.idm.read_only_udm.security_result.severity_details | 该值取自“syslog_severity”字段。 | |
| event1.idm.read_only_udm.target.file.full_path | 该值的构建方式为:将“cs3”和“fname”字段(如果这两个字段都存在)通过“/”分隔符串联起来。如果只有一个字段,则系统会从该字段中获取值。 | |
| event1.idm.read_only_udm.target.resource.product_object_id | 该值取自“type_id”字段。 | |
| event1.idm.read_only_udm.target.user.userid | 该值取自原始日志的“msg”字段中的“item_name”字段,如果“thycotic_event”为“USER - LOGIN”“USER - LOGOUT”“USER - LOGINFAILURE”或“USER - EDIT”,则取自“Item Name”字段。 | |
| events.timestamp.seconds | 该值派生自“rt”字段(如果存在),否则派生自“ts”字段。这两个字段都是使用 Grok 模式从原始日志中提取的。 | |
| rt | event1.idm.read_only_udm.metadata.event_timestamp.seconds | 该值取自原始日志的“msg”字段中的“rt”字段,用于设置事件时间戳。 |
| src | event1.idm.read_only_udm.principal.asset.ip、event1.idm.read_only_udm.principal.ip | 该值取自原始日志的“msg”字段中的“src”字段。 |
| src_ip | event1.idm.read_only_udm.principal.asset.ip、event1.idm.read_only_udm.principal.ip | 该值取自“src_ip”字段,该字段是使用 Grok 模式从“log.source.address”字段中提取的。 |
变化
2024-06-04
- 改进了对未解析日志的解析。
- 将“Host”和“server”字段映射到与主机名相关的 UDM 字段。
- 将“Container_Id”和“Container_name”映射到与资产和资源名称相关的 UDM 字段。
2023-09-22
- 调整了解析逻辑,以更好地处理未解析的日志。
- 添加了“rt”和“ts”字段的错误处理。
2023-06-12
- 更新了解析逻辑,以支持新日志格式。
- 将“fname”“cs2”和“details”字段映射到 UDM 字段,以获取更多信息和安全结果摘要。
2022-08-01
- 添加了对解析 JSON 格式日志的支持。
- 将 JSON 日志中的许多字段映射到其对应的 UDM 字段,包括与设备和代理信息、IP 地址、主机详细信息、平台信息和安全严重程度相关的字段。
- 添加了对类型为“SECRET - SECRETPASSWORDCHANGEFAILURE”的日志的解析。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。