Recolha registos de auditoria da HashiCorp

Este analisador processa registos de auditoria da HashiCorp em formatos JSON, Syslog ou combinados. Extrai campos, realiza a análise Grok e KV para mensagens do tipo padrão e "runner", processa payloads JSON e mapeia os dados extraídos para o UDM. O analisador também inclui o processamento de erros e a eliminação de registos com formato incorreto.

Antes de começar

• Certifique-se de que tem uma instância do Google Security Operations.
• Certifique-se de que tem o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
• Certifique-se de que tem acesso privilegiado ao HCP.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

1. Para a instalação do Windows, execute o seguinte script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para a instalação do Linux, execute o seguinte script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda à máquina onde o agente Bindplane está instalado.

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: auditd
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicie o agente do Bindplane para aplicar as alterações:

   sudo systemctl restart bindplane
   

Ative o Syslog para o HCP Vault

1. Inicie sessão no portal de HCPs.
2. Aceda a Clusters do Vault.
3. Selecione o cluster do cofre na lista de clusters implementados.
4. Na Vista geral do cluster, localize e copie o Endereço do cofre (por exemplo, https://vault-cluster-name.hashicorpcloud.com:8200).
5. Aceda à secção Detalhes de acesso e copie o token raiz.

Instale a CLI do Vault

• Para Linux:

  curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
  sudo apt update && sudo apt install vault
  

• Para macOS (com o Homebrew):

  brew tap hashicorp/tap
  brew install hashicorp/tap/vault
  

• Para Windows:

  Download the executable file.
  Extract it and add the Vault binary to your system's PATH.
  

• Valide a instalação da CLI do Vault executando o seguinte comando:

  vault --version
  

Configure o HCP Vault através da CLI para enviar registos de auditoria para o Bindplane

1. Abra o terminal ou a linha de comandos.

2. Defina o endereço do servidor da pasta protegida através da variável de ambiente:

   export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
   

3. Inicie sessão no Vault com o token raiz:

   vault login <root-token>
   

Configure o caminho do Syslog para uma tomada Syslog externa

1. Execute o seguinte comando para ativar o syslog e enviá-lo para o agente Bindplane:

   vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
   

2. Confirme a nova configuração:

   vault audit list
   

3. O resultado deve apresentar a nova configuração da tomada.

4. Opcional: automatize a configuração através do Terraform:

   • Crie um ficheiro de configuração do Terraform (audit.tf):

   resource "vault_audit" "syslog" {
     type        = "syslog"
     description = "Syslog audit logs"
     options = {
       tag      = "vault"
       facility = "LOCAL0"
     }
   }
   
   resource "vault_audit" "socket" {
     type        = "socket"
     description = "Remote syslog socket"
     options = {
       address     = "udp://<syslog-server-ip>:514"
       socket_type = "udp"
       tag         = "vault"
     }
   }
   

   • Aplique a configuração:

   terraform init
   terraform apply
   

Resolução de problemas de registos não recebidos

• Verifique se o servidor syslog está acessível:

  ping <syslog-server-ip>
  

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.