Collecter les journaux d'accès IBM Security Verify

Ce document explique comment collecter les journaux IBM Security Verify Access. L'analyseur extrait des champs courants tels que les codes temporels, les noms d'hôte et les descriptions à l'aide de modèles Grok. Il utilise ensuite l'analyse XML pour obtenir des informations détaillées sur l'événement intégrées dans le champ de description, puis mappe les données extraites sur le modèle de données unifié (UDM) pour représenter les événements de sécurité de manière standardisée.

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous de disposer d'un accès administrateur à IBM Security Verify Access (ISVA).

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration:

   • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: ibm_security_verify
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

• Sous Linux, pour redémarrer l'agent Bindplane, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Sous Windows, pour redémarrer l'agent Bindplane, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Personnaliser le format du journal

1. Pour modifier le fichier de configuration WebSEAL, utilisez l'interface de gestion locale (LMI) de l'appliance.
2. Dans la LMI, accédez à Gestion du proxy inverse.
3. Cliquez sur Manage > Configuration > Edit configuration file (Gérer > Configuration > Modifier le fichier de configuration) (vous pouvez utiliser l'éditeur pour modifier directement le fichier de configuration WebSEAL).
4. Accédez à logging[stanza], recherchez syntax requests = {yes|no}, puis cliquez sur Oui.
5. Accédez au paramètre gmt-time et modifiez-le comme suit: gmt-time = yes.

6. Remplacez le paramètre request-log-format par le suivant:

   request-log-format = ibmsva: %h %l "%u" %t "%r" %s %b %T %j %{X-Forwarded-For}i %a %A %H %p %m %U %v %d %q
   

7. Vous trouverez ci-dessous une explication de chaque directive:

   • ibmsva: Identifie les journaux de l'appareil SVA
   • %h: hôte distant
   • %l: nom de journal distant
   • %u: utilisateur distant
   • %t: heure et date au format CLF
   • %r: première ligne de la requête
   • %s: état de la réponse
   • %b: octets de la réponse (en-têtes HTTP exclus)
   • %T: temps d'exécution de la requête (en secondes)
   • %j: nom de la jonction
   • %X-Forwarded-For: adresse IP de transfert
   • %a: adresse IP distante
   • %A: adresse IP locale
   • %H: protocole de requête
   • %p: port
   • %m: méthode de requête (GET, POST, HEAD)
   • %U: URL demandée
   • %v: nom du serveur
   • %d: identifiant de la transaction
   • %q: chaîne de requête

Configurer le transfert Syslog dans ISVA

1. Connectez-vous à l'interface de gestion locale ISVA.
2. Accédez à Monitor > Logs > Remote Syslog Forwarding (Surveiller > Journaux > Transfert Syslog à distance).
3. Cliquez sur Ajouter.
4. Spécifiez les détails du serveur syslog distant.
   • Serveur: adresse IP ou nom d'hôte du serveur syslog (Bindplane).
   • Port: port sur lequel le serveur syslog écoute les requêtes (Bindplane).
   • Protocole: sélectionnez UDP ou TCP (selon votre configuration syslog/Bindplane).
   • Format: sélectionnez Syslog.
5. Cliquez sur Enregistrer.

Configurer les sources de journaux pour un serveur de journaux distant

1. Sélectionnez le serveur syslog distant auquel envoyer les journaux.
2. Cliquez sur Sources.
3. Cliquez sur Ajouter.

4. Indiquez les détails de la source de journaux, puis cliquez sur OK.

   • Nom: sélectionnez WebSEAL.
   • Nom de l'instance: sélectionnez l'instance WebSEAL.
   • Fichier journal: nom du fichier journal source.
   • Facultatif: Tag (Libellé) : libellé à ajouter aux entrées de journal envoyées.
   • Établissement: tous les messages seront envoyés avec le code d'établissement spécifié (liste des codes disponibles).
   • Severity (Gravité) : gravité des entrées de journal envoyées.
     • Tous les messages seront envoyés avec le niveau de gravité spécifié.

5. Cliquez sur Enregistrer.

Tableau de mappage UDM

Modifications

2024-05-13

• L'analyseur a été mis à jour pour prendre en charge les journaux au format XML.

2023-01-25

• Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.