Raccogliere i log di IBM Security Verify Access

Supportato in:

Questo documento descrive come raccogliere i log di IBM Security Verify Access. Il parser estrae campi comuni come timestamp, hostname e descrizioni utilizzando pattern Grok. Poi, sfrutta l'analisi XML per informazioni dettagliate sugli eventi incorporate nel campo della descrizione, mappando infine i dati estratti al modello di dati unificato (UDM) per la rappresentazione standardizzata degli eventi di sicurezza.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso amministrativo a IBM Security Verify Access (ISVA).

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: ibm_security_verify
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia BindPlane Agent per applicare le modifiche

  • In Linux, per riavviare BindPlane Agent, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Personalizzare il formato del log

  1. Per modificare il file di configurazione WebSEAL, utilizza l'interfaccia di gestione locale (LMI) dell'appliance.
  2. Nell'LMI, vai a Gestione del proxy inverso.
  3. Fai clic su Gestisci > Configurazione > Modifica file di configurazione (puoi utilizzare l'editor per modificare direttamente il file di configurazione WebSEAL).
  4. Vai a logging[stanza], cerca syntax requests = {yes|no} e fai clic su .
  5. Vai al parametro gmt-time e modificalo come segue: gmt-time = yes.

  6. Sostituisci il valore request-log-format con quanto segue:

    request-log-format = ibmsva: %h %l "%u" %t "%r" %s %b %T %j %{X-Forwarded-For}i %a %A %H %p %m %U %v %d %q

  7. Consulta la seguente spiegazione di ciascuna direttiva:

    • ibmsva: Identifica i log del dispositivo SVA
    • %h: host remoto
    • %l: nome utente remoto
    • %u: utente remoto
    • %t: ora e data in formato CLF
    • %r: prima riga della richiesta
    • %s: stato risposta
    • %b: byte nella risposta (escluse le intestazioni HTTP)
    • %T: tempo di elaborazione della richiesta (secondi)
    • %j: nome dell'incrocio
    • %X-Forwarded-For: indirizzo IP per l'inoltro
    • %a: indirizzo IP remoto
    • %A: indirizzo IP locale
    • %H: protocollo richiesta
    • %p: porta
    • %m: metodo di richiesta (GET, POST, HEAD)
    • %U: URL richiesto
    • %v: nome del server
    • %d: identificatore transazione
    • %q: stringa di query

Configurare l'inoltro Syslog in ISVA

  1. Accedi all'interfaccia di gestione locale ISVA.
  2. Vai a Monitora > Log > Inoltro Syslog remoto.
  3. Fai clic su Aggiungi.
  4. Specifica i dettagli del server syslog remoto.
    • Server: l'indirizzo IP o il nome host del server syslog (Bindplane).
    • Porta: la porta su cui il server syslog è in ascolto per le richieste (Bindplane).
    • Protocollo: seleziona UDP o TCP (a seconda della configurazione di syslog/Bindplane).
    • Formato: seleziona Syslog.
  5. Fai clic su Salva.

Configurazione delle origini log per un server di log remoto

  1. Seleziona il server syslog remoto a cui inviare i log.
  2. Fai clic su Origini.
  3. Fai clic su Aggiungi.

  4. Specifica i dettagli dell'origine log e poi fai clic su OK.

    • Nome: seleziona WebSEAL.
    • Nome istanza: seleziona l'istanza WebSEAL.
    • File di log: il nome del file di log di origine.
    • (Facoltativo) Tag: il tag da aggiungere alle voci di log inviate.
    • Struttura: tutti i messaggi verranno inviati con il codice struttura specificato (elenco dei codici disponibili).
    • Gravità: la gravità delle voci di log inviate.
      • Tutti i messaggi verranno inviati con il livello di gravità specificato.

  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
azione read_only_udm.security_result.action_details Estratto dal campo XML "/event/originator/action" quando il campo "description" contiene "event".
app read_only_udm.target.application Estratto utilizzando il pattern Grok dal campo "message".
auth_details read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/accessor/principal/@auth" quando il campo "description" contiene "event". La chiave è impostata su "Auth".
authntype read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/authntype" quando il campo "description" contiene "event". La chiave è impostata su "Authntype".
dati read_only_udm.metadata.description Se il campo "data" non è vuoto, il relativo valore sostituisce il valore esistente di "read_only_udm.metadata.description".
description read_only_udm.metadata.description Estratto utilizzando il pattern Grok dal campo "message". Se il campo "description" contiene "event", viene analizzato come XML per estrarre altri campi.
event_id read_only_udm.metadata.product_log_id Estratto dal campo XML "/event/originator/event_id" quando il campo "description" contiene "event".
nome host read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname Estratto utilizzando il pattern Grok dal campo "message".
ID read_only_udm.metadata.product_log_id Estratto utilizzando il pattern Grok dal campo "message".
località read_only_udm.principal.location.name Estratto dal campo XML "/event/originator/location" quando il campo "description" contiene "event".
esito read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/outcome" quando il campo "description" contiene "event". La chiave è impostata su "Risultato".
outcome_reason read_only_udm.security_result.summary Estratto dal campo XML "/event/outcome/@reason" quando il campo "description" contiene "event". Viene utilizzato anche per determinare il valore di "read_only_udm.security_result.action", impostato su "BLOCK" se "outcome_reason" contiene "fail" (senza distinzione tra maiuscole e minuscole), altrimenti impostato su "ALLOW".
outcome_status read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/outcome/@status" quando il campo "description" contiene "event". La chiave è impostata su "Stato esito".
originator_blade read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/originator/@blade" quando il campo "description" contiene "event". La chiave è impostata su "Originator Blade".
originator_component read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/originator/component" quando il campo "description" contiene "event". La chiave è impostata su "Originator Component".
originator_instance read_only_udm.security_result.detection_fields.value Estratto dal campo XML "/event/originator/@instance" quando il campo "description" contiene "event". La chiave è impostata su "Originator Instance".
session_id read_only_udm.network.session_id Estratto dal campo XML "/event/accessor/session_id" quando il campo "description" contiene "event".
target_url read_only_udm.target.url Estratto dal campo XML "/event/target/url" quando il campo "description" contiene "event".
thread_id read_only_udm.security_result.detection_fields.value Estratto utilizzando il pattern Grok dal campo "message". La chiave è impostata su "ID thread".
timestamp read_only_udm.metadata.event_timestamp Estratto utilizzando il pattern Grok dal campo "message". Formattato utilizzando il filtro "data" in base alla presenza e al formato del campo "fuso orario".
time_stamp read_only_udm.metadata.event_timestamp Estratto dal campo XML "/event/date" quando il campo "description" contiene "event". Formattato utilizzando il filtro "data".
fuso orario Utilizzato in combinazione con il campo "timestamp" per formattare il campo "read_only_udm.metadata.event_timestamp" utilizzando il filtro "data".
url read_only_udm.target.url Estratto utilizzando il pattern Grok dal campo "message".
utente read_only_udm.principal.user.userid Estratto dal campo XML "/event/accessor/principal" quando il campo "description" contiene "event".
user_location read_only_udm.principal.ip, read_only_udm.principal.asset.ip Estratto dal campo XML "/event/accessor/user_location" quando il campo "description" contiene "event". Se "user_location_type" contiene "ip" (senza distinzione tra maiuscole e minuscole), viene analizzato come indirizzo IP e mappato sia a "read_only_udm.principal.ip" sia a "read_only_udm.principal.asset.ip".
user_location_type Utilizzato per determinare se "user_location" deve essere analizzato come indirizzo IP.
N/D read_only_udm.metadata.vendor_name Impostato su "IBM_SECURITY_VERIFY".
N/D read_only_udm.metadata.product_name Impostato su "IBM_SECURITY_VERIFY".
N/D read_only_udm.metadata.event_type Impostato inizialmente su "STATUS_UPDATE". Modificato in "USER_LOGIN" se vengono estratti entrambi i campi "user" e "hostname".
N/D read_only_udm.extensions.auth.type Imposta su "SSO" se vengono estratti entrambi i campi "user" e "hostname".
N/D read_only_udm.network.application_protocol Imposta su "HTTP" se il campo "message" contiene "HttpServletRequest".
N/D read_only_udm.metadata.log_type Impostato su "IBM_SECURITY_VERIFY", tratto dai metadati del log.

Modifiche

2024-05-13

  • L'analizzatore è stato aggiornato per supportare i log in formato XML.

2023-01-25

  • Parser appena creato.