Varonis 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Varonis 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 grok 패턴을 사용하여 로그 (SYSLOG + KV (CEF), LEEF)에서 필드를 추출하고 CEF, LEEF 및 기타 Varonis 전용 형식을 특별히 처리합니다. 그런 다음 추출된 필드를 통합 데이터 모델 (UDM)에 매핑하여 다양한 데이터 형식과 특이 사례를 처리하여 일관된 표현을 보장합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
  • Varonis에 대한 액세스 권한

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기('nano', 'vi', 메모장 등)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Varonis에서 Syslog 내보내기 구성

  1. Varonis 웹 UI에 로그인합니다.
  2. Tools(도구) > DatAlert > Select DatAlert(DatAlert 선택)로 이동합니다.
  3. 구성을 선택합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • Syslog Message IP Address(Syslog 메시지 IP 주소): Bindplane 에이전트 IP 주소를 입력합니다.
    • 포트: Bindplane 에이전트 포트 번호를 입력합니다 (예: UDP의 경우 514).
    • 시설 이름: 시설을 선택합니다.
  5. 적용을 클릭합니다.

Varonis에서 Syslog 형식 구성

  1. 도구 > DatAlert > 알림 템플릿으로 이동합니다.
  2. 알림 템플릿 수정을 클릭하고 외부 시스템 기본 템플릿을 선택합니다.
  3. 알림 방법에 적용에서 목록에서 Syslog 메시지를 선택합니다.
  4. 메뉴에서 규칙 > 알림 방법을 선택합니다.
  5. Syslog 메시지를 선택합니다.
  6. 확인을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
act security_result.summary CEF 메시지의 act 필드 값입니다.
cn1 security_result.rule_id CEF 메시지의 cn1 필드 값입니다.
cs1 network.email.to CEF 메시지의 cs1 필드 값입니다(특히 이메일 수신자).
cs2 security_result.rule_name CEF 메시지의 cs2 필드 값입니다.
device_version metadata.product_version CEF 메시지의 device_version 필드 값입니다.
dhost principal.hostname CEF 메시지의 dhost 필드 값으로, 주 호스트 이름을 나타냅니다. file_server이 있고 'DirectoryServices'가 아닌 경우 이 값을 덮어씁니다.
duser target.user.userid CEF 메시지의 duser 필드 값입니다. gsub 변환을 거쳐 백슬래시를 삭제하고 target.user.useridtarget.administrative_domain로 분할됩니다.
dvchost target.hostname CEF 메시지의 dvchost 필드 값입니다.
filePath target.file.full_path CEF 메시지의 filePath 필드 값입니다.
rt metadata.event_timestamp CEF 메시지의 rt 필드 값으로, 타임스탬프로 파싱됩니다.
severity security_result.severity CEF 메시지 또는 LEEF 메시지의 severity 필드 값입니다. 대문자로 변환되었습니다. 숫자 값 또는 키워드에 따라 UDM 심각도 값 (LOW, INFORMATIONAL, MEDIUM, HIGH, CRITICAL)에 매핑됩니다.
Acting Object target.user.user_display_name 키-값 데이터의 Acting Object 필드 값입니다. '\'로 분할하여 표시 이름을 추출합니다.
Acting Object SAM Account Name target.user.userid 키-값 데이터의 Acting Object SAM Account Name 필드 값입니다.
Device hostname target.hostname 키-값 데이터의 Device hostname 필드 값입니다.
Device IP address target.ip 키-값 데이터의 Device IP address 필드 값입니다.
Event Time metadata.event_timestamp 키-값 데이터의 Event Time 필드 값으로, 타임스탬프로 파싱됩니다.
Event Type target.application, metadata.event_type 키-값 데이터의 Event Type 필드 값입니다. metadata.event_type (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED)를 파생하는 데 사용됩니다.
File Server/Domain principal.hostname 키-값 데이터의 File Server/Domain 필드 값입니다. 'DirectoryServices'가 아닌 경우 dhost에서 파생된 principal.hostname를 덮어씁니다.
Path target.file.full_path 키-값 데이터의 Path 필드 값입니다.
Rule Description metadata.description 키-값 데이터의 Rule Description 필드 값입니다.
Rule ID security_result.rule_id 키-값 데이터의 Rule ID 필드 값입니다.
Rule Name security_result.rule_name 키-값 데이터의 Rule Name 필드 값입니다.
intermediary_host intermediary.hostname grok에 의해 추출된 값으로, 중간 호스트 이름을 나타냅니다.
log_type metadata.log_type VARONIS로 하드코딩되었습니다.
metadata.event_type metadata.event_type evt_typ, act, filepath 값을 기반으로 파생됩니다. event_type가 GENERIC_EVENT이고 principal_hostname가 있는 경우 기본값은 STATUS_UPDATE입니다.
metadata.product_name metadata.product_name VARONIS로 하드 코딩되지만 LEEF 메시지의 product_name 필드로 덮어쓸 수 있습니다.
metadata.vendor_name metadata.vendor_name VARONIS로 하드 코딩되지만 LEEF 메시지의 vendor 필드로 덮어쓸 수 있습니다.
prin_host principal.hostname grok에 의해 추출된 값으로, 기본 호스트 이름을 나타냅니다.
product_name metadata.product_name LEEF 메시지의 값입니다.
security_result.action security_result.action result 또는 Event Status 필드에서 파생됩니다. 결과가 Success이면 'ALLOW'로 설정하고, 그렇지 않으면 BLOCK로 설정합니다.
timestamp timestamp, metadata.event_timestamp 이벤트 타임스탬프는 사용 가능 여부에 따라 다양한 필드 (datetime1, event_time, start_datetime, datetime2)에서 파생됩니다. 다른 타임스탬프 필드를 사용할 수 없는 경우 원시 로그의 create_time가 대체로 사용되고 timestampmetadata.event_timestamp에 모두 매핑됩니다.
vendor metadata.vendor_name LEEF 메시지의 값입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.