Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Varonis

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Varonis para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos (SYSLOG + KV [CEF], LEEF) usando padrões grok, processando especificamente CEF, LEEF e outros formatos específicos da Varonis. Em seguida, mapeia os campos extraídos para o modelo de dados unificado (UDM), processando vários formatos de dados e casos extremos para garantir uma representação consistente.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao Varonis

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, "nano", "vi" ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure a exportação do Syslog no Varonis

Inicie sessão na IU da Web do Varonis.
Aceda a Ferramentas > DatAlert > Selecione DatAlert.
Selecione Configuração.
Indique os seguintes detalhes de configuração:
- Endereço IP da mensagem Syslog: introduza o endereço IP do agente Bindplane.
- Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514 para UDP).
- Nome da instalação: selecione uma instalação.
Clique em Aplicar.

Configure o formato Syslog no Varonis

Aceda a Ferramentas > DatAlert > Modelos de alertas.
Clique em Editar modelo de alerta e selecione Modelo predefinido do sistema externo.
Em Aplicar a métodos de alerta, selecione Mensagem Syslog na lista.
Selecione Regras > Método de alerta no menu.
Selecione Mensagem Syslog.
Clique em OK.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`act`	`security_result.summary`	Valor do campo `act` na mensagem CEF.
`cn1`	`security_result.rule_id`	Valor do campo `cn1` na mensagem CEF.
`cs1`	`network.email.to`	Valor do campo `cs1` na mensagem CEF, especificamente o destinatário do email.
`cs2`	`security_result.rule_name`	Valor do campo `cs2` na mensagem CEF.
`device_version`	`metadata.product_version`	Valor do campo `device_version` na mensagem CEF.
`dhost`	`principal.hostname`	Valor do campo `dhost` na mensagem CEF, que representa o nome de anfitrião principal. Se `file_server` estiver presente e não for "DirectoryServices", substitui este valor.
`duser`	`target.user.userid`	Valor do campo `duser` na mensagem CEF. É submetido a uma transformação gsub para remover barras invertidas e dividir em `target.user.userid` e `target.administrative_domain`.
`dvchost`	`target.hostname`	Valor do campo `dvchost` na mensagem CEF.
`filePath`	`target.file.full_path`	Valor do campo `filePath` na mensagem CEF.
`rt`	`metadata.event_timestamp`	Valor do campo `rt` na mensagem CEF, analisado como uma data/hora.
`severity`	`security_result.severity`	Valor do campo `severity` na mensagem CEF ou LEEF. Convertido em maiúsculas. Mapeado para valores de gravidade da UDM (BAIXA, INFORMATIVA, MÉDIA, ELEVADA, CRÍTICA) com base no valor numérico ou na palavra-chave.
`Acting Object`	`target.user.user_display_name`	Valor do campo `Acting Object` nos dados de chaves-valores. Divida por "\" para extrair o nome a apresentar.
`Acting Object SAM Account Name`	`target.user.userid`	Valor do campo `Acting Object SAM Account Name` nos dados de chaves-valores.
`Device hostname`	`target.hostname`	Valor do campo `Device hostname` nos dados de chaves-valores.
`Device IP address`	`target.ip`	Valor do campo `Device IP address` nos dados de chaves-valores.
`Event Time`	`metadata.event_timestamp`	Valor do campo `Event Time` nos dados de chave-valor, analisado como uma data/hora.
`Event Type`	`target.application`, `metadata.event_type`	Valor do campo `Event Type` nos dados de chaves-valores. Usado para derivar `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valor do campo `File Server/Domain` nos dados de chaves-valores. Se não for "DirectoryServices", substitui o `principal.hostname` derivado de `dhost`.
`Path`	`target.file.full_path`	Valor do campo `Path` nos dados de chaves-valores.
`Rule Description`	`metadata.description`	Valor do campo `Rule Description` nos dados de chaves-valores.
`Rule ID`	`security_result.rule_id`	Valor do campo `Rule ID` nos dados de chaves-valores.
`Rule Name`	`security_result.rule_name`	Valor do campo `Rule Name` nos dados de chaves-valores.
`intermediary_host`	`intermediary.hostname`	Valor extraído por grok, que representa o nome do anfitrião intermediário.
`log_type`	`metadata.log_type`	Codificado para `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Derivado com base nos valores de `evt_typ`, `act` e `filepath`. A predefinição é STATUS_UPDATE se `event_type` for GENERIC_EVENT e `principal_hostname` estiver presente.
`metadata.product_name`	`metadata.product_name`	Codificado de forma rígida para `VARONIS`, mas pode ser substituído pelo campo `product_name` da mensagem LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Codificado de forma rígida para `VARONIS`, mas pode ser substituído pelo campo `vendor` da mensagem LEEF.
`prin_host`	`principal.hostname`	Valor extraído por grok, que representa o nome de anfitrião principal.
`product_name`	`metadata.product_name`	Valor da mensagem LEEF.
`security_result.action`	`security_result.action`	Derivado do campo `result` ou `Event Status`. Definido como "ALLOW" se o resultado for `Success`, caso contrário, definido como `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	A indicação de tempo do evento é derivada de vários campos (`datetime1`, `event_time`, `start_datetime`, `datetime2`) com base na disponibilidade. A `create_time` do registo não processado é usada como alternativa e mapeada para `timestamp` e `metadata.event_timestamp` se não estiverem disponíveis outros campos de data/hora.
`vendor`	`metadata.vendor_name`	Valor da mensagem LEEF.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.