Coletar registros do gateway Enterprise do VIP da Symantec

Este documento explica como transferir os registros do Symantec VIP Enterprise Gateway para as operações de segurança do Google usando o Bindplane. O código do analisador primeiro tenta processar a mensagem de registro de entrada como um objeto JSON. Se isso falhar, o formato syslog será assumido e expressões regulares (padrões grok) serão usadas para extrair campos relevantes, como carimbos de data/hora, endereços IP, nomes de usuário e descrições de eventos. Por fim, ele mapeia as informações extraídas para os campos do Modelo de Dados Unificado (UDM) para representação padronizada de ocorrência de segurança.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Windows 2016 ou mais recente ou host Linux com systemd
• Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
• Acesso privilegiado ao gateway empresarial VIP da Symantec

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'SYMANTEC_VIP'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID real do cliente.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Syslog no Symantec VIP Enterprise Gateway

1. Faça login na UI da Web do Symantec VIP Gateway.
2. Acesse Logs > Configuração do Syslog.
3. Se você estiver configurando o Syslog pela primeira vez, será solicitado que você configure as configurações do Syslog. Selecione Sim
4. Se você já tiver configurado o Syslog, clique em Editar na parte de baixo da página.
5. Informe os seguintes detalhes de configuração:
   • Facility syslog: selecione LOG_LOCAL0.
   • Host do Syslog: insira o endereço IP do agente do Bindplane.
   • Porta Syslog: insira o número da porta do agente do Bindplane. Por exemplo, 514 para UDP.
6. Clique em Salvar.
7. Acesse Configurações > Configurações do console.
8. Informe os seguintes detalhes de configuração:
   • Nível de registro: selecione Informações.
   • Ativar o Syslog: selecione Sim.
9. Clique em Enviar.
10. Acesse Configurações > Configurações do Verificador de integridade.
11. Selecione Sim para ativar o serviço de verificação de integridade.
12. Informe os seguintes detalhes de configuração:
    • Nível de registro: selecione Informações.
    • Ativar o Syslog: selecione Sim.
13. Clique em Enviar.
14. Acesse Loja de usuários > Sincronização de diretório LDAP.
15. Edite os seguintes detalhes de configuração:
    • Nível de registro: selecione Info.
    • Ativar o Syslog: selecione Sim.
16. Clique em Enviar.

Tabela de mapeamento da UDM

Alterações

2023-03-03

Melhoria:

• Mapeou userid para target.user.userid nos registros que ainda não foram analisados.
• Mapeou event_type para USER_LOGIN nos registros em que userid está presente. Se principal.hostname estiver presente, mapeou event_type para STATUS_UPDATE. Caso contrário, mapeou para GENERIC_EVENT.
• Analisou os registros que foram descartados inicialmente.

2022-08-03

Correção de bugs:

• O padrão grok foi adicionado para processar os registros não analisados com log_type remove_credentials.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.