Coletar registros do Varonis

Compatível com:

Este documento explica como transferir os registros do Varonis para as operações de segurança do Google usando o Bindplane. O analisador extrai campos dos registros (SYSLOG + KV (CEF), LEEF) usando padrões grok, processando especificamente CEF, LEEF e outros formatos específicos da Varonis. Em seguida, ele mapeia os campos extraídos para o modelo de dados unificado (UDM, na sigla em inglês), processando vários formatos de dados e casos extremos para garantir uma representação consistente.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou host Linux com systemd
  • Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao Varonis

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, "nano", "vi" ou "Notepad").
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'VARONIS'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar a exportação do Syslog no Varonis

  1. Faça login na UI da Web do Varonis.
  2. Acesse Ferramentas > DatAlert > Selecionar DatAlert.
  3. Selecione Configuração.
  4. Informe os seguintes detalhes de configuração:
    • Endereço IP da mensagem Syslog: insira o endereço IP do agente do BindPlane.
    • Porta: insira o número da porta do agente do Bindplane. Por exemplo, 514 para UDP.
    • Nome da instalação: selecione uma instalação.
  5. Clique em Aplicar.

Configurar o formato Syslog no Varonis

  1. Acesse Ferramentas > DatAlert > Modelos de alerta.
  2. Clique em Editar modelo de alerta e selecione Modelo padrão do sistema externo.
  3. Em Aplicar a métodos de alerta, selecione Mensagem do Syslog na lista.
  4. Selecione Regras > Método de alerta no menu.
  5. Selecione Mensagem Syslog.
  6. Clique em OK.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
act security_result.summary Valor do campo act na mensagem CEF.
cn1 security_result.rule_id Valor do campo cn1 na mensagem CEF.
cs1 network.email.to Valor do campo cs1 na mensagem CEF, especificamente o destinatário do e-mail.
cs2 security_result.rule_name Valor do campo cs2 na mensagem CEF.
device_version metadata.product_version Valor do campo device_version na mensagem CEF.
dhost principal.hostname Valor do campo dhost na mensagem CEF, que representa o nome de host principal. Se file_server estiver presente e não for "DirectoryServices", ele vai substituir esse valor.
duser target.user.userid Valor do campo duser na mensagem CEF. A transformação gsub é usada para remover barras invertidas e dividir em target.user.userid e target.administrative_domain.
dvchost target.hostname Valor do campo dvchost na mensagem CEF.
filePath target.file.full_path Valor do campo filePath na mensagem CEF.
rt metadata.event_timestamp Valor do campo rt na mensagem CEF, analisado como um carimbo de data/hora.
severity security_result.severity Valor do campo severity na mensagem CEF ou LEEF. Convertido em letras maiúsculas. Mapeado para valores de gravidade do UDM (BAIXO, INFORMATIVO, MÉDIO, ALTO, CRÍTICO) com base no valor numérico ou na palavra-chave.
Acting Object target.user.user_display_name Valor do campo Acting Object nos dados de chave-valor. Divida por "\" para extrair o nome de exibição.
Acting Object SAM Account Name target.user.userid Valor do campo Acting Object SAM Account Name nos dados de chave-valor.
Device hostname target.hostname Valor do campo Device hostname nos dados de chave-valor.
Device IP address target.ip Valor do campo Device IP address nos dados de chave-valor.
Event Time metadata.event_timestamp Valor do campo Event Time nos dados de chave-valor, analisado como um carimbo de data/hora.
Event Type target.application, metadata.event_type Valor do campo Event Type nos dados de chave-valor. Usado para derivar metadata.event_type (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
File Server/Domain principal.hostname Valor do campo File Server/Domain nos dados de chave-valor. Se não for "DirectoryServices", ele vai substituir o principal.hostname derivado de dhost.
Path target.file.full_path Valor do campo Path nos dados de chave-valor.
Rule Description metadata.description Valor do campo Rule Description nos dados de chave-valor.
Rule ID security_result.rule_id Valor do campo Rule ID nos dados de chave-valor.
Rule Name security_result.rule_name Valor do campo Rule Name nos dados de chave-valor.
intermediary_host intermediary.hostname Valor extraído pelo grok, que representa o nome do host intermediário.
log_type metadata.log_type Fixado em VARONIS.
metadata.event_type metadata.event_type Derivado com base nos valores de evt_typ, act e filepath. O padrão é STATUS_UPDATE se event_type for GENERIC_EVENT e principal_hostname estiver presente.
metadata.product_name metadata.product_name Fixado em VARONIS, mas pode ser substituído pelo campo product_name da mensagem LEEF.
metadata.vendor_name metadata.vendor_name Fixado em VARONIS, mas pode ser substituído pelo campo vendor da mensagem LEEF.
prin_host principal.hostname Valor extraído pelo grok, que representa o nome do host principal.
product_name metadata.product_name Valor da mensagem LEEF.
security_result.action security_result.action Derivado do campo result ou Event Status. Defina como "ALLOW" se o resultado for Success. Caso contrário, defina como BLOCK.
timestamp timestamp, metadata.event_timestamp O carimbo de data/hora do evento é derivado de vários campos (datetime1, event_time, start_datetime, datetime2) com base na disponibilidade. O create_time do registro bruto é usado como substituto e mapeado para timestamp e metadata.event_timestamp se nenhum outro campo de carimbo de data/hora estiver disponível.
vendor metadata.vendor_name Valor da mensagem LEEF.

Alterações

2025-02-06

Melhoria:

  • Um novo padrão Grok foi adicionado para o tipo de registro LEEF.
  • description foi mapeado para metadata.description.
  • usrName foi mapeado para principal.user.userid.
  • Event_Type foi mapeado para metadata.product_event_type.
  • domain foi mapeado para prinicipal.administrative_domain.
  • Mapeou proto, cat, Event_Additional_Data, Event_Status, Email_Attachment_Name, Email_Date, Account_of_Changed_Permissions, Permissions_Changes, Permissions_before_Change e Permissions_after_Change para additional.fields.
  • Affected_Object_Path foi mapeado para taregt.file.full_path.
  • Affected_Object foi mapeado para security_result.detection_fields.
  • src foi mapeado para principal.ip e principal.assest.ip.
  • Alert_ID foi mapeado para security_result.rule_id.
  • Email_Recipients foi mapeado para network.email.to.
  • Email_Item, Mailbox_Access_by_Owner, Threshold_Value, Threshold_First_Timestamp, Event_by_MailboxOwner e Email_Sender foram mapeados para additional.fields.
  • Email_Sender foi mapeado para network.email.from.
  • accountName foi mapeado para target.user.userid.
  • Device_Name foi mapeado para taregt.hostname e taregt.asset.hostname.
  • Event_Type_ID foi mapeado para metadata.product_log_id.
  • Event_File_Server_Domain foi mapeado para target.administrative_domain.
  • Alert_Page_URL foi mapeado para taregt.url.
  • devTime foi mapeado para metadata.event_timestamp.
  • sev foi mapeado para security_result.severity.

2022-10-08

Melhoria:

  • Adição de padrão grok para o tipo de registro LEEF.
  • severity foi mapeado para security_result.severity.
  • device_version foi mapeado para metadata.product_version.
  • Mapeou administrative_domain para target.administrative_domain
  • Foi adicionada uma verificação condicional para intermediary_host.

2022-10-07

Correção de bugs:

  • Mapeou rt para metadata.event_timestamp se rt não for nulo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.