Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Varonis

Compatível com:

Google secops Siem

Este documento explica como transferir os registros do Varonis para as operações de segurança do Google usando o Bindplane. O analisador extrai campos dos registros (SYSLOG + KV (CEF), LEEF) usando padrões grok, processando especificamente CEF, LEEF e outros formatos específicos da Varonis. Em seguida, ele mapeia os campos extraídos para o modelo de dados unificado (UDM, na sigla em inglês), processando vários formatos de dados e casos extremos para garantir uma representação consistente.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou mais recente ou host Linux com systemd
Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Varonis

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, "nano", "vi" ou "Notepad").

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'VARONIS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar a exportação do Syslog no Varonis

Faça login na UI da Web do Varonis.
Acesse Ferramentas > DatAlert > Selecionar DatAlert.
Selecione Configuração.
Informe os seguintes detalhes de configuração:
- Endereço IP da mensagem Syslog: insira o endereço IP do agente do BindPlane.
- Porta: insira o número da porta do agente do Bindplane. Por exemplo, 514 para UDP.
- Nome da instalação: selecione uma instalação.
Clique em Aplicar.

Configurar o formato Syslog no Varonis

Acesse Ferramentas > DatAlert > Modelos de alerta.
Clique em Editar modelo de alerta e selecione Modelo padrão do sistema externo.
Em Aplicar a métodos de alerta, selecione Mensagem do Syslog na lista.
Selecione Regras > Método de alerta no menu.
Selecione Mensagem Syslog.
Clique em OK.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`act`	`security_result.summary`	Valor do campo `act` na mensagem CEF.
`cn1`	`security_result.rule_id`	Valor do campo `cn1` na mensagem CEF.
`cs1`	`network.email.to`	Valor do campo `cs1` na mensagem CEF, especificamente o destinatário do e-mail.
`cs2`	`security_result.rule_name`	Valor do campo `cs2` na mensagem CEF.
`device_version`	`metadata.product_version`	Valor do campo `device_version` na mensagem CEF.
`dhost`	`principal.hostname`	Valor do campo `dhost` na mensagem CEF, que representa o nome de host principal. Se `file_server` estiver presente e não for "DirectoryServices", ele vai substituir esse valor.
`duser`	`target.user.userid`	Valor do campo `duser` na mensagem CEF. A transformação gsub é usada para remover barras invertidas e dividir em `target.user.userid` e `target.administrative_domain`.
`dvchost`	`target.hostname`	Valor do campo `dvchost` na mensagem CEF.
`filePath`	`target.file.full_path`	Valor do campo `filePath` na mensagem CEF.
`rt`	`metadata.event_timestamp`	Valor do campo `rt` na mensagem CEF, analisado como um carimbo de data/hora.
`severity`	`security_result.severity`	Valor do campo `severity` na mensagem CEF ou LEEF. Convertido em letras maiúsculas. Mapeado para valores de gravidade do UDM (BAIXO, INFORMATIVO, MÉDIO, ALTO, CRÍTICO) com base no valor numérico ou na palavra-chave.
`Acting Object`	`target.user.user_display_name`	Valor do campo `Acting Object` nos dados de chave-valor. Divida por "\" para extrair o nome de exibição.
`Acting Object SAM Account Name`	`target.user.userid`	Valor do campo `Acting Object SAM Account Name` nos dados de chave-valor.
`Device hostname`	`target.hostname`	Valor do campo `Device hostname` nos dados de chave-valor.
`Device IP address`	`target.ip`	Valor do campo `Device IP address` nos dados de chave-valor.
`Event Time`	`metadata.event_timestamp`	Valor do campo `Event Time` nos dados de chave-valor, analisado como um carimbo de data/hora.
`Event Type`	`target.application`, `metadata.event_type`	Valor do campo `Event Type` nos dados de chave-valor. Usado para derivar `metadata.event_type` (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED).
`File Server/Domain`	`principal.hostname`	Valor do campo `File Server/Domain` nos dados de chave-valor. Se não for "DirectoryServices", ele vai substituir o `principal.hostname` derivado de `dhost`.
`Path`	`target.file.full_path`	Valor do campo `Path` nos dados de chave-valor.
`Rule Description`	`metadata.description`	Valor do campo `Rule Description` nos dados de chave-valor.
`Rule ID`	`security_result.rule_id`	Valor do campo `Rule ID` nos dados de chave-valor.
`Rule Name`	`security_result.rule_name`	Valor do campo `Rule Name` nos dados de chave-valor.
`intermediary_host`	`intermediary.hostname`	Valor extraído pelo grok, que representa o nome do host intermediário.
`log_type`	`metadata.log_type`	Fixado em `VARONIS`.
`metadata.event_type`	`metadata.event_type`	Derivado com base nos valores de `evt_typ`, `act` e `filepath`. O padrão é STATUS_UPDATE se `event_type` for GENERIC_EVENT e `principal_hostname` estiver presente.
`metadata.product_name`	`metadata.product_name`	Fixado em `VARONIS`, mas pode ser substituído pelo campo `product_name` da mensagem LEEF.
`metadata.vendor_name`	`metadata.vendor_name`	Fixado em `VARONIS`, mas pode ser substituído pelo campo `vendor` da mensagem LEEF.
`prin_host`	`principal.hostname`	Valor extraído pelo grok, que representa o nome do host principal.
`product_name`	`metadata.product_name`	Valor da mensagem LEEF.
`security_result.action`	`security_result.action`	Derivado do campo `result` ou `Event Status`. Defina como "ALLOW" se o resultado for `Success`. Caso contrário, defina como `BLOCK`.
`timestamp`	`timestamp`, `metadata.event_timestamp`	O carimbo de data/hora do evento é derivado de vários campos (`datetime1`, `event_time`, `start_datetime`, `datetime2`) com base na disponibilidade. O `create_time` do registro bruto é usado como substituto e mapeado para `timestamp` e `metadata.event_timestamp` se nenhum outro campo de carimbo de data/hora estiver disponível.
`vendor`	`metadata.vendor_name`	Valor da mensagem LEEF.

Alterações

2025-02-06

Melhoria:

Um novo padrão Grok foi adicionado para o tipo de registro LEEF.
description foi mapeado para metadata.description.
usrName foi mapeado para principal.user.userid.
Event_Type foi mapeado para metadata.product_event_type.
domain foi mapeado para prinicipal.administrative_domain.
Mapeou proto, cat, Event_Additional_Data, Event_Status, Email_Attachment_Name, Email_Date, Account_of_Changed_Permissions, Permissions_Changes, Permissions_before_Change e Permissions_after_Change para additional.fields.
Affected_Object_Path foi mapeado para taregt.file.full_path.
Affected_Object foi mapeado para security_result.detection_fields.
src foi mapeado para principal.ip e principal.assest.ip.
Alert_ID foi mapeado para security_result.rule_id.
Email_Recipients foi mapeado para network.email.to.
Email_Item, Mailbox_Access_by_Owner, Threshold_Value, Threshold_First_Timestamp, Event_by_MailboxOwner e Email_Sender foram mapeados para additional.fields.
Email_Sender foi mapeado para network.email.from.
accountName foi mapeado para target.user.userid.
Device_Name foi mapeado para taregt.hostname e taregt.asset.hostname.
Event_Type_ID foi mapeado para metadata.product_log_id.
Event_File_Server_Domain foi mapeado para target.administrative_domain.
Alert_Page_URL foi mapeado para taregt.url.
devTime foi mapeado para metadata.event_timestamp.
sev foi mapeado para security_result.severity.

2022-10-08

Melhoria:

Adição de padrão grok para o tipo de registro LEEF.
severity foi mapeado para security_result.severity.
device_version foi mapeado para metadata.product_version.
Mapeou administrative_domain para target.administrative_domain
Foi adicionada uma verificação condicional para intermediary_host.

2022-10-07

Correção de bugs:

Mapeou rt para metadata.event_timestamp se rt não for nulo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.