Coletar registros do Varonis
Este documento explica como transferir os registros do Varonis para as operações de segurança do Google usando o Bindplane. O analisador extrai campos dos registros (SYSLOG + KV (CEF), LEEF) usando padrões grok, processando especificamente CEF, LEEF e outros formatos específicos da Varonis. Em seguida, ele mapeia os campos extraídos para o modelo de dados unificado (UDM, na sigla em inglês), processando vários formatos de dados e casos extremos para garantir uma representação consistente.
Antes de começar
Verifique se você tem os seguintes pré-requisitos:
- Instância do Google SecOps
- Windows 2016 ou mais recente ou host Linux com systemd
- Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
- Acesso privilegiado ao Varonis
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele está no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo, "nano", "vi" ou "Notepad").
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'VARONIS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID real do cliente.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agent
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar a exportação do Syslog no Varonis
- Faça login na UI da Web do Varonis.
- Acesse Ferramentas > DatAlert > Selecionar DatAlert.
- Selecione Configuração.
- Informe os seguintes detalhes de configuração:
- Endereço IP da mensagem Syslog: insira o endereço IP do agente do BindPlane.
- Porta: insira o número da porta do agente do Bindplane. Por exemplo,
514
para UDP. - Nome da instalação: selecione uma instalação.
- Clique em Aplicar.
Configurar o formato Syslog no Varonis
- Acesse Ferramentas > DatAlert > Modelos de alerta.
- Clique em Editar modelo de alerta e selecione Modelo padrão do sistema externo.
- Em Aplicar a métodos de alerta, selecione Mensagem do Syslog na lista.
- Selecione Regras > Método de alerta no menu.
- Selecione Mensagem Syslog.
- Clique em OK.
Tabela de mapeamento da UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
act |
security_result.summary |
Valor do campo act na mensagem CEF. |
cn1 |
security_result.rule_id |
Valor do campo cn1 na mensagem CEF. |
cs1 |
network.email.to |
Valor do campo cs1 na mensagem CEF, especificamente o destinatário do e-mail. |
cs2 |
security_result.rule_name |
Valor do campo cs2 na mensagem CEF. |
device_version |
metadata.product_version |
Valor do campo device_version na mensagem CEF. |
dhost |
principal.hostname |
Valor do campo dhost na mensagem CEF, que representa o nome de host principal. Se file_server estiver presente e não for "DirectoryServices", ele vai substituir esse valor. |
duser |
target.user.userid |
Valor do campo duser na mensagem CEF. A transformação gsub é usada para remover barras invertidas e dividir em target.user.userid e target.administrative_domain . |
dvchost |
target.hostname |
Valor do campo dvchost na mensagem CEF. |
filePath |
target.file.full_path |
Valor do campo filePath na mensagem CEF. |
rt |
metadata.event_timestamp |
Valor do campo rt na mensagem CEF, analisado como um carimbo de data/hora. |
severity |
security_result.severity |
Valor do campo severity na mensagem CEF ou LEEF. Convertido em letras maiúsculas. Mapeado para valores de gravidade do UDM (BAIXO, INFORMATIVO, MÉDIO, ALTO, CRÍTICO) com base no valor numérico ou na palavra-chave. |
Acting Object |
target.user.user_display_name |
Valor do campo Acting Object nos dados de chave-valor. Divida por "\" para extrair o nome de exibição. |
Acting Object SAM Account Name |
target.user.userid |
Valor do campo Acting Object SAM Account Name nos dados de chave-valor. |
Device hostname |
target.hostname |
Valor do campo Device hostname nos dados de chave-valor. |
Device IP address |
target.ip |
Valor do campo Device IP address nos dados de chave-valor. |
Event Time |
metadata.event_timestamp |
Valor do campo Event Time nos dados de chave-valor, analisado como um carimbo de data/hora. |
Event Type |
target.application , metadata.event_type |
Valor do campo Event Type nos dados de chave-valor. Usado para derivar metadata.event_type (FILE_OPEN, USER_CHANGE_PERMISSIONS, USER_CHANGE_PASSWORD, USER_UNCATEGORIZED). |
File Server/Domain |
principal.hostname |
Valor do campo File Server/Domain nos dados de chave-valor. Se não for "DirectoryServices", ele vai substituir o principal.hostname derivado de dhost . |
Path |
target.file.full_path |
Valor do campo Path nos dados de chave-valor. |
Rule Description |
metadata.description |
Valor do campo Rule Description nos dados de chave-valor. |
Rule ID |
security_result.rule_id |
Valor do campo Rule ID nos dados de chave-valor. |
Rule Name |
security_result.rule_name |
Valor do campo Rule Name nos dados de chave-valor. |
intermediary_host |
intermediary.hostname |
Valor extraído pelo grok, que representa o nome do host intermediário. |
log_type |
metadata.log_type |
Fixado em VARONIS . |
metadata.event_type |
metadata.event_type |
Derivado com base nos valores de evt_typ , act e filepath . O padrão é STATUS_UPDATE se event_type for GENERIC_EVENT e principal_hostname estiver presente. |
metadata.product_name |
metadata.product_name |
Fixado em VARONIS , mas pode ser substituído pelo campo product_name da mensagem LEEF. |
metadata.vendor_name |
metadata.vendor_name |
Fixado em VARONIS , mas pode ser substituído pelo campo vendor da mensagem LEEF. |
prin_host |
principal.hostname |
Valor extraído pelo grok, que representa o nome do host principal. |
product_name |
metadata.product_name |
Valor da mensagem LEEF. |
security_result.action |
security_result.action |
Derivado do campo result ou Event Status . Defina como "ALLOW" se o resultado for Success . Caso contrário, defina como BLOCK . |
timestamp |
timestamp , metadata.event_timestamp |
O carimbo de data/hora do evento é derivado de vários campos (datetime1 , event_time , start_datetime , datetime2 ) com base na disponibilidade. O create_time do registro bruto é usado como substituto e mapeado para timestamp e metadata.event_timestamp se nenhum outro campo de carimbo de data/hora estiver disponível. |
vendor |
metadata.vendor_name |
Valor da mensagem LEEF. |
Alterações
2025-02-06
Melhoria:
- Um novo padrão Grok foi adicionado para o tipo de registro
LEEF
. description
foi mapeado parametadata.description
.usrName
foi mapeado paraprincipal.user.userid
.Event_Type
foi mapeado parametadata.product_event_type
.domain
foi mapeado paraprinicipal.administrative_domain
.- Mapeou
proto
,cat
,Event_Additional_Data
,Event_Status
,Email_Attachment_Name
,Email_Date
,Account_of_Changed_Permissions
,Permissions_Changes
,Permissions_before_Change
ePermissions_after_Change
paraadditional.fields
. Affected_Object_Path
foi mapeado parataregt.file.full_path
.Affected_Object
foi mapeado parasecurity_result.detection_fields
.src
foi mapeado paraprincipal.ip
eprincipal.assest.ip
.Alert_ID
foi mapeado parasecurity_result.rule_id
.Email_Recipients
foi mapeado paranetwork.email.to
.Email_Item
,Mailbox_Access_by_Owner
,Threshold_Value
,Threshold_First_Timestamp
,Event_by_MailboxOwner
eEmail_Sender
foram mapeados paraadditional.fields
.Email_Sender
foi mapeado paranetwork.email.from
.accountName
foi mapeado paratarget.user.userid
.Device_Name
foi mapeado parataregt.hostname
e taregt.asset.hostname.Event_Type_ID
foi mapeado parametadata.product_log_id
.Event_File_Server_Domain
foi mapeado paratarget.administrative_domain
.Alert_Page_URL
foi mapeado parataregt.url
.devTime
foi mapeado parametadata.event_timestamp
.sev
foi mapeado parasecurity_result.severity
.
2022-10-08
Melhoria:
- Adição de padrão grok para o tipo de registro
LEEF
. severity
foi mapeado parasecurity_result.severity
.device_version
foi mapeado parametadata.product_version
.- Mapeou
administrative_domain
paratarget.administrative_domain
- Foi adicionada uma verificação condicional para
intermediary_host
.
2022-10-07
Correção de bugs:
- Mapeou
rt
parametadata.event_timestamp
sert
não for nulo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.