Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di AlgoSec Security Management

Supportato in:

Google secops Siem

Questo documento spiega come importare i log di AlgoSec Security Management in Google Security Operations utilizzando un agente Bindplane. Il parser estrae i campi e gestisce i log formattati sia CEF che non CEF. Analizza i campi comuni come timestamp, indirizzi IP e dettagli sugli eventi, quindi li mappa all'UDM in base al prodotto (Suite, Firewall Analyzer, FireFlow) e all'ID evento, impostando i metadati e i campi dei risultati di sicurezza appropriati. Gestisce inoltre tipi di eventi specifici come accesso/uscita, avvisi amministrativi e report di analisi, estraendo i dettagli pertinenti e impostando i livelli di gravità.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi ad AlgoSec Firewall Analyzer, FireFlow e AppViz.

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALGOSEC
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog per Firewall Analyzer

Accedi all'appliance AFA tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi le seguenti righe per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
(Facoltativo) Verifica la configurazione di Syslog:
1. Vai a Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare Syslog per FireFlow

Accedi alla macchina FireFlow come root.
Apri il file /etc/syslog.conf per modificarlo.
```
vi /etc/syslog.conf
```
Aggiungi la seguente riga al file: local0.*@<BindplaneAgent>.
- Sostituisci <BindplaneAgent> con l'indirizzo IP del server dell'agente Bindplane.

Configurare Syslog per AppViz

Accedi all'appliance AppViz tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi quanto segue per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
Verifica la configurazione di Syslog:
1. Nell'interfaccia di AppViz, vai ad Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare syslog per gli eventi di accesso e disconnessione

Accedi all'appliance ASMS tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```

Aggiungi quanto segue per definire il server syslog remoto:

destination d_remote {
    udp("<bindplane-server-ip>" port(514));
};

log {
    source(s_sys);
    destination(d_remote);
};

Sostituisci <bindplane-server-ip> con l'indirizzo IP del server syslog.

Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`by_user`	`principal.user.user_display_name`	Il valore del campo `by_user` del log non elaborato viene assegnato a questo campo UDM.
`collection_time`	`metadata.event_timestamp`	I campi secondi e nanos vengono combinati per creare un timestamp.
`comm`	`target.process.command_line`	Il valore del campo `comm` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`datetime`	`metadata.event_timestamp`	La data e l'ora vengono estratte dal log non elaborato e utilizzate per compilare il timestamp dell'evento.
`desc`	`metadata.description`	Il valore del campo `desc` del log non elaborato viene assegnato a questo campo UDM quando non è disponibile un'altra descrizione.
`dest_ip`	`target.ip`	Il valore del campo `dest_ip` del log non elaborato viene assegnato a questo campo UDM.
`dest_port`	`target.port`	Il valore del campo `dest_port` del log non elaborato viene assegnato a questo campo UDM.
`details`	`security_result.summary`	Il valore del campo `details` del log non elaborato viene assegnato a questo campo UDM.
`device`	`principal.asset.hostname`	Il valore del campo `device` del log non elaborato viene assegnato a questo campo UDM.
`dst_ip`	`target.ip`	Il valore del campo `dst_ip` del log non elaborato viene assegnato a questo campo UDM.
`dst_port`	`target.port`	Il valore del campo `dst_port` del log non elaborato viene assegnato a questo campo UDM.
`event_id`	`metadata.product_event_type`	Il valore del campo `event_id` del log non elaborato viene assegnato a questo campo UDM. Viene utilizzato anche nella logica del parser per determinare `metadata.event_type` e altri campi.
`event_name`	`metadata.product_event_type`	Il valore del campo `event_name` del log non elaborato viene assegnato a questo campo UDM.
`firewall`	`target.hostname`	Il valore del campo `firewall` del log non elaborato viene assegnato a questo campo UDM.
`host`	`principal.hostname`	Il valore del campo `host` del log non elaborato viene assegnato a questo campo UDM.
`host_type`	`principal.asset.category`	Il valore del campo `host_type` del log non elaborato viene assegnato a questo campo UDM.
`iporhost`	`principal.ip` / `principal.hostname` / `target.ip` / `target.hostname` / `observer.ip` / `observer.hostname`	Se il valore è un indirizzo IP, viene mappato a `principal.ip`, `target.ip` o `observer.ip` a seconda dell'origine del log e del tipo di evento. Se si tratta di un nome host, viene mappato a `principal.hostname`, `target.hostname` o `observer.hostname`.
`IP`	`principal.ip`	Il valore del campo `IP` del log non elaborato viene assegnato a questo campo UDM.
`kv_data`	`security_result.summary`	Il valore del campo `kv_data` del log non elaborato viene assegnato a questo campo UDM.
`log_type`	`metadata.log_type`	Hardcoded a `ALGOSEC`.
`metric`	`security_result.action_details`	Il valore del campo `metric` del log non elaborato viene assegnato a questo campo UDM.
`msg`	`security_result.summary`/`security_result.description`	Il valore del campo `msg` del log non elaborato viene utilizzato per compilare il riepilogo o la descrizione del risultato di sicurezza, a seconda del contesto. Viene utilizzato anche per estrarre i campi `risk_level`, `risk_count`, `risk_code` e `risk_title`.
`pid`	`target.process.pid`	Il valore del campo `pid` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`product`	`metadata.product_name`	Il valore del campo `product` del log non elaborato viene assegnato a questo campo UDM.
`report`	`security_result.description`	Il valore del campo `report` del log non elaborato è incluso nella descrizione del risultato di sicurezza.
`report_data.Device IP`	`target.ip`	Il valore del campo `Device IP` dei dati JSON analizzati viene assegnato a questo campo UDM.
`report_data.Highest Risk Level`	`security_result.description`	Il valore del campo `Highest Risk Level` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`report_data.Security Rating Score`	`security_result.description`	Il valore del campo `Security Rating Score` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza.
`Requestor.Email`	`principal.user.email_addresses`	Il valore del campo `Email` all'interno dell'oggetto `Requestor` dei dati JSON analizzati viene assegnato a questo campo UDM.
`Requestor.Name`	`principal.user.user_display_name`	Il valore del campo `Name` all'interno dell'oggetto `Requestor` dei dati JSON analizzati viene assegnato a questo campo UDM.
`RequestType`	`target.resource.attribute.labels`	Il valore del campo `RequestType` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
`risk_title`	`security_result.summary`	Il valore del campo `risk_title` del log non elaborato viene assegnato a questo campo UDM.
`src_ip`	`principal.ip`	Il valore del campo `src_ip` del log non elaborato viene assegnato a questo campo UDM.
`src_port`	`principal.port`	Il valore del campo `src_port` del log non elaborato viene assegnato a questo campo UDM.
`status`	`security_result.description`/`security_result.action_details`	Il valore del campo `status` del log non elaborato è incluso nella descrizione del risultato di sicurezza o nei dettagli dell'azione, a seconda del contesto. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`target_app`	`target.application`	Il valore del campo `target_app` del log non elaborato viene assegnato a questo campo UDM.
`TemplateName`	`metadata.description`	Il valore del campo `TemplateName` del log non elaborato viene assegnato a questo campo UDM.
`url`	`security_result.url_back_to_product`	Il valore del campo `url` del log non elaborato viene assegnato a questo campo UDM.
`user`	`principal.user.userid`	Il valore del campo `user` del log non elaborato viene assegnato a questo campo UDM.
`vendor`	`metadata.vendor_name`	Il valore del campo `vendor` del log non elaborato viene assegnato a questo campo UDM.
`version`	`metadata.product_version`	Il valore del campo `version` del log non elaborato viene assegnato a questo campo UDM.
`WorkFlow`	`target.resource.attribute.labels`	Il valore del campo `WorkFlow` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
(Parser Logic)	`extensions.auth.type`	Hardcoded a `MACHINE`.
(Parser Logic)	`security_result.action`	Determinato in base a `event_id` e ad altri campi. In genere impostato su `ALLOW` o `BLOCK`.
(Parser Logic)	`security_result.category`	Hardcoded su `POLICY_VIOLATION` per gli eventi di Firewall Analyzer.
(Parser Logic)	`security_result.description`	Costruito in base ad altri campi, fornisce contesto e dettagli sull'evento.
(Parser Logic)	`security_result.severity`	Determinato in base ai campi `event_id`, `msg` e altri. In genere impostato su `LOW`, `MEDIUM` o `HIGH`.
(Parser Logic)	`metadata.event_type`	Determinato in base a `event_id` e ad altri campi. Alcuni esempi sono `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`, `STATUS_UNCATEGORIZED`, `SCAN_HOST`, `NETWORK_CONNECTION` e `STATUS_UPDATE`.
(Parser Logic)	`is_alert`	Imposta `true` se `security_result.severity` è `HIGH`.
(Parser Logic)	`is_significant`	Imposta `true` se `security_result.severity` è `HIGH`.

Modifiche

2022-11-27

Miglioramento:

È stato analizzato il formato CEF e i log non analizzati relativi a Grok aggiungendo un blocco condizionale specifico per gli eventi per gestirli.
È stato aggiunto anche un tag drop per eliminare i log con formato non corretto.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.