Recopila registros de Delinea PAM

En este documento, se explica cómo transferir los registros del Administrador de acceso privilegiado (PAM) de Delinea a Google Security Operations con Bindplane. El código del analizador de Logstash extrae datos de eventos de seguridad de los registros de DELINEA_PAM en formato SYSLOG o CSV. Luego, usa patrones de Grok y el análisis de CSV para estructurar los datos, asigna los campos extraídos al modelo de datos unificado (UDM) y, por último, genera los datos de eventos transformados.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
• Acceso con privilegios al Administrador de acceso con privilegios de Delinea

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:
   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELINEA_PAM'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Reemplaza <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura Syslog en Delinea Privilege Manager

1. Accede a la IU web de Delinea PAM.
2. Ve a Administrador > Configuración > Sistemas extranjeros.
3. Haz clic en Crear en la página Syslog.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre descriptivo para el servidor.
   • Protocolo: Selecciona UDP (también puedes seleccionar TCP, según la configuración de tu agente de Bindplane).
   • Host: Ingresa la dirección IP del agente de Bindplane.
   • Puerto: Ingresa el número de puerto del agente de Bindplane. (514 para UDP).
5. Haz clic en Guardar cambios.

Cómo configurar tareas del servidor de SysLog en Delinea Privilege Manager

1. Ve a Administrador > Tareas > expande la carpeta Tareas del servidor > expande la carpeta Sistemas extranjeros.
2. Selecciona Syslog.
3. Haz clic en Crear.
4. Opciones de plantilla:
   • Envía eventos de acción de la aplicación de SysLog: Usa esta plantilla para enviar eventos de acción de la aplicación a tu sistema SysLog. Los eventos de acción de la aplicación contienen información genérica sobre la aplicación que se ejecuta, qué política se activó, la fecha y la marca de tiempo, la computadora y el usuario, por ejemplo.
   • Envía eventos de justificación de aplicaciones de SysLog: Usa esta plantilla para enviar eventos de justificación de aplicaciones a tu sistema de SysLog. Por ejemplo, si un usuario ejecuta una aplicación que requiere un flujo de trabajo de justificación.
   • Envía eventos de acción de aplicación con calificación mala a SysLog: Usa esta plantilla para enviar un evento a tu sistema SysLog cuando se instale o ejecute una aplicación que se identifique con una calificación de seguridad mala.
   • Envía eventos de historial de cambios de SysLog: Usa esta plantilla para enviar eventos de historial de cambios a tu sistema de SysLog. Cuando se ejecuta esta tarea por primera vez, envía todo el historial de cambios a tu servidor SysLog. En las ejecuciones posteriores, solo envía la diferencia de los eventos nuevos del historial de cambios.
   • Enviar eventos de SysLog: Usa esta plantilla para enviar todos los eventos de SysLog a tu sistema de SysLog. Estos eventos se basan en las diferentes opciones que seleccionaste en el servidor SysLog durante la configuración.
   • Envía eventos de archivos recién descubiertos de SysLog: Usa esta plantilla para enviar eventos de archivos recién descubiertos a tu sistema SysLog. Para que se produzcan eventos, se debe habilitar la política de inventario de archivos predeterminados y se deben personalizar los programas de descubrimiento de recursos.
   • Enviar eventos de divulgación de contraseñas de SysLog: Usa esta plantilla para enviar todos los eventos de divulgación de contraseñas a tu sistema SysLog.
5. Proporciona los siguientes detalles de configuración:
   • Template: Selecciona una plantilla de Syslog (por ejemplo, Send Syslog Events para enviar todos los eventos).
   • Nombre: Ingresa un nombre significativo para la tarea (por ejemplo, puedes ingresar el mismo nombre que la plantilla seleccionada).
   • Nombre del evento: Ingresa un nombre para los eventos.
   • Gravedad del evento: Ingresa un umbral de nivel de gravedad para los eventos que se enviarán.
   • Syslog System: Selecciona el servidor de agentes de Bindplane del sistema externo del servidor de Syslog que creaste en el paso anterior.
6. Haz clic en Crear.

Tabla de asignación de la UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.