Delinea PAM のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Delinea Privileged Access Manager(PAM)ログを Google Security Operations に取り込む方法について説明します。Logstash パーサー コードは、DELINEA_PAM ログからセキュリティ イベントデータを SYSLOG 形式または CSV 形式で抽出します。次に、Grok パターンと CSV 解析を使用してデータを構造化し、抽出されたフィールドを統合データモデル(UDM)にマッピングし、最後に変換されたイベントデータを出力します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Delinea Privileged Access Manager に対する特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELINEA_PAM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

Delinea Privilege Manager で Syslog を構成する

  1. Delinea PAM ウェブ UI にログインします。
  2. [管理] > [構成] > [外部システム] に移動します。
  3. [Syslog ページ] で [作成] をクリックします。
  4. 次の構成情報を提供してください。
    • 名前: サーバーのわかりやすい名前を入力します。
    • プロトコル: [UDP] を選択します(Bindplane エージェントの構成に応じて、[TCP] を選択することもできます)。
    • Host: Bindplane エージェントの IP アドレスを入力します。
    • ポート: Bindplane エージェントのポート番号を入力します。(UDP の場合は 514)。
  5. [変更を保存] をクリックします。

Delinea Privilege Manager で SysLog サーバー タスクを構成する

  1. [Admin] > [Tasks] > [Server Tasks] フォルダを開き > [Foreign Systems] フォルダを開きます
  2. [Syslog] を選択します。
  3. [作成] をクリックします。
  4. テンプレート オプション:
    • SysLog アプリケーション アクション イベントを送信する: このテンプレートを使用して、アプリケーション アクション イベントを SysLog システムに送信します。アプリケーション アクション イベントには、実行されたアプリケーション、トリガーされたポリシー、日付とタイムスタンプ、コンピュータ、ユーザーなどの一般的な情報が含まれます。
    • SysLog アプリケーションの正当化イベントを送信する: このテンプレートを使用して、アプリケーションの正当化イベントを SysLog システムに送信します。たとえば、ユーザーが正当な理由のワークフローを必要とするアプリケーションを実行している場合です。
    • SysLog の不正な評価のアプリケーション アクション イベントを送信する: このテンプレートを使用すると、セキュリティ評価が不正と識別されたアプリケーションのインストールまたは実行時に、SysLog システムにイベントを送信できます。
    • SysLog 変更履歴イベントを送信する: このテンプレートを使用して、変更履歴イベントを SysLog システムに送信します。このタスクが初めて実行されると、すべての変更履歴が SysLog サーバーに送信されます。以降の実行では、新しい変更履歴イベントの差分のみ送信されます。
    • SysLog イベントを送信する: このテンプレートを使用して、すべての SysLog イベントを SysLog システムに送信します。これらのイベントは、セットアップ時に SysLog サーバーで選択したさまざまなオプションに基づいています。
    • SysLog に新しく検出されたファイル イベントを送信する: このテンプレートを使用して、新しく検出されたファイル イベントを SysLog システムに送信します。イベントを生成するには、デフォルトのファイル インベントリ ポリシーを有効にして、リソース検出スケジュールをカスタマイズする必要があります。
    • SysLog パスワード漏洩イベントを送信する: このテンプレートを使用すると、すべてのパスワード漏洩イベントを SysLog システムに送信できます。
  5. 次の構成情報を提供してください。
    • テンプレート: syslog テンプレートを選択します(すべてのイベントを送信する場合は Send Syslog Events など)。
    • 名前: タスクにわかりやすい名前を入力します(選択したテンプレートと同じ名前を入力できます)。
    • イベント名: イベントの名前を入力します。
    • イベントの重大度: 送信されるイベントの重大度レベルのしきい値を入力します。
    • Syslog System: 前の手順で作成した Syslog サーバー外国システムの Bindplane エージェント サーバーを選択します。
  6. [作成] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
CEF:0|...|column1 metadata.vendor_name CEF 文字列から抽出されます。具体的には、最初の「
CEF:0|...|column2 metadata.product_name CEF 文字列から抽出されます。具体的には、2 番目の「
CEF:0|...|column3 metadata.product_version CEF 文字列から抽出されます。具体的には、3 番目の「
CEF:0|...|column5 metadata.product_event_type CEF 文字列から抽出されます。具体的には、5 番目の「
CEF:0|...|column7 security_result.description CEF 文字列から抽出されます。具体的には、7 番目の「
%{HOSTNAME} principal.hostname Grok パターン「%{HOSTNAME}」を使用してログ メッセージから抽出されます。
%{TIMESTAMP_ISO8601} metadata.event_timestamp Grok パターン「%{TIMESTAMP_ISO8601}」を使用してログ メッセージから抽出されます。
metadata.event_type パーサーコードで「STATUS_UPDATE」にハードコードされています。
metadata.log_type パーサーコードで「DELINEA_PAM」にハードコードされます。
timestamp timestamp イベント タイムスタンプは、未加工ログの「timestamp」フィールドから解析され、UDM タイムスタンプ形式に変換されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。