Recopila registros de ESET AV
Compatible con:
Google secops
Siem
En este documento, se explica cómo transferir registros de antivirus de ESET a Google Security Operations con Bindplane. El código del analizador de Logstash extrae datos de eventos de seguridad de los registros de ESET_AV con formato SYSLOG o JSON. Primero, normaliza el mensaje sin procesar y, luego, lo analiza en función del formato identificado, asignando los campos extraídos al esquema del modelo de datos unificado (UDM) correspondiente para una representación y un análisis coherentes.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host de Linux con
systemd - Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
- Acceso con privilegios a ESET Protect
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de Bindplane
Instalación de Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener más opciones de instalación, consulta la guía de instalación.
Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'ESET_AV' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios.
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog para ESET PROTECT local
- Accede a la consola web de ESET Protect.
- Ve a Más > Configuración > Configuración avanzada > Servidor de Syslog.
- Selecciona el botón de activación junto a Habilitar Syslog.
- Proporciona los siguientes detalles de configuración:
- Host: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (
514para UDP). - Formato: Selecciona Syslog.
- Transporte: Selecciona UDP.
- Verbosidad del registro de seguimiento: Selecciona Informativo.
- Interruptor para exportar registros a Syslog: Selecciona Habilitar.
- Formato de los registros exportados: Selecciona JSON.
- Haz clic en Guardar.
Configura Syslog para ESET PROTECT Cloud
- Accede a la consola web de ESET Protect.
- Ve a Más > Configuración > Servidor de Syslog.
- Selecciona el botón de activación junto a Habilitar Syslog.
- Proporciona los siguientes detalles de configuración:
- Formato de la carga útil: Selecciona JSON.
- Formato del sobre: Selecciona Syslog.
- Nivel de registro mínimo: Selecciona Informativo.
- Tipos de eventos que se registrarán: Selecciona Todos los tipos de eventos.
- IP de destino: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (
514para UDP).
- Haz clic en Guardar.
Tabla de asignación de la UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| cuenta | principal.administrative_domain | Se extrae del campo account con el patrón grok %{DATA:admin_domain}\\\\%{WORD:user_id}. |
| cuenta | principal.user.userid | Se extrae del campo account con el patrón grok %{DATA:admin_domain}\\\\%{WORD:user_id}. |
| acción | security_result.action | Si action es Block (sin distinción entre mayúsculas y minúsculas), configúralo como BLOCK. Si action es Start (sin distinción entre mayúsculas y minúsculas), configúralo como ALLOW. |
| action_taken | security_result.action_details | Se asigna directamente desde el campo action_taken. |
| computer_severity_score | security_result.detection_fields | Se crea un par clave-valor con la clave computer_severity_score y el valor del campo computer_severity_score. Este par se agrega al array security_result.detection_fields. |
| detalle | security_result.description | Se asigna directamente desde el campo detail. |
| dominio | principal.domain.name | Se asigna directamente desde el campo domain. |
| eialarmid | security_result.detection_fields | Se crea un par clave-valor con la clave eialarmid y el valor del campo eialarmid. Este par se agrega al array security_result.detection_fields. |
| eiconsolelink | principal.url | Se asigna directamente desde el campo eiconsolelink. |
| evento | metadata.description | Se cambió el nombre de event por event_desc y se asignó a metadata.description. |
| event_type | metadata.product_event_type | Se asigna directamente desde el campo event_type. |
| group_name | principal.group.group_display_name | Se asigna directamente desde el campo group_name. |
| hash | principal.file.sha1 | Se convirtió en minúsculas. Si el valor en minúsculas coincide con la regex SHA-1, se asigna a principal.file.sha1. |
| hash | principal.resource.attribute.labels | Se crea un par clave-valor con la clave hash y el valor del campo hash. Este par se agrega al array principal.resource.attribute.labels. |
| Nombre de host | principal.asset.hostname | Se asigna directamente desde el campo hostname. |
| Nombre de host | principal.hostname | Se asigna directamente desde el campo hostname. |
| entrante | network.direction | Si es verdadero, configúralo como INBOUND. Si es falso, configúralo como OUTBOUND. |
| ipv4 | target.asset.ip | Se asigna directamente desde el campo ipv4 si target_address está vacío. |
| ipv4 | target.ip | Se asigna directamente desde el campo ipv4 si target_address está vacío. |
| json_data | Se analiza como JSON para extraer varios campos. | |
| mensaje | Se analiza con grok para extraer la marca de tiempo, el host y los datos JSON. | |
| need_restart | additional.fields | Se crea un par clave-valor con la clave need_restart y el valor del campo need_restart (convertido a cadena). Este par se agrega al array additional.fields. |
| os_name | principal.platform | Si contiene Window o window (sin distinción entre mayúsculas y minúsculas), configúralo como WINDOWS. Si contiene Linux o linux (sin distinción entre mayúsculas y minúsculas), configúralo como LINUX. Si contiene Mac o mac (sin distinción entre mayúsculas y minúsculas), configúralo como MAC. |
| os_name | principal.platform_version | Se asigna directamente desde el campo os_name. |
| process_name | principal.process.file.full_path | Se asigna directamente desde el campo process_name. Si está vacío, toma el valor de processname. |
| processname | principal.process.file.full_path | Si process_name está vacío, se asigna a process_name. |
| protocol | network.ip_protocol | Se convirtió en mayúsculas. Si el valor en mayúsculas coincide con protocolos conocidos (TCP, UDP, ICMP, etc.), se asigna a network.ip_protocol. |
| Resultado | security_result.summary | Se asigna directamente desde el campo result. |
| rulename | security_result.rule_name | Se asigna directamente desde el campo rulename. |
| scan_id | security_result.detection_fields | Se crea un par clave-valor con la clave scan_id y el valor del campo scan_id. Este par se agrega al array security_result.detection_fields. |
| scanner_id | security_result.detection_fields | Se crea un par clave-valor con la clave scanner_id y el valor del campo scanner_id. Este par se agrega al array security_result.detection_fields. |
| gravedad, | security_result.severity | Si contiene Warn o warn (sin distinción entre mayúsculas y minúsculas), configúralo como HIGH. Si contiene Info o info (sin distinción entre mayúsculas y minúsculas), configúralo como LOW. |
| severity_score | security_result.detection_fields | Se crea un par clave-valor con la clave severity_score y el valor del campo severity_score. Este par se agrega al array security_result.detection_fields. |
| source_address | principal.asset.ip | Se asigna directamente desde el campo source_address. |
| source_address | principal.ip | Se asigna directamente desde el campo source_address. |
| source_port | principal.port | Se convierte en una cadena y, luego, en un número entero. Se asignó a principal.port. |
| source_uuid | metadata.product_log_id | Se asigna directamente desde el campo source_uuid. |
| objetivo | Se cambió el nombre a target1. |
|
| target_address | target.asset.ip | Se asigna directamente desde el campo target_address. |
| target_address | target.ip | Se asigna directamente desde el campo target_address. |
| target_port | target.port | Se convierte en una cadena y, luego, en un número entero. Se asignó a target.port. |
| threat_handled | security_result.detection_fields | Se crea un par clave-valor con la clave threat_handled y el valor del campo threat_handled (convertido a cadena). Este par se agrega al array security_result.detection_fields. |
| threat_name | security_result.threat_name | Se asigna directamente desde el campo threat_name. |
| threat_type | security_result.threat_id | Se asigna directamente desde el campo threat_type. |
| hora | metadata.event_timestamp | Se usa para propagar metadata.event_timestamp. |
| nombre de usuario | principal.user.userid | Se asigna directamente desde el campo username si user_id y user están vacíos. |
| usuario | principal.user.userid | Se asigna directamente desde el campo user si user_id está vacío. |
| metadata.event_type | Si source_address y target_address no están vacíos, configúralos como NETWORK_CONNECTION. De lo contrario, si has_user es verdadero, configúralo como USER_UNCATEGORIZED. De lo contrario, si has_principal es verdadero, configúralo como STATUS_UPDATE. De lo contrario, configúralo como GENERIC_EVENT. |
|
| metadata.log_type | Se define en ESET_AV. |
|
| metadata.product_name | Se define en ESET_AV. |
|
| metadata.vendor_name | Se define en ESET_AV. |
|
| intermediary.hostname | El valor de este campo se toma del campo host extraído del mensaje de registro. |
|
| principal.user.userid | Si el campo account no está vacío, el analizador extrae el ID de usuario del campo account con un patrón grok. De lo contrario, comprueba si el campo user no está vacío y, de ser así, toma su valor. Si account y user están vacíos, comprueba si el campo username no está vacío y, de ser así, toma su valor. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.