Collecter les journaux JFrog Artifactory

Ce document explique comment ingérer les journaux Jfrog Artifactory dans Google Security Operations à l'aide de Bindplane. L'analyseur gère deux formats de journaux JFrog Artifactory différents. Il utilise des modèles Grok pour identifier et extraire les champs de chaque format. Il mappe ensuite ces champs sur l'UDM, gère les charges utiles JSON dans l'un des formats et supprime les journaux qui ne correspondent à aucun des formats.

Avant de commencer

• Assurez-vous de disposer d'une instance Google SecOps.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous de disposer d'un accès privilégié à l'instance Jfrog Artifactory.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration:

   1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   ```yaml
   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'JFROG_ARTIFACTORY'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   ```
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer le syslog Jfrog Artifactory

1. Connectez-vous à l'instance Jfrog Artifactory.

2. Modifiez le fichier $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml à l'aide de vi:

   vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
   

3. Ajoutez l'appender syslog suivant au fichier:

   <appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender">
       <syslogHost>Bindplane-Agent-IP</syslogHost>
       <facility>SYSLOG</facility>
       <suffixPattern>[%thread] %logger %msg</suffixPattern>
   </appender>
   

   • Remplacez Bindplane-Agent-IP dans syslogHost par l'adresse IP réelle configurée pour l'agent Bindplane.

4. Ajoutez des données de configuration supplémentaires au fichier:

   <root>
   < level value="debug"/>
   <appender-ref ref="CONSOLE"/>
   <appender-ref ref="FILE"/>
   <appender-ref ref="SYSLOG"/>
   </root>
   

5. Enregistrez le fichier en cliquant sur le bouton ESC (Échap) de votre clavier, puis en saisissant :wq.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
action	read_only_udm.metadata.product_event_type	La valeur action du journal brut est convertie en minuscules et mappée.
datetime	read_only_udm.metadata.event_timestamp	Le champ date/heure du journal brut est analysé et converti en code temporel.
hostname	read_only_udm.principal.hostname	Mappé directement à partir du champ hostname du journal brut.
id	read_only_udm.metadata.product_log_id	Mappé directement à partir du champ id du journal brut (à partir de la charge utile JSON).
ip	read_only_udm.principal.ip	Mappé directement à partir du champ ip du journal brut. Coded en dur sur "USER_RESOURCE_ACCESS". Code codé en dur sur "JFROG_ARTIFACTORY". Codedée en dur sur "Artifactory". Code codé en dur sur "JFROG".
Propriétaire	read_only_udm.principal.user.userid	Mappé si username n'est pas présent dans le journal brut (à partir de la charge utile JSON).
repo_name	read_only_udm.target.resource.name	Mappé directement à partir du champ repo_name du journal brut.
repo_type	read_only_udm.target.resource.resource_subtype	Mappé directement à partir du champ repo_type du journal brut.
portée	read_only_udm.target.resource.name	Mappé directement à partir du champ scope (champ d'étendue) du journal brut (à partir de la charge utile JSON).
portée	read_only_udm.target.resource.resource_subtype	Codé en dur sur "scope" si scope est présent dans le journal brut.
sequenceId	read_only_udm.metadata.product_log_id	Les guillemets sont supprimés du champ sequenceId, puis mappés.
subject	read_only_udm.about.labels.key	Valeur codée en dur sur "subject" si subject est présent dans le journal brut.
subject	read_only_udm.about.labels.value	Mappé directement à partir du champ subject (objet) du journal brut (à partir de la charge utile JSON).
type	read_only_udm.metadata.product_event_type	Mappé directement à partir du champ type du journal brut (à partir de la charge utile JSON).
Utilisateur	read_only_udm.principal.user.userid	Mappé directement à partir du champ user du journal brut.
username	read_only_udm.principal.user.userid	Mappé directement à partir du champ nom d'utilisateur du journal brut (à partir de la charge utile JSON).

Modifications

2025-02-27

Amélioration :

• Mappage de "data.repository_key", "data.release_bundle_name", "data.release_bundle_version", "data.property_key", "data.property_values", "data.platforms.architecture" et "data.platforms.os" sur "additional.fields".

2025-02-19

Amélioration :

• Mappage de "data.repo_key","subscription_key","source","image_name" et "data.platforms" sur "additional.fields".
• Mappage de "domain" sur "principal.administrative_domain".
• "event_type" a été mappé sur "metadata.product_event_type".
• "data.path" a été mappé sur "target.file.full_path".
• Mappage de "data.name" sur "target.user.user_display_name".
• Mappage de "data.size" sur "target.file.size".
• "SHA256" a été mappé sur "target.process.file.sha256".

2024-09-23

Amélioration :

• Ajout de la possibilité d'analyser les journaux non analysés.
• Mappage de "target_ip" sur "target.ip" et "target.asset.ip".
• Mappage de "desc" sur "metadata.description".
• Mappage de "method" sur "network.http.method".
• Mappage de "url" sur "target.url".
• Mappage de "prin_url" sur "principal.url".
• Mappage de "response_code" sur "network.http.response_code".
• Mappage de "RequestMethod" sur "network.http.method".
• Mappage de "RequestPath" sur "target.url".
• Mappage de "DownstreamContentSize" et "DownstreamStatus" sur "Additional.Fields".
• Mappage de "ServiceAddr" sur "principal.hostname" et "principal.port".
• Mappage de "ClientAddr" sur "target.ip" et "target.port".
• Mappage de "user_agent" sur "network.http.user_agent".
• Mappage de "level" sur "security_result.severity".
• Mappage de "msg" sur "security_result.description".
• Mappage de "protocol" sur "network.application_protocol".

2023-08-25

• Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.