Raccogliere i log di JFrog Artifactory

Questo documento spiega come importare i log di Jfrog Artifactory in Google Security Operations utilizzando Bindplane. Il parser gestisce due diversi formati di log JFrog Artifactory. Utilizza pattern grok per identificare ed estrarre i campi da ciascun formato. Poi mappa questi campi all'UDM, gestisce i payload JSON in uno dei formati ed elimina i log che non corrispondono a nessuno dei formati.

Prima di iniziare

• Assicurati di avere un'istanza Google SecOps.
• Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
• Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso privilegiato all'istanza Jfrog Artifactory.

Recupera il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse di installazione aggiuntive

• Per altre opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   ```yaml
   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'JFROG_ARTIFACTORY'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   ```
   

3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Syslog di JFrog Artifactory

1. Connettiti all'istanza JFrog Artifactory.

2. Modifica il file $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml utilizzando vi:

   vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
   

3. Aggiungi il seguente appender syslog al file:

   <appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender">
       <syslogHost>Bindplane-Agent-IP</syslogHost>
       <facility>SYSLOG</facility>
       <suffixPattern>[%thread] %logger %msg</suffixPattern>
   </appender>
   

   • Sostituisci Bindplane-Agent-IP in syslogHost con l'indirizzo IP effettivo configurato per l'agente Bindplane.

4. Aggiungi altri dati di configurazione al file:

   <root>
   < level value="debug"/>
   <appender-ref ref="CONSOLE"/>
   <appender-ref ref="FILE"/>
   <appender-ref ref="SYSLOG"/>
   </root>
   

5. Salva il file facendo clic sul pulsante ESC (Esc) sulla tastiera e digitando :wq.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
azione	read_only_udm.metadata.product_event_type	Il valore di action dal log non elaborato viene convertito in minuscolo e mappato.
datetime	read_only_udm.metadata.event_timestamp	Il campo datetime del log non elaborato viene analizzato e convertito in un timestamp.
hostname	read_only_udm.principal.hostname	Mappato direttamente dal campo hostname del log non elaborato.
id	read_only_udm.metadata.product_log_id	Mappato direttamente dal campo id del log non elaborato (dal payload JSON).
ip	read_only_udm.principal.ip	Mappato direttamente dal campo ip del log non elaborato. Hardcoded in "USER_RESOURCE_ACCESS". Hardcoded su "JFROG_ARTIFACTORY". Hardcoded su "Artifactory". Hardcoded su "JFROG".
owner	read_only_udm.principal.user.userid	Mappato se username non è presente nel log non elaborato (dal payload JSON).
repo_name	read_only_udm.target.resource.name	Mappato direttamente dal campo repo_name del log non elaborato.
repo_type	read_only_udm.target.resource.resource_subtype	Mappato direttamente dal campo repo_type del log non elaborato.
scope	read_only_udm.target.resource.name	Mappato direttamente dal campo scope del log non elaborato (dal payload JSON).
scope	read_only_udm.target.resource.resource_subtype	Hardcoded su "scope" se scope è presente nel log non elaborato.
sequenceId	read_only_udm.metadata.product_log_id	Le virgolette vengono rimosse dal campo sequenceId e poi mappate.
subject	read_only_udm.about.labels.key	Hardcoded su "subject" se subject è presente nel log non elaborato.
subject	read_only_udm.about.labels.value	Mappato direttamente dal campo subject del log non elaborato (dal payload JSON).
type	read_only_udm.metadata.product_event_type	Mappato direttamente dal campo type del log non elaborato (dal payload JSON).
user	read_only_udm.principal.user.userid	Mappato direttamente dal campo user del log non elaborato.
username	read_only_udm.principal.user.userid	Mappato direttamente dal campo username del log non elaborato (dal payload JSON).

Modifiche

2025-02-27

Miglioramento:

• Sono stati mappati "data.repository_key", "data.release_bundle_name", "data.release_bundle_version", "data.property_key", "data.property_values", "data.platforms.architecture" e "data.platforms.os" a "additional.fields".

2025-02-19

Miglioramento:

• Ho mappato "data.repo_key" ,"subscription_key","source","image_name", "data.platforms" a "additional.fields".
• "domain" è stato mappato a "principal.administrative_domain".
• "event_type" è stato mappato a "metadata.product_event_type".
• "data.path" è stato mappato a "target.file.full_path".
• "data.name" è stato mappato a "target.user.user_display_name".
• "data.size" è stato mappato a "target.file.size".
• "SHA256" è stato mappato a "target.process.file.sha256".

2024-09-23

Miglioramento:

• È stato aggiunto il supporto per l'analisi dei log non analizzati.
• "target_ip" è stato mappato a "target.ip" e "target.asset.ip".
• "desc" è stato mappato a "metadata.description".
• "method" è stato mappato a "network.http.method".
• "url" è stato mappato a "target.url".
• "prin_url" è stato mappato a "principal.url".
• "response_code" è stato mappato a "network.http.response_code".
• "RequestMethod" è stato mappato a "network.http.method".
• "RequestPath" è stato mappato a "target.url".
• "DownstreamContentSize" e "DownstreamStatus" sono stati mappati a "Additional.Fields".
• "ServiceAddr" è stato mappato a "principal.hostname" e "principal.port".
• "ClientAddr" è stato mappato a "target.ip" e "target.port".
• "user_agent" è stato mappato a "network.http.user_agent".
• "level" è stato mappato a "security_result.severity".
• "msg" è stato mappato a "security_result.description".
• "protocol" è stato mappato a "network.application_protocol".

2023-08-25

• Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.