Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log IRM di Archer

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Archer IRM in Google Security Operations utilizzando l'agente Bindplane.

Archer Integrated Risk Management (IRM) è una piattaforma di governance, rischio e conformità (GRC) che fornisce la registrazione degli audit per le attività degli utenti, gli eventi di sicurezza, le azioni di accesso/disconnessione e le operazioni del database. Supporta l'inoltro di syslog degli audit log in formato CEF tramite TCP.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server delle applicazioni Archer
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo al pannello di controllo di Archer

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota :l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/archer_irm:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ARCHER_IRM
        raw_log_field: body

service:
    pipelines:
        logs/archer_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/archer_irm

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 6514 è quella consigliata per syslog TCP di Archer IRM
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog per l'audit logging di Archer IRM

Apri il pannello di controllo di Archer sul server delle applicazioni.
Vai a Instance Management (Gestione istanze) > All Instances (Tutte le istanze) e fai doppio clic sull'istanza di destinazione.
Nella scheda Generale, individua la sezione Audit e seleziona la casella di controllo Attiva la registrazione di audit per questa istanza.
Fornisci i seguenti dettagli di configurazione:
- Nome host o indirizzo IP: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 6514).
- Versione IP: seleziona IPv4.
- Metodo di traffico IP: seleziona TCP.
Fai clic su Test Connection (Prova connessione), disponibile solo quando è selezionato TCP, per verificare la connettività.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`ArcherInstance`	`additional.fields.ArcherInstance.string_value`	Estratto dal campo `ArcherInstance` nel messaggio di log non elaborato.
`ArcherLog`		Questo campo viene analizzato e i relativi dati vengono mappati ad altri campi UDM.
`ArcherVersion`	`additional.fields.ArcherVersion.string_value`	Estratto dal campo `ArcherVersion` nel messaggio di log non elaborato.
`InputParameter`	`additional.fields.InputParameter.string_value`	Estratto dal campo `InputParameter` nel messaggio di log non elaborato.
`LogSourceIdentifier`		Questo campo viene analizzato e i relativi dati vengono mappati ad altri campi UDM.
`MethodName`	`additional.fields.MethodName.string_value`	Estratto dal campo `MethodName` nel messaggio di log non elaborato.
`OutputValues`	`additional.fields.OutputValue.string_value`	Estratto dal campo `OutputValues` nel messaggio di log non elaborato.
`Success`	`security_result.summary`	Il valore è impostato su `Success:` concatenato al valore del campo `Success` nel messaggio di log non elaborato.
`UserId`	`principal.user.userid`	Estratto dal campo `UserId` nel messaggio di log non elaborato.
`UserName`	`principal.user.user_display_name`	Estratto dal campo `UserName` nel messaggio di log non elaborato.
`DB_DRIVER`	`target.resource.attribute.labels.db_driver.value`	Estratto dal campo `DB_DRIVER` nel messaggio di log non elaborato.
`DB_HOST`	`target.resource.attribute.labels.db_host.value`	Estratto dal campo `DB_HOST` nel messaggio di log non elaborato.
`DB_NAME`	`target.resource.attribute.labels.db_name.value`	Estratto dal campo `DB_NAME` nel messaggio di log non elaborato.
`DB_PORT`	`target.resource.attribute.labels.db_port.value`	Estratto dal campo `DB_PORT` nel messaggio di log non elaborato.
`DB_URL`	`target.resource.attribute.labels.db_url.value`	Estratto dal campo `DB_URL` nel messaggio di log non elaborato.
`company_security_event_id`	`metadata.product_log_id`	Estratto dal campo `company_security_event_id` nel messaggio di log non elaborato.
`create_date`	`metadata.event_timestamp`	Convertito in timestamp dal formato UNIX_MS.
`databasename`	`target.resource.attribute.labels.db_name.value`	Estratto dal campo `databasename` nel messaggio di log non elaborato se `DB_NAME` non è presente.
`encrypt`	`security_result.detection_fields.encrypt.value`	Estratto dal campo `encrypt` nel messaggio di log non elaborato.
`eventid`	`metadata.product_event_type`	Estratto dal campo `eventid` nel messaggio di log non elaborato.
`eventtime`	`metadata.event_timestamp`	Convertito in timestamp da vari formati.
`integratedSecurity`	`security_result.detection_fields.integratedSecurity.value`	Estratto dal campo `integratedSecurity` nel messaggio di log non elaborato.
N/D	`extensions.auth.type`	Impostato su `AUTHTYPE_UNSPECIFIED` per gli eventi USER_LOGIN e USER_LOGOUT.
N/D	`metadata.event_type`	Imposta `USER_RESOURCE_ACCESS` se il log viene analizzato dal pattern grok. Imposta su `USER_LOGIN` se `security_event_name` è `User Login`. Imposta su `USER_LOGOUT` se `security_event_name` è `User Logout`. Imposta su `USER_RESOURCE_ACCESS` se `security_event_name` contiene `Security Events`. In caso contrario, impostalo su `GENERIC_EVENT`.
N/D	`metadata.log_type`	Imposta su `ARCHER_IRM`.
N/D	`metadata.product_name`	Imposta `Archer` se il log viene analizzato dal pattern grok. In caso contrario, impostalo su `RSA`.
N/D	`metadata.vendor_name`	Imposta `RSA` se il log viene analizzato dal pattern grok. In caso contrario, impostalo su `Archer`.
N/D	`principal.ip`	Imposta `1.2.3.4` se il log viene analizzato dal pattern grok.
N/D	`principal.port`	Impostato sul valore estratto da `LogSourceIdentifier` se il log viene analizzato dal pattern grok.
N/D	`security_result.action`	Imposta su `ALLOW` se `Success` è `True`, altrimenti imposta su `BLOCK`.
N/D	`target.resource.resource_type`	Imposta su `DATABASE` se sono presenti campi correlati al database.
`source_user`	`principal.user.userid`	Estratto dal campo `source_user` nel messaggio di log non elaborato.
`target_user`	`target.user.userid`	Estratto dal campo `target_user` nel messaggio di log non elaborato.
`trustServerCertificate`	`security_result.detection_fields.trustServerCertificate.value`	Estratto dal campo `trustServerCertificate` nel messaggio di log non elaborato.
`version`	`metadata.product_version`	Estratto dal campo `version` nel messaggio di log non elaborato.
`file_name`	`target.file.full_path`	Mappato dal log delle modifiche
`Downloaded_By`	`principal.user.user_display_name`	Mappato dal log delle modifiche
`Downloaded_By_UserName`	`principal.user.email_addresses`	Mappato dal log delle modifiche
`security_event_name`	`security_result.description`	Mappato dal log delle modifiche
`target_group`	`target.group.group_display_name`	Mappato dal log delle modifiche

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.