Cyberark PAS 模块
编辑Cyberark PAS 模块
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按现状提供,不提供任何担保。测试版功能不受正式 GA 功能的支持服务水平协议 (SLA) 的约束。
这是一个用于通过 Syslog 或文件接收 CyberArk 权限帐户安全 (PAS) 日志的模块。
运行此模块需要 ingest-geoip Elasticsearch 插件。
阅读 快速入门,了解如何配置和运行模块。
配置模块
编辑您可以通过在 modules.d/cyberarkpas.yml 文件中指定 变量设置 或在命令行中覆盖设置来进一步优化 cyberarkpas 模块的行为。
您必须在模块中启用至少一个文件集。文件集默认情况下处于禁用状态。
audit 文件集设置
编辑audit 文件集通过 syslog 协议接收有关用户和保险库活动的 Vault 审计日志。
保险库配置
编辑请按照 安全信息和事件管理 (SIEM) 应用程序 文档中的步骤设置集成。
- 将 elastic-json-v1.0.xsl XSL 转换器文件复制到
Server\Syslog文件夹。 DBPARM.ini的示例 syslog 配置
[SYSLOG] UseLegacySyslogFormat=No SyslogTranslatorFile=Syslog\elastic-json-v1.0.xsl SyslogServerIP=<INSERT FILEBEAT IP HERE> SyslogServerPort=<INSERT FILEBEAT PORT HERE> SyslogServerProtocol=TCP
为了正确记录事件的时间戳,建议使用较新的 RFC5424 Syslog 格式 (UseLegacySyslogFormat=No)。为避免事件丢失,请使用 TCP 或 TLS 协议,而不是 UDP。
Filebeat 配置
编辑编辑 cyberarkpas.yml 配置文件。以下示例配置将接受来自所有接口的 TCP 协议连接。
- module: cyberarkpas
audit:
enabled: true
# Set which input to use between tcp (default), udp, or file.
#
var.input: tcp
var.syslog_host: 0.0.0.0
var.syslog_port: 9301
# With tcp input, set the optional tls configuration:
#var.ssl:
# enabled: true
# certificate: /path/to/cert.pem
# key: /path/to/privatekey.pem
# key_passphrase: 'password for my key'
# Uncoment to keep the original syslog event under event.original.
# var.preserve_original_event: true
# Set paths for the log files when file input is used.
# var.paths:
对于加密通信,请按照 CyberArk 文档 中的说明在 Vault 服务器中配置加密协议,并在 Filebeat 中使用带有 var.ssl 设置的 tcp 输入。
- module: cyberarkpas
audit:
enabled: true
# Set which input to use between tcp (default), udp, or file.
#
var.input: tcp
var.syslog_host: 0.0.0.0
var.syslog_port: 9301
# With tcp input, set the optional tls configuration:
var.ssl:
enabled: true
certificate: /path/to/cert.pem
key: /path/to/privatekey.pem
key_passphrase: 'password for my key'
# Uncoment to keep the original syslog event under event.original.
# var.preserve_original_event: true
# Set paths for the log files when file input is used.
# var.paths:
配置选项
编辑变量设置
编辑每个文件集都有单独的变量设置,用于配置模块的行为。如果您未指定变量设置,则 cyberarkpas 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置。
在命令行中指定设置时,请记住在设置前添加模块名称前缀,例如 cyberarkpas.audit.var.paths 而不是 audit.var.paths。
-
var.input - 要使用的输入。
tcp(默认)、udp或file之一。 -
var.syslog_host - 侦听基于 UDP 或 TCP 的 syslog 流量的地址。默认为
localhost。设置为0.0.0.0以绑定到所有可用接口。 -
var.syslog_port - 侦听 syslog 流量的端口。默认为
9301。
低于 1024 的端口需要 Filebeat 以 root 用户身份运行。
-
var.ssl - 充当
TLS协议服务器时要使用的 SSL 参数的配置选项。有关可用子选项的说明,请参阅 SSL 服务器配置选项。 -
var.preserve_original_event - 设置为
true可将原始 syslog 消息存储在event.original字段下。默认为false。 -
var.paths - 指定查找日志文件位置的基于 glob 的路径数组。此处还支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将获取/path/to/log的子文件夹中的所有.log文件。它不会获取/path/to/log文件夹本身的日志文件。
此设置仅在配置 file 输入时适用。
示例仪表板
编辑此模块附带一个示例仪表板。
字段
编辑有关模块中每个字段的说明,请参阅 导出的字段 部分。