« CrowdStrike 模块 Elasticsearch 模块 »
Elastic 文档 Filebeat 参考 [8.14] 模块

Cyberark PAS 模块

编辑

Cyberark PAS 模块编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式的 GA 功能成熟,因此按原样提供,不作任何保证。测试功能不受正式 GA 功能支持 SLA 的约束。

更喜欢将 Elastic Agent 用于此用例?

请参阅Elastic 集成文档

了解更多

Elastic Agent 是一种单一、统一的方式,可用于为主机添加对日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,从操作系统查询数据,从远程服务或硬件转发数据等。有关 Beats 和 Elastic Agent 的详细比较,请参阅文档。

这是一个用于通过 Syslog 或文件接收 CyberArk Privileged Account Security (PAS) 日志的模块。

运行此模块需要ingest-geoip Elasticsearch 插件。

阅读快速入门,了解如何配置和运行模块。

配置模块编辑

您可以通过在 modules.d/cyberarkpas.yml 文件中指定变量设置,或在命令行中覆盖设置,进一步优化 cyberarkpas 模块的行为。

您必须在模块中至少启用一个文件集。默认情况下,文件集处于禁用状态。

audit 文件集设置编辑

audit 文件集通过 syslog 协议接收有关用户和保险箱活动的 Vault 审计日志。

Vault 配置编辑

按照安全信息和事件管理 (SIEM) 应用程序文档中的步骤设置集成

  • elastic-json-v1.0.xsl XSL 转换器文件复制到 Server\Syslog 文件夹。
  • DBPARM.ini 的示例 syslog 配置
[SYSLOG]
UseLegacySyslogFormat=No
SyslogTranslatorFile=Syslog\elastic-json-v1.0.xsl
SyslogServerIP=<INSERT FILEBEAT IP HERE>
SyslogServerPort=<INSERT FILEBEAT PORT HERE>
SyslogServerProtocol=TCP

为了正确标记事件的时间戳,建议使用较新的 RFC5424 Syslog 格式(UseLegacySyslogFormat=No)。为避免事件丢失,请使用 TCPTLS 协议而不是 UDP

Filebeat 配置编辑

编辑 cyberarkpas.yml 配置。以下示例配置将接受来自所有接口的 TCP 协议连接

- module: cyberarkpas
  audit:
    enabled: true

    # Set which input to use between tcp (default), udp, or file.
    #
    var.input: tcp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9301

    # With tcp input, set the optional tls configuration:
    #var.ssl:
    #  enabled: true
    #  certificate: /path/to/cert.pem
    #  key: /path/to/privatekey.pem
    #  key_passphrase: 'password for my key'

    # Uncoment to keep the original syslog event under event.original.
    # var.preserve_original_event: true

    # Set paths for the log files when file input is used.
    # var.paths:

对于加密通信,请按照CyberArk 文档在 Vault 服务器中配置加密协议,并在 Filebeat 中使用 tcp 输入和 var.ssl 设置

- module: cyberarkpas
  audit:
    enabled: true

    # Set which input to use between tcp (default), udp, or file.
    #
    var.input: tcp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9301

    # With tcp input, set the optional tls configuration:
    var.ssl:
      enabled: true
      certificate: /path/to/cert.pem
      key: /path/to/privatekey.pem
      key_passphrase: 'password for my key'

    # Uncoment to keep the original syslog event under event.original.
    # var.preserve_original_event: true

    # Set paths for the log files when file input is used.
    # var.paths:
配置选项编辑

变量设置编辑

每个文件集都有单独的变量设置,用于配置模块的行为。如果不指定变量设置,则 cyberarkpas 模块将使用默认值。

对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置

在命令行中指定设置时,请记住在设置前面加上模块名称作为前缀,例如,使用 cyberarkpas.audit.var.paths 而不是 audit.var.paths

var.input
要使用的输入。可以是 tcp(默认)、udpfile 之一。
var.syslog_host
用于侦听基于 UDP 或 TCP 的 syslog 流量的地址。默认为 localhost。设置为 0.0.0.0 可绑定到所有可用接口。
var.syslog_port
用于侦听 syslog 流量的端口。默认为 9301

端口号低于 1024 时,需要以 root 用户身份运行 Filebeat。

var.ssl
作为 TLS 协议的服务器时要使用的 SSL 参数的配置选项。有关可用子选项的说明,请参阅SSL 服务器配置选项
var.preserve_original_event
设置为 true 可将原始 syslog 消息存储在 event.original 字段下。默认为 false
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。Go Glob 支持的所有模式在此处也受支持。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。

此设置仅在配置了 file 输入时适用。

示例仪表板编辑

此模块附带一个示例仪表板

filebeat cyberarkpas overview

字段编辑

有关模块中每个字段的说明,请参阅“导出字段”部分。

« CrowdStrike 模块 Elasticsearch 模块 »