New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« CrowdStrike 模块 Elasticsearch 模块 »
Elastic 文档 Filebeat 参考 [8.17] 模块

Cyberark PAS 模块

编辑

Cyberark PAS 模块

编辑

此功能为 Beta 版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,并且按原样提供,不提供任何保证。Beta 功能不受正式 GA 功能的支持 SLA 约束。

是否希望为此用例使用 Elastic Agent?

请参阅 Elastic Integrations 文档

了解更多

Elastic Agent 是一种单一、统一的方式,可为主机添加日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据,转发来自远程服务或硬件的数据等等。有关 Beats 和 Elastic Agent 的详细比较,请参阅文档

这是一个通过 Syslog 或文件接收 CyberArk Privileged Account Security (PAS) 日志的模块。

运行此模块需要 ingest-geoip Elasticsearch 插件。

阅读快速入门,了解如何配置和运行模块。

配置模块

编辑

您可以通过在 modules.d/cyberarkpas.yml 文件中指定变量设置,或者在命令行中覆盖设置,来进一步优化 cyberarkpas 模块的行为。

您必须在模块中启用至少一个 fileset。默认情况下,Fileset 处于禁用状态。

audit fileset 设置

编辑

audit fileset 通过 syslog 协议接收用户和保险箱活动的 Vault 审计日志。

Vault 配置

编辑

按照 安全信息和事件管理 (SIEM) 应用程序文档中的步骤设置集成

  • elastic-json-v1.0.xsl XSL 转换器文件复制到 Server\Syslog 文件夹。
  • DBPARM.ini 的示例 syslog 配置
[SYSLOG]
UseLegacySyslogFormat=No
SyslogTranslatorFile=Syslog\elastic-json-v1.0.xsl
SyslogServerIP=<INSERT FILEBEAT IP HERE>
SyslogServerPort=<INSERT FILEBEAT PORT HERE>
SyslogServerProtocol=TCP

为了正确记录事件时间戳,建议使用较新的 RFC5424 Syslog 格式 (UseLegacySyslogFormat=No)。为了避免事件丢失,请使用 TCPTLS 协议而不是 UDP

Filebeat 配置

编辑

编辑 cyberarkpas.yml 配置。以下示例配置将接受来自所有接口的 TCP 协议连接

- module: cyberarkpas
  audit:
    enabled: true

    # Set which input to use between tcp (default), udp, or file.
    #
    var.input: tcp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9301

    # With tcp input, set the optional tls configuration:
    #var.ssl:
    #  enabled: true
    #  certificate: /path/to/cert.pem
    #  key: /path/to/privatekey.pem
    #  key_passphrase: 'password for my key'

    # Uncoment to keep the original syslog event under event.original.
    # var.preserve_original_event: true

    # Set paths for the log files when file input is used.
    # var.paths:

对于加密通信,请按照 CyberArk 文档在 Vault 服务器中配置加密协议,并在 Filebeat 中使用带有 var.ssl 设置的 tcp 输入

- module: cyberarkpas
  audit:
    enabled: true

    # Set which input to use between tcp (default), udp, or file.
    #
    var.input: tcp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9301

    # With tcp input, set the optional tls configuration:
    var.ssl:
      enabled: true
      certificate: /path/to/cert.pem
      key: /path/to/privatekey.pem
      key_passphrase: 'password for my key'

    # Uncoment to keep the original syslog event under event.original.
    # var.preserve_original_event: true

    # Set paths for the log files when file input is used.
    # var.paths:

配置选项

编辑

变量设置

编辑

每个 fileset 都有单独的变量设置,用于配置模块的行为。如果您没有指定变量设置,则 cyberarkpas 模块将使用默认值。

对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置

当您在命令行中指定设置时,请记住在设置前加上模块名称,例如 cyberarkpas.audit.var.paths 而不是 audit.var.paths

var.input
要使用的输入。可以是 tcp(默认)、udpfile 之一。
var.syslog_host
用于侦听基于 UDP 或 TCP 的 syslog 流量的地址。默认为 localhost。设置为 0.0.0.0 可绑定到所有可用的接口。
var.syslog_port
用于侦听 syslog 流量的端口。默认为 9301

低于 1024 的端口需要 Filebeat 以 root 身份运行。

var.ssl
当用作 TLS 协议的服务器时,要使用的 SSL 参数的配置选项。有关可用子选项的描述,请参阅SSL 服务器配置选项。
var.preserve_original_event
设置为 true 可将原始 syslog 消息存储在 event.original 字段下。默认为 false
var.paths
一个基于 glob 的路径数组,用于指定查找日志文件的位置。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义的子目录级别获取所有文件:/path/to/log/*/*.log。这会从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。

此设置仅在配置 file 输入时适用。

示例仪表板

编辑

此模块附带一个示例仪表板

filebeat cyberarkpas overview

字段

编辑

有关模块中每个字段的描述,请参阅导出的字段部分。

« CrowdStrike 模块 Elasticsearch 模块 »
Was this helpful?
Feedback