CyberArk 特权访问安全
编辑CyberArk 特权访问安全
编辑CyberArk 特权访问安全集成从 CyberArk 的 Vault 服务器收集审计日志和监控数据。
数据流
编辑audit 数据流通过 syslog 协议接收用户和安全活动的 Vault 审计日志。
它还将从服务器接收 监控 数据,并将其路由到 monitor 数据流(例如,logs-cyberarkpas.monitor-default)。
Vault 配置
编辑按照 安全信息和事件管理 (SIEM) 应用程序 文档中的步骤设置集成
- 将 elastic-json-v1.0.xsl XSL 转换器文件复制到
Server\Syslog文件夹。 DBPARM.ini的 syslog 配置示例
[SYSLOG] UseLegacySyslogFormat=no SyslogTranslatorFile=Syslog\elastic-json-v1.0.xsl SyslogServerIP=<INSERT FILEBEAT IP HERE> SyslogServerPort=<INSERT FILEBEAT PORT HERE> SyslogServerProtocol=TCP SendMonitoringMessage=yes
为了正确的时间戳记事件,建议使用较新的 RFC5424 Syslog 格式 (UseLegacySyslogFormat=No)。为了避免事件丢失,请使用 TCP 或 TLS 协议而不是 UDP。
上面的示例配置将包括监控数据。有关监控的更多信息,请参阅 使用 Syslog 在 SIEM 应用程序中监控 Vault。
审计事件示例
编辑示例
audit 的示例事件如下所示
{
"@timestamp": "2021-03-04T17:27:14.000Z",
"agent": {
"ephemeral_id": "2e1e0d3f-9ac4-4f6a-816b-2b2b7400148a",
"id": "5607d6f4-6e45-4c33-a087-2e07de5f0082",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.1"
},
"cyberarkpas": {
"audit": {
"action": "Logon",
"desc": "Logon",
"iso_timestamp": "2021-03-04T17:27:14Z",
"issuer": "PVWAGWUser",
"message": "Logon",
"rfc5424": true,
"severity": "Info",
"station": "10.0.1.20",
"timestamp": "Mar 04 09:27:14"
}
},
"data_stream": {
"dataset": "cyberarkpas.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5607d6f4-6e45-4c33-a087-2e07de5f0082",
"snapshot": false,
"version": "8.9.1"
},
"event": {
"action": "authentication_success",
"agent_id_status": "verified",
"category": [
"authentication",
"session"
],
"code": "7",
"dataset": "cyberarkpas.audit",
"ingested": "2023-08-29T14:16:49Z",
"kind": "event",
"outcome": "success",
"severity": 2,
"timezone": "+00:00",
"type": [
"start"
]
},
"host": {
"name": "VAULT"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.21.0.4:38370"
},
"syslog": {
"priority": 5
}
},
"observer": {
"hostname": "VAULT",
"product": "Vault",
"vendor": "Cyber-Ark",
"version": "11.7.0000"
},
"related": {
"ip": [
"10.0.1.20"
],
"user": [
"PVWAGWUser"
]
},
"source": {
"address": "10.0.1.20",
"ip": "10.0.1.20"
},
"tags": [
"cyberarkpas-audit",
"forwarded"
],
"user": {
"name": "PVWAGWUser"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cyberarkpas.audit.action |
审计记录的描述。 |
关键字 |
cyberarkpas.audit.ca_properties.address |
关键字 |
|
cyberarkpas.audit.ca_properties.cpm_disabled |
关键字 |
|
cyberarkpas.audit.ca_properties.cpm_error_details |
关键字 |
|
cyberarkpas.audit.ca_properties.cpm_status |
关键字 |
|
cyberarkpas.audit.ca_properties.creation_method |
关键字 |
|
cyberarkpas.audit.ca_properties.customer |
关键字 |
|
cyberarkpas.audit.ca_properties.database |
关键字 |
|
cyberarkpas.audit.ca_properties.device_type |
关键字 |
|
cyberarkpas.audit.ca_properties.dual_account_status |
关键字 |
|
cyberarkpas.audit.ca_properties.group_name |
关键字 |
|
cyberarkpas.audit.ca_properties.in_process |
关键字 |
|
cyberarkpas.audit.ca_properties.index |
关键字 |
|
cyberarkpas.audit.ca_properties.last_fail_date |
关键字 |
|
cyberarkpas.audit.ca_properties.last_success_change |
关键字 |
|
cyberarkpas.audit.ca_properties.last_success_reconciliation |
关键字 |
|
cyberarkpas.audit.ca_properties.last_success_verification |
关键字 |
|
cyberarkpas.audit.ca_properties.last_task |
关键字 |
|
cyberarkpas.audit.ca_properties.logon_domain |
关键字 |
|
cyberarkpas.audit.ca_properties.other |
扁平化 |
|
cyberarkpas.audit.ca_properties.policy_id |
关键字 |
|
cyberarkpas.audit.ca_properties.port |
关键字 |
|
cyberarkpas.audit.ca_properties.privcloud |
关键字 |
|
cyberarkpas.audit.ca_properties.reset_immediately |
关键字 |
|
cyberarkpas.audit.ca_properties.retries_count |
关键字 |
|
cyberarkpas.audit.ca_properties.sequence_id |
关键字 |
|
cyberarkpas.audit.ca_properties.tags |
关键字 |
|
cyberarkpas.audit.ca_properties.user_dn |
关键字 |
|
cyberarkpas.audit.ca_properties.user_name |
关键字 |
|
cyberarkpas.audit.ca_properties.virtual_username |
关键字 |
|
cyberarkpas.audit.category |
类别名称(对于与类别相关的操作)。 |
关键字 |
cyberarkpas.audit.desc |
显示审计代码描述的静态值。 |
关键字 |
cyberarkpas.audit.extra_details.ad_process_id |
关键字 |
|
cyberarkpas.audit.extra_details.ad_process_name |
关键字 |
|
cyberarkpas.audit.extra_details.application_type |
关键字 |
|
cyberarkpas.audit.extra_details.command |
关键字 |
|
cyberarkpas.audit.extra_details.connection_component_id |
关键字 |
|
cyberarkpas.audit.extra_details.dst_host |
关键字 |
|
cyberarkpas.audit.extra_details.logon_account |
关键字 |
|
cyberarkpas.audit.extra_details.managed_account |
关键字 |
|
cyberarkpas.audit.extra_details.other |
扁平化 |
|
cyberarkpas.audit.extra_details.process_id |
关键字 |
|
cyberarkpas.audit.extra_details.process_name |
关键字 |
|
cyberarkpas.audit.extra_details.protocol |
关键字 |
|
cyberarkpas.audit.extra_details.psmid |
关键字 |
|
cyberarkpas.audit.extra_details.session_duration |
关键字 |
|
cyberarkpas.audit.extra_details.session_id |
关键字 |
|
cyberarkpas.audit.extra_details.src_host |
关键字 |
|
cyberarkpas.audit.extra_details.username |
关键字 |
|
cyberarkpas.audit.file |
目标文件的名称。 |
关键字 |
cyberarkpas.audit.gateway_station |
Web 应用程序计算机 (PVWA) 的 IP。 |
ip |
cyberarkpas.audit.hostname |
主机名,大写。 |
关键字 |
cyberarkpas.audit.iso_timestamp |
时间戳,采用 ISO 时间戳格式 (RFC 3339)。 |
日期 |
cyberarkpas.audit.issuer |
写入审计的 Vault 用户。这通常是执行操作的用户。 |
关键字 |
cyberarkpas.audit.location |
目标位置(用于位置操作)。 |
关键字 |
cyberarkpas.audit.message |
审计记录的描述(与“描述”字段中的信息相同)。 |
关键字 |
cyberarkpas.audit.message_id |
审计记录的代码 ID。 |
关键字 |
cyberarkpas.audit.product |
表示产品的静态值。 |
关键字 |
cyberarkpas.audit.pvwa_details |
PVWA 审计记录的特定详细信息。 |
扁平化 |
cyberarkpas.audit.raw |
原始审计记录的原始 XML。仅当 XSLT 文件启用了调试时才存在。 |
关键字 |
cyberarkpas.audit.reason |
用户输入的原因。 |
文本 |
cyberarkpas.audit.rfc5424 |
syslog 格式是否符合 RFC5424。 |
布尔值 |
cyberarkpas.audit.safe |
目标安全的名称。 |
关键字 |
cyberarkpas.audit.severity |
审计记录的严重性。 |
关键字 |
cyberarkpas.audit.source_user |
执行操作的 Vault 用户的名称。 |
关键字 |
cyberarkpas.audit.station |
执行操作的 IP。对于 PVWA 会话,这将是真实的客户端计算机 IP。 |
ip |
cyberarkpas.audit.target_user |
执行操作的 Vault 用户的名称。 |
关键字 |
cyberarkpas.audit.timestamp |
时间戳,格式为 MMM DD HH:MM:SS。 |
关键字 |
cyberarkpas.audit.vendor |
表示供应商的静态值。 |
关键字 |
cyberarkpas.audit.version |
表示 Vault 版本的静态值。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
监控事件示例
编辑示例
monitor 的示例事件如下所示
{
"@timestamp": "2024-10-15T00:29:00.000Z",
"agent": {
"name": "elastic-agent-85013",
"id": "0a6fa575-a3ed-463b-b47f-9c3e3a07e56f",
"ephemeral_id": "c2d94886-0c83-475b-b25b-7e136a32240d",
"type": "filebeat",
"version": "8.14.3"
},
"cyberarkpas": {
"monitor": {
"syslog_queue_size": 0,
"iso_timestamp": "2024-10-15T00:29:00Z",
"drive_free_space_in_gb": 20,
"drive_total_space_in_gb": 40,
"max_parallel_tasks": 20,
"transaction_count": 315,
"memory_usage": 62,
"average_queue_time": 0,
"max_execution_time": 148,
"version": "11.7.0029",
"average_execution_time": 10,
"max_queue_time": 37,
"number_of_parallel_tasks": 1,
"cpu_usage": 7,
"timestamp": "Oct 15 00:29:00"
}
},
"data_stream": {
"namespace": "22830",
"type": "logs",
"dataset": "cyberarkpas.monitor"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "0a6fa575-a3ed-463b-b47f-9c3e3a07e56f",
"version": "8.14.3",
"snapshot": false
},
"event": {
"agent_id_status": "verified",
"ingested": "2024-10-21T07:32:45Z",
"timezone": "+00:00",
"kind": "metric",
"dataset": "cyberarkpas.monitor"
},
"host": {
"name": "VAULT",
"cpu": {
"usage": 0.07
}
},
"input": {
"type": "log"
},
"log": {
"file": {
"path": "/tmp/service_logs/monitor.log"
},
"offset": 15547
},
"observer": {
"product": "VaultMonitor",
"hostname": "VAULT",
"vendor": "Cyber-Ark",
"version": "11.7.0029"
},
"related": {
"hosts": [
"VAULT"
]
},
"tags": [
"forwarded",
"cyberarkpas-monitor"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cyberarkpas.monitor.average_execution_time |
在过去一分钟内,Vault 完成事务执行的平均时间,以毫秒为单位。 |
整数 |
cyberarkpas.monitor.average_queue_time |
在过去一分钟内,事务在 Vault 的执行队列中等待的平均时间,以毫秒为单位。 |
整数 |
cyberarkpas.monitor.cpu_usage |
Vault 计算机上的 CPU 使用率百分比。 |
整数 |
cyberarkpas.monitor.drive_free_space_in_gb |
Vault 安装文件夹的驱动器上可用的 GB 数。 |
整数 |
cyberarkpas.monitor.drive_total_space_in_gb |
Vault 安装文件夹的驱动器上的总 GB 数。 |
整数 |
cyberarkpas.monitor.iso_timestamp |
时间戳,采用 ISO 时间戳格式 (RFC 3339)。 |
日期 |
cyberarkpas.monitor.max_execution_time |
在过去一分钟内,Vault 完成事务执行的最大时间,以毫秒为单位。 |
整数 |
cyberarkpas.monitor.max_parallel_tasks |
基于 DBParm.ini 中的 TasksCount 参数,可以同时运行的最大 Vault 事务数。 |
整数 |
cyberarkpas.monitor.max_queue_time |
在过去一分钟内,事务在 Vault 的执行队列中等待的最大时间,以毫秒为单位。 |
整数 |
cyberarkpas.monitor.memory_usage |
Vault 计算机上已用物理内存的百分比。 |
整数 |
cyberarkpas.monitor.number_of_parallel_tasks |
当前正在运行的 Vault 事务数。 |
整数 |
cyberarkpas.monitor.raw |
原始审计记录的原始 XML。仅当 XSLT 文件启用了调试时才存在。 |
关键字 |
cyberarkpas.monitor.syslog_queue_size |
syslog 队列的大小。 |
整数 |
cyberarkpas.monitor.timestamp |
时间戳,格式为 MMM DD HH:MM:SS。 |
关键字 |
cyberarkpas.monitor.transaction_count |
在过去一分钟内的 Vault 事务数。 |
整数 |
cyberarkpas.monitor.version |
表示 Vault 版本的静态值。 |
版本 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.25.0 |
增强 (查看拉取请求) |
8.14.0 或更高版本 |
2.24.0 |
增强 (查看拉取请求) |
8.14.0 或更高版本 |
2.23.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.22.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.21.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.14.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.13.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.12.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.10.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.9.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.9.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.8.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.7.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.6.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.6.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.6.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.5.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.5.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.4.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.4.1 |
增强功能 (查看拉取请求) |
— |
2.4.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.3.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.3.1 |
增强功能 (查看拉取请求) 错误修复 (查看拉取请求) |
— |
2.3.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.2.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.2.1 |
错误修复 (查看拉取请求) |
— |
2.2.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.1.4 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.1.3 |
增强功能 (查看拉取请求) |
— |
2.1.2 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.1.1 |
错误修复 (查看拉取请求) |
— |
2.1.0 |
增强功能 (查看拉取请求) |
— |
2.0.0 |
增强功能 (查看拉取请求) |
— |
1.2.3 |
增强功能 (查看拉取请求) |
7.14.0 或更高版本 |
1.2.2 |
增强功能 (查看拉取请求) |
— |
1.2.1 |
增强功能 (查看拉取请求) |
— |
1.2.0 |
增强功能 (查看拉取请求) |
— |
1.1.0 |
增强功能 (查看拉取请求) |
7.14.0 或更高版本 |
1.0.1 |
增强功能 (查看拉取请求) |
— |
1.0.0 |
增强功能 (查看拉取请求) |
7.13.0 或更高版本 |