Thycotic Secret Server
编辑Thycotic Secret Server
编辑Thycotic 集成允许您从使用 syslog 传输的 Thycotic Secret Server 收集日志。
如果您使用外部 syslog 接收器将日志写入文件,您也可以使用此集成读取日志文件。
Thycotic 现在被称为 Delinea。但是,目前 Secret Server 产品在日志记录方式上没有任何更改,该产品仍被称为 Thycotic Secret Server,因此此集成仍然使用“thycotic”作为供应商的参考。
数据流
编辑Thycotic 集成收集一种数据流:日志
Thycotic Secret Server 集成收集的日志数据流包括管理员活动和 PAM 事件,包括密钥访问和修改。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理数据。
您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
设置
编辑关于如何配置 Secret Server 发送 syslog 的官方供应商文档在此处:安全 Syslog/CEF 日志记录
此 PDF 也可用作 Thycotic Secret Server 如何以 CEF 格式生成日志的参考。
兼容性
编辑此集成已针对 Thycotic Secret Server 11.2.000002 和 11.3.000001 版本进行了测试。
预计更高版本也可以工作,但尚未经过测试。
调试
编辑如果启用了“保留原始事件”,这将为事件添加标签 preserve_original_event。event.original 将设置为原始消息内容,即 CEF 和 syslog 解析之前的消息。如果 decode_cef filebeat 处理器由于某种原因失败,这对于查看最初从 Thycotic 收到的内容很有用。
这是一个真正的问题,因为该集成已经使用自定义的 filebeat javascript 处理器片段来修复从 Secret Server 收到的未转义反斜杠实例,这些实例将导致 decode_cef 失败。
例如:
function process(event) {
event.Put("message", event.Get("message").replace(/\b\\\b/g,"\\\\\"));
}
修复了 Thycotic SS 发出的原始日志消息,
Nov 10 13:13:32 THYCOTICSS02 CEF:0|Thycotic Software|Secret Server|11.3.000001|10004|SECRET - VIEW|2|msg=[[SecretServer]] Event: [Secret] Action: [View] By User: U.Admin Item Name: Admin User Personal Admin Account - example\adminuser (Item Id: 12) Container Name: Admin User (Container Id: 11) suid=2 suser=U.Admin cs4=Unlimited Administrator cs4Label=suser Display Name src=172.16.1.116 rt=Nov 10 2022 13:13:23 fname=Admin User Personal Admin Account - example\adminuser fileType=Secret fileId=12 cs3Label=Folder cs3=Admin User
请注意,消息包含 example\adminuser,并且 fname 包含相同的 example\adminuser。
如果在使用 decode_cef 之前,单个 \ 没有被替换为转义的反斜杠(例如 \),则 decode_cef 将执行以下操作:
- 将以下 error.message 数组添加到事件中,
"error": {
"message": [
"malformed value for msg at pos 197",
"malformed value for fname at pos 436"
]
}
- 删除它最初解析的
message字段(正常行为?) - 无法将
cef.extensions.message和cef.extensions.filename添加到事件中,因为它在尝试解析它们时出错
因此,如果您看到如上所述的错误消息,则可能是 decode_cef 存在类似的问题,需要扩展 javascript 处理器 hack。
如果将 "preserve_cef" 标签添加到集成输入,则将保留 cef 对象及其下的所有字段。
如果将 "preserve_log" 标签添加到集成输入,则将保留 log 对象及其下的所有字段。
日志参考
编辑thycotic_ss.logs
编辑thycotic_ss.logs 数据流提供来自 Thycotic Secret Server 的以下类型事件:日志
thycotic_ss.logs 的示例事件如下所示
示例
logs 的示例事件如下所示
{
"@timestamp": "2022-11-10T13:13:32.000Z",
"agent": {
"ephemeral_id": "8b34f219-cb12-4346-a4d8-dff36ab92ed9",
"id": "21fd6389-bda5-46dd-9abe-cc77aef72e44",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.5.1"
},
"data_stream": {
"dataset": "thycotic_ss.logs",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "21fd6389-bda5-46dd-9abe-cc77aef72e44",
"snapshot": false,
"version": "8.5.1"
},
"event": {
"action": "view",
"agent_id_status": "verified",
"category": [
"iam"
],
"code": "10004",
"dataset": "thycotic_ss.logs",
"ingested": "2022-12-16T06:41:35Z",
"kind": "event",
"provider": "secret",
"type": [
"info"
]
},
"host": {
"ip": [
"172.23.0.4"
],
"name": "THYCOTICSS02"
},
"input": {
"type": "udp"
},
"message": "[[SecretServer]] Event: [Secret] Action: [View] By User: U.Admin Item Name: Admin User Personal Admin Account - example\\adminuser (Item Id: 12) Container Name: Admin User (Container Id: 11) ",
"observer": {
"hostname": "THYCOTICSS02",
"ip": [
"172.23.0.4"
],
"product": "Secret Server",
"vendor": "Thycotic Software",
"version": "11.3.000001"
},
"related": {
"hosts": [
"THYCOTICSS02"
],
"ip": [
"172.23.0.4",
"172.16.1.116"
],
"user": [
"U.Admin"
]
},
"source": {
"ip": "172.16.1.116"
},
"tags": [
"forwarded"
],
"thycotic_ss": {
"event": {
"secret": {
"folder": "Admin User",
"id": "12",
"name": "Admin User Personal Admin Account - example\\adminuser"
},
"time": "2022-11-10T13:13:23.000Z"
}
},
"user": {
"full_name": "Unlimited Administrator",
"id": "2",
"name": "U.Admin"
}
}
该软件包可以使用以下字段
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cef.version |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
input.type |
关键字 |
|
thycotic_ss.event.folder.folder |
关键字 |
|
thycotic_ss.event.folder.id |
关键字 |
|
thycotic_ss.event.folder.name |
关键字 |
|
thycotic_ss.event.group.folder |
关键字 |
|
thycotic_ss.event.group.id |
关键字 |
|
thycotic_ss.event.group.name |
关键字 |
|
thycotic_ss.event.permission.folder |
关键字 |
|
thycotic_ss.event.permission.id |
关键字 |
|
thycotic_ss.event.permission.name |
关键字 |
|
thycotic_ss.event.role.folder |
关键字 |
|
thycotic_ss.event.role.id |
关键字 |
|
thycotic_ss.event.role.name |
关键字 |
|
thycotic_ss.event.secret.folder |
关键字 |
|
thycotic_ss.event.secret.id |
关键字 |
|
thycotic_ss.event.secret.name |
关键字 |
|
thycotic_ss.event.time |
日期 |
|
thycotic_ss.event.user.domain |
关键字 |
|
thycotic_ss.event.user.folder |
关键字 |
|
thycotic_ss.event.user.full_name |
关键字 |
|
thycotic_ss.event.user.id |
关键字 |
|
thycotic_ss.event.user.name |
关键字 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.10.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.8.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.6.2 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.6.1 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |