New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« 威胁地图 Tines 集成 »
Elastic 文档 Elastic 集成

Thycotic Secret Server

编辑

Thycotic Secret Server

编辑

版本

1.10.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

Thycotic 集成允许您从使用 syslog 传输的 Thycotic Secret Server 收集日志。

如果您使用外部 syslog 接收器将日志写入文件,您也可以使用此集成读取日志文件。

Thycotic 现在被称为 Delinea。但是,目前 Secret Server 产品在日志记录方式上没有任何更改,该产品仍被称为 Thycotic Secret Server,因此此集成仍然使用“thycotic”作为供应商的参考。

数据流

编辑

Thycotic 集成收集一种数据流:日志

Thycotic Secret Server 集成收集的日志数据流包括管理员活动和 PAM 事件,包括密钥访问和修改。

要求

编辑

您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理数据。

您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。

设置

编辑

关于如何配置 Secret Server 发送 syslog 的官方供应商文档在此处:安全 Syslog/CEF 日志记录

此 PDF 也可用作 Thycotic Secret Server 如何以 CEF 格式生成日志的参考。

兼容性

编辑

此集成已针对 Thycotic Secret Server 11.2.000002 和 11.3.000001 版本进行了测试。

预计更高版本也可以工作,但尚未经过测试。

调试

编辑

如果启用了“保留原始事件”,这将为事件添加标签 preserve_original_eventevent.original 将设置为原始消息内容,即 CEF 和 syslog 解析之前的消息。如果 decode_cef filebeat 处理器由于某种原因失败,这对于查看最初从 Thycotic 收到的内容很有用。

这是一个真正的问题,因为该集成已经使用自定义的 filebeat javascript 处理器片段来修复从 Secret Server 收到的未转义反斜杠实例,这些实例将导致 decode_cef 失败。

例如:

function process(event) {
  event.Put("message", event.Get("message").replace(/\b\\\b/g,"\\\\\"));
}

修复了 Thycotic SS 发出的原始日志消息,

Nov 10 13:13:32 THYCOTICSS02 CEF:0|Thycotic Software|Secret Server|11.3.000001|10004|SECRET - VIEW|2|msg=[[SecretServer]] Event: [Secret] Action: [View] By User: U.Admin Item Name: Admin User Personal Admin Account - example\adminuser (Item Id: 12) Container Name: Admin User (Container Id: 11)  suid=2 suser=U.Admin cs4=Unlimited Administrator cs4Label=suser Display Name src=172.16.1.116 rt=Nov 10 2022 13:13:23 fname=Admin User Personal Admin Account - example\adminuser fileType=Secret fileId=12 cs3Label=Folder cs3=Admin User

请注意,消息包含 example\adminuser,并且 fname 包含相同的 example\adminuser

如果在使用 decode_cef 之前,单个 \ 没有被替换为转义的反斜杠(例如 \),则 decode_cef 将执行以下操作:

  1. 将以下 error.message 数组添加到事件中,
"error": {
    "message": [
      "malformed value for msg at pos 197",
      "malformed value for fname at pos 436"
    ]
  }
  1. 删除它最初解析的 message 字段(正常行为?)
  2. 无法将 cef.extensions.messagecef.extensions.filename 添加到事件中,因为它在尝试解析它们时出错

因此,如果您看到如上所述的错误消息,则可能是 decode_cef 存在类似的问题,需要扩展 javascript 处理器 hack。

如果将 "preserve_cef" 标签添加到集成输入,则将保留 cef 对象及其下的所有字段。

如果将 "preserve_log" 标签添加到集成输入,则将保留 log 对象及其下的所有字段。

日志参考

编辑

thycotic_ss.logs

编辑

thycotic_ss.logs 数据流提供来自 Thycotic Secret Server 的以下类型事件:日志

thycotic_ss.logs 的示例事件如下所示

示例

logs 的示例事件如下所示

{
    "@timestamp": "2022-11-10T13:13:32.000Z",
    "agent": {
        "ephemeral_id": "8b34f219-cb12-4346-a4d8-dff36ab92ed9",
        "id": "21fd6389-bda5-46dd-9abe-cc77aef72e44",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.5.1"
    },
    "data_stream": {
        "dataset": "thycotic_ss.logs",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "21fd6389-bda5-46dd-9abe-cc77aef72e44",
        "snapshot": false,
        "version": "8.5.1"
    },
    "event": {
        "action": "view",
        "agent_id_status": "verified",
        "category": [
            "iam"
        ],
        "code": "10004",
        "dataset": "thycotic_ss.logs",
        "ingested": "2022-12-16T06:41:35Z",
        "kind": "event",
        "provider": "secret",
        "type": [
            "info"
        ]
    },
    "host": {
        "ip": [
            "172.23.0.4"
        ],
        "name": "THYCOTICSS02"
    },
    "input": {
        "type": "udp"
    },
    "message": "[[SecretServer]] Event: [Secret] Action: [View] By User: U.Admin Item Name: Admin User Personal Admin Account - example\\adminuser (Item Id: 12) Container Name: Admin User (Container Id: 11) ",
    "observer": {
        "hostname": "THYCOTICSS02",
        "ip": [
            "172.23.0.4"
        ],
        "product": "Secret Server",
        "vendor": "Thycotic Software",
        "version": "11.3.000001"
    },
    "related": {
        "hosts": [
            "THYCOTICSS02"
        ],
        "ip": [
            "172.23.0.4",
            "172.16.1.116"
        ],
        "user": [
            "U.Admin"
        ]
    },
    "source": {
        "ip": "172.16.1.116"
    },
    "tags": [
        "forwarded"
    ],
    "thycotic_ss": {
        "event": {
            "secret": {
                "folder": "Admin User",
                "id": "12",
                "name": "Admin User Personal Admin Account - example\\adminuser"
            },
            "time": "2022-11-10T13:13:23.000Z"
        }
    },
    "user": {
        "full_name": "Unlimited Administrator",
        "id": "2",
        "name": "U.Admin"
    }
}

该软件包可以使用以下字段

导出的字段
字段 描述 类型

@timestamp

事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cef.version

关键字

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

input.type

关键字

thycotic_ss.event.folder.folder

关键字

thycotic_ss.event.folder.id

关键字

thycotic_ss.event.folder.name

关键字

thycotic_ss.event.group.folder

关键字

thycotic_ss.event.group.id

关键字

thycotic_ss.event.group.name

关键字

thycotic_ss.event.permission.folder

关键字

thycotic_ss.event.permission.id

关键字

thycotic_ss.event.permission.name

关键字

thycotic_ss.event.role.folder

关键字

thycotic_ss.event.role.id

关键字

thycotic_ss.event.role.name

关键字

thycotic_ss.event.secret.folder

关键字

thycotic_ss.event.secret.id

关键字

thycotic_ss.event.secret.name

关键字

thycotic_ss.event.time

日期

thycotic_ss.event.user.domain

关键字

thycotic_ss.event.user.folder

关键字

thycotic_ss.event.user.full_name

关键字

thycotic_ss.event.user.id

关键字

thycotic_ss.event.user.name

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.10.0

增强 (查看拉取请求)
不要在主摄取管道中删除 event.original

8.13.0 或更高版本

1.9.1

Bug 修复 (查看拉取请求)
修复 Security Service 集成包中的断开链接。

8.13.0 或更高版本

1.9.0

增强 (查看拉取请求)
event.kind 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标签。

8.13.0 或更高版本

1.8.1

Bug 修复 (查看拉取请求)
在摄取管道中引用变量时,使用三括号 Mustache 模板。

8.13.0 或更高版本

1.8.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中多余的 ECS 字段。

8.13.0 或更高版本

1.7.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

8.5.0 或更高版本

1.6.2

增强 (查看拉取请求)
更改了所有者

8.5.0 或更高版本

1.6.1

Bug 修复 (查看拉取请求)
修复 exclude_files 模式。

8.5.0 或更高版本

1.6.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.5.0 或更高版本

1.5.0

增强 (查看拉取请求)
设置社区所有者类型。

8.5.0 或更高版本

1.4.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.5.0 或更高版本

1.3.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点状 YAML 键。将owner.type: elastic 添加到软件包清单中。

8.5.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便集成的仪表板和已保存的搜索标记为“安全解决方案”并在安全解决方案 UI 中显示。

8.5.0 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.9.0。

8.5.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 Thyotic Secret Server 发布为 GA。

8.5.0 或更高版本

0.4.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.3.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.8.0。

0.2.0

增强 (查看拉取请求)
将 package-spec 版本更新为 2.7.0。

0.1.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.7.0。

0.0.1

增强 (查看拉取请求)
软件包的初始草案

« 威胁地图 Tines 集成 »

On this page

Was this helpful?
Feedback