CyberArk库

通过配置EPV (CyberArk Enterprise Password Vault)和PTA (privilege Threat Analytics),可以将CEF或LEEF格式的syslog消息发送到Rapid7 InsightIDR。

该集成允许您:

  • 使用来自PTA的日志数据和警报之间的多层关联进行深入分析。
  • 使用行为分析识别可疑的特权用户活动。
  • 根据分配给特定威胁的分数,确定哪些事件构成最大的威胁。
  • 在仪表板和报告以及更广泛的InsightIDR检测和调查工作流中查看PTA警报。

该指南是基于CyberArk EPV版本9.95,CyberArk PTA版本3.6

要在InsightIDR中了解CyberArk事件:

  1. 配置特权威胁分析
  2. 在InsightIDR中配置CyberArk PTA
  3. 配置企业密码库
  4. 在InsightIDR中配置CyberArk Vault

配置特权威胁分析

当PTA检测到事件时,会以CEF/LEEF格式向InsightIDR实时发送syslog记录。Syslog集成由syslog_outbound参数systemparm.properties文件,位于/ opt / tomcat / diamond-resources /地方/.一旦PTA警报被发送到InsightIDR,它将出现在仪表板、报告、检测和调查工作流程中。

配置CyberArk PTA将事件发送到InsightIDR:

  1. 以root身份登录到PTA。
  2. 开放/ opt / tomcat / diamond-resources /地方/ systemparm.properties并添加以下行:
         
1
syslog_outbound=[{"host": "", "port": , "format": "CEF", "protocol": "UDP", "siem":"InsightIDR"}]
  1. 要将记录发送到InsightIDR,请执行以下操作之一:
    • 如果你以基金格式发送记录,请加上以下一行:
         
1
syslog_outbound=[{"host": "", "port": , "format": "CEF", "protocol": "UDP", "siem":"InsightIDR"}]
  • 如果您以LEEF格式发送记录,请添加以下行:
         
1
syslog_outbound=[{"host": "", "port": , "format": "LEEF", "protocol": "UDP", "siem":"InsightIDR"}]
  1. 保存并关闭配置文件。
  2. 重启PTA。

在InsightIDR中配置CyberArk PTA

  1. 从InsightIDR主仪表板中选择数据收集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“第三方提醒”部分,单击CyberArk库图标。出现“添加事件源”面板。
  4. 选择您的收集器和选择CyberArk作为事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择Syslog作为你的数据收集方法
  7. 输入与配置CyberArk PTA时相同的端口,并选择UDP作为你的协议。
  8. 单击Save按钮。

配置企业密码库

CyberArk EPV可以通过Syslog协议将审计日志发送到InsightIDR,让您从InsightIDR中对特权帐户活动有一个完整的、可审计的视图。

这些审计日志包括由Vault向InsightIDR报告的特权用户、帐户和安全活动。

  1. 导航到您的CyberArk安装文件夹,以定位标准翻译程序,它位于C:\Program Files (x86)\PrivateArk\Server\Syslog默认情况下。
  2. 复制标准转换器并将其重命名为Rapid7.xsl
  3. 在同一伺服器安装文件夹(C:\Program Files (x86)\PrivateArk\Server),打开DBPARM.ini,并添加以下行:
          
文本
1
(SYSLOG)
2
SyslogServerIP=< inightidr Collector> . ip
3.
SyslogServerProtocol = UDP
4
SyslogServerPort=<您选择的端口>
5
31428361372373359436412411300302294427年SyslogMessageCodeFilter = 295308, 7日,24日,57416385386471472年
6
SyslogTranslatorFile = Syslog \ Rapid7.xsl
7
UseLegacySyslogFormat =没有
  1. 做任何适当的更改,然后保存文件并关闭它。
  2. 重启CyberArk Vault,并启动PrivateArk Server服务。

在InsightIDR中配置CyberArk Vault

  1. 从InsightIDR主仪表板中选择数据收集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
  3. 从“第三方警报”部分,单击自定义日志图标。出现“添加事件源”面板。
  4. 选择您的收集器和选择CyberArk库作为事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择Syslog作为你的收集的方法
  7. 输入与配置相同的端口dbparm.ini用于CyberArk Vault并选择UDP作为你的协议。
  8. 单击保存按钮。

您可以通过“日志查询”,选择“第三方告警日志集”来访问CyberArk发送的事件。

一旦CyberArk数据开始流入InsightIDR,日志将自动结构化,便于搜索、可视化和自定义警报。

在InsightIDR仪表板,您可以轻松可视化您的特权访问安全数据。