Esta página se ha traducido con Cloud Translation API.

Recoger registros de Apache Cassandra

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de Apache Cassandra en Google Security Operations mediante Bindplane. El analizador extrae los campos y los convierte en el modelo de datos unificado (UDM). Usa patrones grok para analizar el mensaje inicial, luego usa un filtro JSON para los datos anidados y realiza transformaciones condicionales para asignar varios campos a sus equivalentes de UDM, gestionando diferentes niveles de registro y enriqueciendo la salida con metadatos.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o una versión posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a una instancia de Apache Cassandra

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i `https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi` /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c `$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)` install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: `0.0.0.0:514`

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CASSANDRA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar la exportación de Syslog en Apache Cassandra

Inicia sesión en el host de Apache Cassandra mediante SSH.
Abre el archivo de configuración logback.xml e inserta el siguiente código en la línea 28:
- En la mayoría de las versiones de Apache Cassandra, la ubicación sería $(CASSANDRA_HOME)/conf.
- En las instalaciones de paquetes de Datastax Enterprise, la ubicación sería /etc/dse.
- En las instalaciones de archivos tar de DSE, la ubicación sería $(TARBALL_ROOT)/resources/cassandra/conf.

Añade la siguiente definición de Appender al archivo logback.xml en la línea 28:

<appender name="SYSLOG" class="ch.qos.logback.classic.net.SyslogAppender">
    <syslogHost>bindplane-ip</syslogHost>
    <port>bindplane-port</port>
    <facility>LOCAL7</facility>
    <throwableExcluded>true</throwableExcluded>
    <suffixPattern>%thread:%level:%logger{36}:%msg</suffixPattern>
</appender>

Sustituye bindplane-ip y bindplane-port por la dirección IP y el puerto del agente de Bindplane.
Añade el siguiente código al bloque del registrador raíz <root level=INFO> del archivo logback.xml:
1. La ubicación en la que se inserta esta línea depende de la versión de Apache Cassandra que tengas:
  - Apache Cassandra 5.0.x, línea 123.
  - Apache Cassandra 4.0.x y 4.1.x, línea 115.
  - Apache Cassandra 3.11.x y 3.0.x, línea 92.
  - Datastax Enterprise (todas las versiones), línea 121.
```
<appender-ref ref=`SYSLOG` />
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`agent.ephemeral_id`	`observer.labels.value`	Valor de `agent.ephemeral_id` del mensaje JSON interno.
`agent.hostname`	`observer.hostname`	Valor de `agent.hostname` del mensaje JSON interno.
`agent.id`	`observer.asset_id`	Concatenación de `filebeat:` y el valor de `agent.id` del mensaje JSON interno.
`agent.name`	`observer.user.userid`	Valor de `agent.name` del mensaje JSON interno.
`agent.type`	`observer.application`	Valor de `agent.type` del mensaje JSON interno.
`agent.version`	`observer.platform_version`	Valor de `agent.version` del mensaje JSON interno.
`cloud.availability_zone`	`principal.cloud.availability_zone`	Valor de `cloud.availability_zone` del mensaje JSON interno.
`cloud.instance.id`	`principal.resource.product_object_id`	Valor de `cloud.instance.id` del mensaje JSON interno.
`cloud.instance.name`	`principal.resource.name`	Valor de `cloud.instance.name` del mensaje JSON interno.
`cloud.machine.type`	`principal.resource.attribute.labels.value`	Valor de `cloud.machine.type` del mensaje JSON interno, donde el `key` correspondiente es `machine_type`.
`cloud.provider`	`principal.resource.attribute.labels.value`	Valor de `cloud.provider` del mensaje JSON interno, donde el `key` correspondiente es `provider`.
`event_metadata._id`	`metadata.product_log_id`	Valor de `event_metadata._id` del mensaje JSON interno.
`event_metadata.version`	`metadata.product_version`	Valor de `event_metadata.version` del mensaje JSON interno.
`host.architecture`	`target.asset.hardware.cpu_platform`	Valor de `host.architecture` del mensaje JSON interno.
`host.fqdn`	`target.administrative_domain`	Valor de `host.fqdn` del mensaje JSON interno.
`host.hostname`	`target.hostname`	Valor de `host.hostname` del mensaje JSON interno.
`host.id`	`target.asset.asset_id`	Concatenación de `Host Id:` y el valor de `host.id` del mensaje JSON interno.
`host.ip`	`target.asset.ip`	Matriz de direcciones IP de `host.ip` en el mensaje JSON interno.
`host.mac`	`target.mac`	Matriz de direcciones MAC de `host.mac` en el mensaje JSON interno.
`host.os.kernel`	`target.platform_patch_level`	Valor de `host.os.kernel` del mensaje JSON interno.
`host.os.platform`	`target.platform`	Su valor debe ser `LINUX` si `host.os.platform` es `debian`.
`host.os.version`	`target.platform_version`	Valor de `host.os.version` del mensaje JSON interno.
`hostname`	`principal.hostname`	Valor de `hostname` extraído del campo `message` mediante grok.
`key`	`security_result.detection_fields.value`	Valor de `key` extraído del campo `message` mediante grok, donde el `key` correspondiente es `key`.
`log.file.path`	`principal.process.file.full_path`	Valor de `log.file.path` del mensaje JSON interno.
`log_level`	`security_result.severity`	Asignado en función del valor de `log_level`: `DEBUG`, `INFO` y `AUDIT` se asignan a `INFORMATIONAL`; `ERROR` se asigna a `ERROR`; `WARNING` se asigna a `MEDIUM`.
`log_level`	`security_result.severity_details`	Valor de `log_level` extraído del campo `message` mediante grok.
`log_type`	`metadata.log_type`	Valor de `log_type` del registro sin procesar.
`message`	`security_result.description`	Descripción extraída del campo `message` mediante grok.
`message`	`target.process.command_line`	Línea de comandos extraída del campo `message` mediante grok.
`now`	`security_result.detection_fields.value`	Valor de `now` extraído del campo `message` mediante grok, donde el `key` correspondiente es `now`. Se analiza a partir del campo `event_time` extraído del campo `message` mediante grok. Se asigna el valor `USER_RESOURCE_ACCESS` si se incluyen `hostname` y `host.hostname`. De lo contrario, se asigna el valor `GENERIC_EVENT`. Su valor debe ser `CASSANDRA`. Su valor debe ser `CASSANDRA`. Su valor debe ser `ephemeral_id`. Su valor debe ser `VIRTUAL_MACHINE` si se incluye `cloud.instance.name`. Asigna el valor `key` y `now` a los campos de detección correspondientes.
`timestamp`	`timestamp`	Del campo `create_time` del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.