BMC Helix Discovery-Protokolle erfassen
Dieser Parser extrahiert Felder aus BMC Helix Discovery-Syslog-Nachrichten mithilfe von Grok-Mustern. Der Schwerpunkt liegt auf Anmelde-/Abmeldeereignissen und Statusaktualisierungen. Es werden extrahierte Felder wie Zeitstempel, Nutzernamen, Quell-IPs und Beschreibungen dem UDM zugeordnet. Ereignisse werden anhand der extrahierten product_event_type
und Protokolldetails kategorisiert.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen Berechtigungen für die BeyondTrust-Instanz.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yaml
so:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BMC_HELIX_DISCOVERY raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog aus BMC Helix Discovery exportieren
- Sie greifen als root-Nutzer auf die BMC Discovery-Instanz zu.
- Bearbeiten Sie die Syslog-Konfigurationsdatei:
etc/rsyslog.conf
- Fügen Sie oben den folgenden Eintrag hinzu:
# Send everything to the remote syslog server
. Ersetzen Sie die IP-Adresse durch die Ihres syslog-Servers:
# Send everything to the remote syslog server *.* @192.168.1.100
Starten Sie den syslog-Dienst auf der Appliance neu:
sudo /usr/bin/systemctl restart rsyslog.service
Testen Sie die Weiterleitungskonfiguration.
Verwenden Sie das Dienstprogramm „logger“, um eine Syslog-Nachricht zu senden:
logger this is a test of remote logging
Prüfen Sie, ob dies protokolliert wurde:
su - Password: tail -n5 /var/log/messages Jan 17 11:42:10 localhost seclab: this is a test of remote logging
Melden Sie sich in Google SecOps an und prüfen Sie, ob dieselben Meldungen angezeigt werden.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
data |
metadata.description | Die Beschreibung des Ereignisses, die aus der Protokollmeldung extrahiert wurde. |
data |
metadata.product_event_type | Der Rohereignistyp, der aus der Protokollmeldung extrahiert wurde. |
data |
principal.ip | Die Quell-IP-Adresse, die aus dem Beschreibungsfeld in der Protokollmeldung extrahiert wurde. |
data |
security_result.summary | Eine Zusammenfassung des Ereignisses, die aus der Protokollnachricht extrahiert wurde. |
data |
target.user.userid | Der Nutzername, der aus der Protokollnachricht extrahiert wurde. Der Parser erstellt ein leeres Objekt. Aus dem Feld timestamp der obersten Ebene im Rohprotokoll kopiert. Wird vom Parser anhand der Felder product_event_type und desc bestimmt. Wenn product_event_type „logon“ ist oder desc „logged on“ enthält, wird „USER_LOGIN“ festgelegt. Wenn product_event_type „logoff“ ist oder desc „logged off“ enthält, wird „USER_LOGOUT“ festgelegt. Andernfalls wird src_ip auf „STATUS_UPDATE“ gesetzt. Standardmäßig ist „GENERIC_EVENT“ festgelegt. Hartcodiert auf „BMC_HELIX_DISCOVERY“. Hartcodiert auf „BMC_HELIX_DISCOVERY“. Hartcodiert auf „BMC_HELIX_DISCOVERY“. |
Änderungen
2022-08-29
- Neu erstellter Parser.