BMC Helix Discovery-Protokolle erfassen

Dieser Parser extrahiert Felder aus BMC Helix Discovery-Syslog-Nachrichten mithilfe von Grok-Mustern. Der Schwerpunkt liegt auf Anmelde-/Abmeldeereignissen und Statusaktualisierungen. Es werden extrahierte Felder wie Zeitstempel, Nutzernamen, Quell-IPs und Beschreibungen dem UDM zugeordnet. Ereignisse werden anhand der extrahierten product_event_type und Protokolldetails kategorisiert.

Hinweis

• Sie benötigen eine Google Security Operations-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen Berechtigungen für die BeyondTrust-Instanz.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

1. Führen Sie für die Windows-Installation das folgende Script aus:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Führen Sie für die Linux-Installation das folgende Script aus:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: BMC_HELIX_DISCOVERY
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

   sudo systemctl restart bindplane
   

Syslog aus BMC Helix Discovery exportieren

1. Sie greifen als root-Nutzer auf die BMC Discovery-Instanz zu.
2. Bearbeiten Sie die Syslog-Konfigurationsdatei: etc/rsyslog.conf
3. Fügen Sie oben den folgenden Eintrag hinzu: # Send everything to the remote syslog server.

4. Ersetzen Sie die IP-Adresse durch die Ihres syslog-Servers:

   # Send everything to the remote syslog server
   
   *.* @192.168.1.100
   

5. Starten Sie den syslog-Dienst auf der Appliance neu:

   sudo /usr/bin/systemctl restart rsyslog.service
   

6. Testen Sie die Weiterleitungskonfiguration.

7. Verwenden Sie das Dienstprogramm „logger“, um eine Syslog-Nachricht zu senden:

   logger this is a test of remote logging
   

8. Prüfen Sie, ob dies protokolliert wurde:

   su -
   Password:
   
   tail -n5 /var/log/messages
   Jan 17 11:42:10 localhost seclab: this is a test of remote logging
   

9. Melden Sie sich in Google SecOps an und prüfen Sie, ob dieselben Meldungen angezeigt werden.

UDM-Zuordnungstabelle

Änderungen

2022-08-29

• Neu erstellter Parser.