BMC Helix Discovery-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus BMC Helix Discovery-Syslog-Nachrichten mithilfe von Grok-Mustern. Der Schwerpunkt liegt auf Anmelde-/Abmeldeereignissen und Statusaktualisierungen. Es werden extrahierte Felder wie Zeitstempel, Nutzernamen, Quell-IPs und Beschreibungen dem UDM zugeordnet. Ereignisse werden anhand der extrahierten product_event_type und Protokolldetails kategorisiert.

Hinweise

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen Berechtigungen für die BeyondTrust-Instanz.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden:

    sudo systemctl restart bindplane

Syslog aus BMC Helix Discovery exportieren

  1. Sie greifen als root-Nutzer auf die BMC Discovery-Instanz zu.
  2. Bearbeiten Sie die Syslog-Konfigurationsdatei: etc/rsyslog.conf
  3. Fügen Sie oben den folgenden Eintrag hinzu: # Send everything to the remote syslog server.

  4. Ersetzen Sie die IP-Adresse durch die Ihres syslog-Servers:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Starten Sie den syslog-Dienst auf der Appliance neu:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Testen Sie die Weiterleitungskonfiguration.

  7. Verwenden Sie das Dienstprogramm „logger“, um eine Syslog-Nachricht zu senden:

    logger this is a test of remote logging

  8. Prüfen Sie, ob dies protokolliert wurde:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Melden Sie sich in Google SecOps an und prüfen Sie, ob dieselben Meldungen angezeigt werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
data metadata.description Die Beschreibung des Ereignisses, die aus der Protokollmeldung extrahiert wurde.
data metadata.product_event_type Der Rohereignistyp, der aus der Protokollmeldung extrahiert wurde.
data principal.ip Die Quell-IP-Adresse, die aus dem Beschreibungsfeld in der Protokollmeldung extrahiert wurde.
data security_result.summary Eine Zusammenfassung des Ereignisses, die aus der Protokollnachricht extrahiert wurde.
data target.user.userid Der Nutzername, der aus der Protokollnachricht extrahiert wurde. Der Parser erstellt ein leeres Objekt. Aus dem Feld timestamp der obersten Ebene im Rohprotokoll kopiert. Wird vom Parser anhand der Felder product_event_type und desc bestimmt. Wenn product_event_type „logon“ ist oder desc „logged on“ enthält, wird „USER_LOGIN“ festgelegt. Wenn product_event_type „logoff“ ist oder desc „logged off“ enthält, wird „USER_LOGOUT“ festgelegt. Andernfalls wird src_ip auf „STATUS_UPDATE“ gesetzt. Standardmäßig ist „GENERIC_EVENT“ festgelegt. Hartcodiert auf „BMC_HELIX_DISCOVERY“. Hartcodiert auf „BMC_HELIX_DISCOVERY“. Hartcodiert auf „BMC_HELIX_DISCOVERY“.

Änderungen

2022-08-29

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten