Recopila registros de BMC Helix Discovery

Compatible con:

Este analizador extrae campos de los mensajes de syslog de BMC Helix Discovery con patrones de grok. Se enfoca en los eventos de acceso y salida, y en las actualizaciones de estado. Asigna campos extraídos, como marcas de tiempo, nombres de usuario, direcciones IP de origen y descripciones, a la UDM. Los eventos se clasifican según el product_event_type extraído y los detalles del registro.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a la instancia de BeyondTrust.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede a la máquina en la que está instalado BindPlane.

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reinicia el agente de BindPlane para aplicar los cambios:

    sudo systemctl restart bindplane

Cómo exportar Syslog desde BMC Helix Discovery

  1. Accede a la instancia de BMC Discovery como usuario raíz.
  2. Edita el archivo de configuración de syslog: etc/rsyslog.conf
  3. Agrega la siguiente entrada en la parte superior: # Send everything to the remote syslog server.

  4. Reemplaza la dirección IP por la de tu servidor de syslog:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Reinicia el servicio de syslog en el dispositivo:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Prueba la configuración de reenvío.

  7. Usa la utilidad del registrador para enviar un mensaje de syslog:

    logger this is a test of remote logging

  8. Verifica que se haya registrado lo siguiente:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Accede a Google SecOps y verifica que aparezcan los mismos mensajes.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
data metadata.description Es la descripción del evento, extraída del mensaje de registro.
data metadata.product_event_type Es el tipo de evento sin procesar, extraído del mensaje de registro.
data principal.ip Es la dirección IP de origen, extraída del campo de descripción del mensaje de registro.
data security_result.summary Es un resumen del evento extraído del mensaje de registro.
data target.user.userid El nombre de usuario, extraído del mensaje de registro El analizador crea un objeto vacío. Se copia del campo timestamp de nivel superior en el registro sin procesar. El analizador lo determina en función de los campos product_event_type y desc. Si product_event_type es "logon" o desc contiene "logged on", se establece en "USER_LOGIN". Si product_event_type es "logoff" o desc contiene "logged off", se establece en "USER_LOGOUT". De lo contrario, si src_ip está presente, se establece como "STATUS_UPDATE". El valor predeterminado es "GENERIC_EVENT". Está codificado de forma fija en "BMC_HELIX_DISCOVERY". Está codificado de forma fija en "BMC_HELIX_DISCOVERY". Está codificado de forma fija en "BMC_HELIX_DISCOVERY".

Cambios

2022-08-29

  • Sin embargo, el analizador se creó recientemente.