Collecter les journaux BMC Helix Discovery
Cet analyseur extrait des champs des messages syslog BMC Helix Discovery à l'aide de modèles Grok. Il se concentre sur les événements de connexion/déconnexion et les mises à jour d'état. Il mappe les champs extraits tels que les codes temporels, les noms d'utilisateur, les adresses IP sources et les descriptions sur l'UDM. Les événements sont classés en fonction des product_event_type
extraits et des informations de journal.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
- Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès privilégié à l'instance BeyondTrust.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.
Installer l'agent BindPlane
- Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Pour l'installation Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.
Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez à la machine sur laquelle BindPlane est installé.
Modifiez le fichier
config.yaml
comme suit :receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BMC_HELIX_DISCOVERY raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Redémarrez l'agent BindPlane pour appliquer les modifications:
sudo systemctl restart bindplane
Exporter Syslog depuis BMC Helix Discovery
- Accédez à l'instance BMC Discovery en tant qu'utilisateur root.
- Modifiez le fichier de configuration Syslog:
etc/rsyslog.conf
- Ajoutez l'entrée suivante en haut:
# Send everything to the remote syslog server
. Remplacez l'adresse IP par celle de votre serveur syslog:
# Send everything to the remote syslog server *.* @192.168.1.100
Redémarrez le service Syslog sur l'appliance:
sudo /usr/bin/systemctl restart rsyslog.service
Testez la configuration du transfert.
Utilisez l'utilitaire de journalisation pour envoyer un message syslog:
logger this is a test of remote logging
Vérifiez que cette information a été enregistrée:
su - Password: tail -n5 /var/log/messages Jan 17 11:42:10 localhost seclab: this is a test of remote logging
Connectez-vous à Google SecOps et vérifiez que les mêmes messages s'affichent.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
data |
metadata.description | Description de l'événement, extraite du message de journal. |
data |
metadata.product_event_type | Type d'événement brut, extrait du message de journal. |
data |
principal.ip | Adresse IP source, extraite du champ de description du message de journal. |
data |
security_result.summary | Résumé de l'événement, extrait du message de journal. |
data |
target.user.userid | Nom d'utilisateur, extrait du message de journal. L'analyseur crée un objet vide. Copié à partir du champ timestamp de niveau supérieur dans le journal brut. Déterminé par l'analyseur en fonction des champs product_event_type et desc . Si product_event_type est "logon" ou si desc contient "logged on", il est défini sur "USER_LOGIN". Si product_event_type est "logoff" ou si desc contient "logged off", il est défini sur "USER_LOGOUT". Sinon, si src_ip est présent, il est défini sur "STATUS_UPDATE". La valeur par défaut est "GENERIC_EVENT". Code codé en dur sur "BMC_HELIX_DISCOVERY". Code codé en dur sur "BMC_HELIX_DISCOVERY". Code codé en dur sur "BMC_HELIX_DISCOVERY". |
Modifications
2022-08-29
- Analyseur nouvellement créé.