Collecter les journaux BMC Helix Discovery

Cet analyseur extrait des champs des messages syslog BMC Helix Discovery à l'aide de modèles Grok. Il se concentre sur les événements de connexion/déconnexion et les mises à jour d'état. Il mappe les champs extraits tels que les codes temporels, les noms d'utilisateur, les adresses IP sources et les descriptions sur l'UDM. Les événements sont classés en fonction des product_event_type extraits et des informations de journal.

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous de disposer d'un accès privilégié à l'instance BeyondTrust.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

1. Pour l'installation sous Windows, exécutez le script suivant:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Pour l'installation Linux, exécutez le script suivant:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez à la machine sur laquelle BindPlane est installé.

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: BMC_HELIX_DISCOVERY
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Redémarrez l'agent BindPlane pour appliquer les modifications:

   sudo systemctl restart bindplane
   

Exporter Syslog depuis BMC Helix Discovery

1. Accédez à l'instance BMC Discovery en tant qu'utilisateur root.
2. Modifiez le fichier de configuration Syslog: etc/rsyslog.conf
3. Ajoutez l'entrée suivante en haut: # Send everything to the remote syslog server.

4. Remplacez l'adresse IP par celle de votre serveur syslog:

   # Send everything to the remote syslog server
   
   *.* @192.168.1.100
   

5. Redémarrez le service Syslog sur l'appliance:

   sudo /usr/bin/systemctl restart rsyslog.service
   

6. Testez la configuration du transfert.

7. Utilisez l'utilitaire de journalisation pour envoyer un message syslog:

   logger this is a test of remote logging
   

8. Vérifiez que cette information a été enregistrée:

   su -
   Password:
   
   tail -n5 /var/log/messages
   Jan 17 11:42:10 localhost seclab: this is a test of remote logging
   

9. Connectez-vous à Google SecOps et vérifiez que les mêmes messages s'affichent.

Tableau de mappage UDM

Modifications

2022-08-29

• Analyseur nouvellement créé.