Collecter les journaux BMC Helix Discovery

Compatible avec:

Cet analyseur extrait des champs des messages syslog BMC Helix Discovery à l'aide de modèles Grok. Il se concentre sur les événements de connexion/déconnexion et les mises à jour d'état. Il mappe les champs extraits tels que les codes temporels, les noms d'utilisateur, les adresses IP sources et les descriptions sur l'UDM. Les événements sont classés en fonction des product_event_type extraits et des informations de journal.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à l'instance BeyondTrust.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Pour l'installation Linux, exécutez le script suivant:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez à la machine sur laquelle BindPlane est installé.
  2. Modifiez le fichier config.yaml comme suit :

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: BMC_HELIX_DISCOVERY
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Redémarrez l'agent BindPlane pour appliquer les modifications:

    sudo systemctl restart bindplane
    

Exporter Syslog depuis BMC Helix Discovery

  1. Accédez à l'instance BMC Discovery en tant qu'utilisateur root.
  2. Modifiez le fichier de configuration Syslog: etc/rsyslog.conf
  3. Ajoutez l'entrée suivante en haut: # Send everything to the remote syslog server.
  4. Remplacez l'adresse IP par celle de votre serveur syslog:

    # Send everything to the remote syslog server
    
    *.* @192.168.1.100
    
  5. Redémarrez le service Syslog sur l'appliance:

    sudo /usr/bin/systemctl restart rsyslog.service
    
  6. Testez la configuration du transfert.

  7. Utilisez l'utilitaire de journalisation pour envoyer un message syslog:

    logger this is a test of remote logging
    
  8. Vérifiez que cette information a été enregistrée:

    su -
    Password:
    
    tail -n5 /var/log/messages
    Jan 17 11:42:10 localhost seclab: this is a test of remote logging
    
  9. Connectez-vous à Google SecOps et vérifiez que les mêmes messages s'affichent.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
data metadata.description Description de l'événement, extraite du message de journal.
data metadata.product_event_type Type d'événement brut, extrait du message de journal.
data principal.ip Adresse IP source, extraite du champ de description du message de journal.
data security_result.summary Résumé de l'événement, extrait du message de journal.
data target.user.userid Nom d'utilisateur, extrait du message de journal. L'analyseur crée un objet vide. Copié à partir du champ timestamp de niveau supérieur dans le journal brut. Déterminé par l'analyseur en fonction des champs product_event_type et desc. Si product_event_type est "logon" ou si desc contient "logged on", il est défini sur "USER_LOGIN". Si product_event_type est "logoff" ou si desc contient "logged off", il est défini sur "USER_LOGOUT". Sinon, si src_ip est présent, il est défini sur "STATUS_UPDATE". La valeur par défaut est "GENERIC_EVENT". Code codé en dur sur "BMC_HELIX_DISCOVERY". Code codé en dur sur "BMC_HELIX_DISCOVERY". Code codé en dur sur "BMC_HELIX_DISCOVERY".

Modifications

2022-08-29

  • Analyseur nouvellement créé.