Mengumpulkan log BMC Helix Discovery

Didukung di:

Parser ini mengekstrak kolom dari pesan syslog BMC Helix Discovery menggunakan pola grok. Laporan ini berfokus pada peristiwa login/logout dan pembaruan status. Fungsi ini memetakan kolom yang diekstrak seperti stempel waktu, nama pengguna, IP sumber, dan deskripsi ke UDM. Peristiwa dikategorikan berdasarkan product_event_type yang diekstrak dan detail log.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke instance BeyondTrust.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Mulai ulang Agen BindPlane untuk menerapkan perubahan:

    sudo systemctl restart bindplane

Mengekspor Syslog dari BMC Helix Discovery

  1. Akses instance BMC Discovery sebagai pengguna root.
  2. Edit file konfigurasi syslog: etc/rsyslog.conf
  3. Tambahkan entri berikut di bagian atas: # Send everything to the remote syslog server.

  4. Ganti alamat IP dengan alamat server syslog Anda:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Mulai ulang layanan syslog di appliance:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Uji konfigurasi penerusan.

  7. Gunakan utilitas logger untuk mengirim pesan syslog:

    logger this is a test of remote logging

  8. Pastikan hal ini telah dicatat dalam log:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Login ke Google SecOps dan pastikan pesan yang sama muncul.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
data metadata.description Deskripsi peristiwa, yang diekstrak dari pesan log.
data metadata.product_event_type Jenis peristiwa mentah, yang diekstrak dari pesan log.
data principal.ip Alamat IP sumber, diekstrak dari kolom deskripsi dalam pesan log.
data security_result.summary Ringkasan peristiwa, yang diekstrak dari pesan log.
data target.user.userid Nama pengguna, diekstrak dari pesan log. Objek kosong dibuat oleh parser. Disalin dari kolom timestamp tingkat atas dalam log mentah. Ditentukan oleh parser berdasarkan kolom product_event_type dan desc. Jika product_event_type adalah "logon" atau desc berisi "login", product_event_type akan ditetapkan ke "USER_LOGIN". Jika product_event_type adalah "logoff" atau desc berisi "logged off", product_event_type akan ditetapkan ke "USER_LOGOUT". Jika tidak, jika src_ip ada, src_ip akan ditetapkan ke "STATUS_UPDATE". Defaultnya adalah "GENERIC_EVENT". Di-hardcode ke "BMC_HELIX_DISCOVERY". Di-hardcode ke "BMC_HELIX_DISCOVERY". Di-hardcode ke "BMC_HELIX_DISCOVERY".

Perubahan

2022-08-29

  • Parser yang baru dibuat.