BMC Helix Discovery ログを収集する

以下でサポートされています。

このパーサーは、grok パターンを使用して BMC Helix Discovery syslog メッセージからフィールドを抽出します。ログイン / ログアウト イベントとステータスの更新に重点を置いています。抽出されたフィールド(タイムスタンプ、ユーザー名、送信元 IP、説明など)を UDM にマッピングします。イベントは、抽出された product_event_type とログの詳細に基づいて分類されます。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用した Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • BeyondTrust インスタンスへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

  1. BindPlane がインストールされているマシンにアクセスします。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. BindPlane Agent を再起動して変更を適用します。

    sudo systemctl restart bindplane

BMC Helix Discovery から Syslog をエクスポートする

  1. root ユーザーとして BMC Discovery インスタンスにアクセスします。
  2. syslog 構成ファイル etc/rsyslog.conf を編集します。
  3. 一番上に次のエントリを追加します: # Send everything to the remote syslog server

  4. IP アドレスは、Syslog サーバーの IP アドレスに置き換えます。

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. アプライアンスで syslog サービスを再起動します。

    sudo /usr/bin/systemctl restart rsyslog.service

  6. 転送構成をテストします。

  7. logger ユーティリティを使用して syslog メッセージを送信します。

    logger this is a test of remote logging

  8. これがログに記録されていることを確認します。

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Google SecOps にログインし、同じメッセージが表示されることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
data metadata.description ログメッセージから抽出されたイベントの説明。
data metadata.product_event_type ログメッセージから抽出された未加工のイベントタイプ。
data principal.ip ログメッセージの説明フィールドから抽出された送信元 IP アドレス。
data security_result.summary ログメッセージから抽出されたイベントの概要。
data target.user.userid ログ メッセージから抽出されたユーザー名。空のオブジェクトがパーサーによって作成されます。元のログの最上位の timestamp フィールドからコピーされます。product_event_type フィールドと desc フィールドに基づいてパーサーによって決定されます。product_event_type が「logon」の場合、または desc に「logged on」が含まれている場合は、「USER_LOGIN」に設定されます。product_event_type が「logoff」の場合、または desc に「logged off」が含まれている場合は、「USER_LOGOUT」に設定されます。それ以外の場合、src_ip が存在する場合は「STATUS_UPDATE」に設定されます。デフォルトは「GENERIC_EVENT」です。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされています。

変更

2022-08-29

  • 新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。