BMC Helix Discovery ログを収集する

以下でサポートされています。

このパーサーは、grok パターンを使用して BMC Helix Discovery syslog メッセージからフィールドを抽出します。ログイン/ログアウト イベントとステータスの更新に重点を置いています。抽出されたフィールド(タイムスタンプ、ユーザー名、送信元 IP、説明など)を UDM にマッピングします。イベントは、抽出された product_event_type とログの詳細に基づいて分類されます。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • BeyondTrust インスタンスへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定 > 収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: BMC_HELIX_DISCOVERY
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane エージェントを再起動して変更を適用します。

    sudo systemctl restart bindplane
    

BMC Helix Discovery から Syslog をエクスポートする

  1. root ユーザーとして BMC Discovery インスタンスにアクセスします。
  2. syslog 構成ファイル etc/rsyslog.conf を編集します。
  3. 一番上に # Send everything to the remote syslog server というエントリを追加します。
  4. IP アドレスは、syslog サーバーの IP アドレスに置き換えます。

    # Send everything to the remote syslog server
    
    *.* @192.168.1.100
    
  5. アプライアンスで syslog サービスを再起動します。

    sudo /usr/bin/systemctl restart rsyslog.service
    
  6. 転送構成をテストします。

  7. logger ユーティリティを使用して syslog メッセージを送信します。

    logger this is a test of remote logging
    
  8. これがログに記録されていることを確認します。

    su -
    Password:
    
    tail -n5 /var/log/messages
    Jan 17 11:42:10 localhost seclab: this is a test of remote logging
    
  9. Google SecOps にログインし、同じメッセージが表示されることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
data metadata.description ログメッセージから抽出されたイベントの説明。
data metadata.product_event_type ログメッセージから抽出された未加工のイベントタイプ。
data principal.ip ログメッセージの説明フィールドから抽出された送信元 IP アドレス。
data security_result.summary ログメッセージから抽出されたイベントの概要。
data target.user.userid ログ メッセージから抽出されたユーザー名。空のオブジェクトがパーサーによって作成されます。元のログの最上位の timestamp フィールドからコピーされます。product_event_type フィールドと desc フィールドに基づいてパーサーによって決定されます。product_event_type が「logon」の場合、または desc に「logged on」が含まれている場合は、「USER_LOGIN」に設定されます。product_event_type が「logoff」の場合、または desc に「logged off」が含まれている場合は、「USER_LOGOUT」に設定されます。それ以外の場合は、src_ip が存在する場合は「STATUS_UPDATE」に設定されます。デフォルトは「GENERIC_EVENT」です。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされました。

変更点

2022-08-29

  • 新しく作成されたパーサー。