このページは Cloud Translation API によって翻訳されました。

BMC Helix Discovery ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、grok パターンを使用して BMC Helix Discovery syslog メッセージからフィールドを抽出します。ログイン/ログアウトイベントとステータスの更新に重点を置いています。抽出されたフィールド（タイムスタンプ、ユーザー名、送信元 IP、説明など）を UDM にマッピングします。イベントは、抽出された product_event_type とログの詳細に基づいて分類されます。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
BeyondTrust インスタンスへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定 > 収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

BindPlane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

BMC Helix Discovery から Syslog をエクスポートする

root ユーザーとして BMC Discovery インスタンスにアクセスします。
syslog 構成ファイル etc/rsyslog.conf を編集します。
一番上に # Send everything to the remote syslog server というエントリを追加します。
IP アドレスは、syslog サーバーの IP アドレスに置き換えます。
```
# Send everything to the remote syslog server

*.* @192.168.1.100
```
アプライアンスで syslog サービスを再起動します。
```
sudo /usr/bin/systemctl restart rsyslog.service
```
転送構成をテストします。
logger ユーティリティを使用して syslog メッセージを送信します。
```
logger this is a test of remote logging
```

これがログに記録されていることを確認します。

su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

Google SecOps にログインし、同じメッセージが表示されることを確認します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`data`	metadata.description	ログメッセージから抽出されたイベントの説明。
`data`	metadata.product_event_type	ログメッセージから抽出された未加工のイベントタイプ。
`data`	principal.ip	ログメッセージの説明フィールドから抽出された送信元 IP アドレス。
`data`	security_result.summary	ログメッセージから抽出されたイベントの概要。
`data`	target.user.userid	ログメッセージから抽出されたユーザー名。空のオブジェクトがパーサーによって作成されます。元のログの最上位の `timestamp` フィールドからコピーされます。`product_event_type` フィールドと `desc` フィールドに基づいてパーサーによって決定されます。`product_event_type` が「logon」の場合、または `desc` に「logged on」が含まれている場合は、「USER_LOGIN」に設定されます。`product_event_type` が「logoff」の場合、または `desc` に「logged off」が含まれている場合は、「USER_LOGOUT」に設定されます。それ以外の場合は、`src_ip` が存在する場合は「STATUS_UPDATE」に設定されます。デフォルトは「GENERIC_EVENT」です。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされました。

変更点

2022-08-29

新しく作成されたパーサー。