BMC Helix Discovery ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、grok パターンを使用して BMC Helix Discovery syslog メッセージからフィールドを抽出します。ログイン/ログアウト イベントとステータスの更新に重点を置いています。抽出されたフィールド(タイムスタンプ、ユーザー名、送信元 IP、説明など)を UDM にマッピングします。イベントは、抽出された product_event_type
とログの詳細に基づいて分類されます。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- BeyondTrust インスタンスへの特権アクセス権があることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定 > 収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yaml
ファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BMC_HELIX_DISCOVERY raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
BindPlane エージェントを再起動して変更を適用します。
sudo systemctl restart bindplane
BMC Helix Discovery から Syslog をエクスポートする
- root ユーザーとして BMC Discovery インスタンスにアクセスします。
- syslog 構成ファイル
etc/rsyslog.conf
を編集します。 - 一番上に
# Send everything to the remote syslog server
というエントリを追加します。 IP アドレスは、syslog サーバーの IP アドレスに置き換えます。
# Send everything to the remote syslog server *.* @192.168.1.100
アプライアンスで syslog サービスを再起動します。
sudo /usr/bin/systemctl restart rsyslog.service
転送構成をテストします。
logger ユーティリティを使用して syslog メッセージを送信します。
logger this is a test of remote logging
これがログに記録されていることを確認します。
su - Password: tail -n5 /var/log/messages Jan 17 11:42:10 localhost seclab: this is a test of remote logging
Google SecOps にログインし、同じメッセージが表示されることを確認します。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
data |
metadata.description | ログメッセージから抽出されたイベントの説明。 |
data |
metadata.product_event_type | ログメッセージから抽出された未加工のイベントタイプ。 |
data |
principal.ip | ログメッセージの説明フィールドから抽出された送信元 IP アドレス。 |
data |
security_result.summary | ログメッセージから抽出されたイベントの概要。 |
data |
target.user.userid | ログ メッセージから抽出されたユーザー名。空のオブジェクトがパーサーによって作成されます。元のログの最上位の timestamp フィールドからコピーされます。product_event_type フィールドと desc フィールドに基づいてパーサーによって決定されます。product_event_type が「logon」の場合、または desc に「logged on」が含まれている場合は、「USER_LOGIN」に設定されます。product_event_type が「logoff」の場合、または desc に「logged off」が含まれている場合は、「USER_LOGOUT」に設定されます。それ以外の場合は、src_ip が存在する場合は「STATUS_UPDATE」に設定されます。デフォルトは「GENERIC_EVENT」です。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされています。「BMC_HELIX_DISCOVERY」にハードコードされました。 |
変更点
2022-08-29
- 新しく作成されたパーサー。