BMC Helix Discovery 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 파서는 grok 패턴을 사용하여 BMC Helix Discovery syslog 메시지에서 필드를 추출합니다. 로그인/로그아웃 이벤트 및 상태 업데이트에 중점을 둡니다. 타임스탬프, 사용자 이름, 소스 IP, 설명과 같은 추출된 필드를 UDM에 매핑합니다. 이벤트는 추출된 product_event_type
및 로그 세부정보를 기반으로 분류됩니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
- 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- BeyondTrust 인스턴스에 대한 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
BindPlane 에이전트 설치
- Windows 설치의 경우 다음 스크립트를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Linux 설치의 경우 다음 스크립트를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.
Syslog를 수집하고 Google SecOps로 전송하도록 BindPlane 에이전트 구성
- BindPlane이 설치된 머신에 액세스합니다.
다음과 같이
config.yaml
파일을 수정합니다.receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BMC_HELIX_DISCOVERY raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
BindPlane 에이전트를 다시 시작하여 변경사항을 적용합니다.
sudo systemctl restart bindplane
BMC Helix Discovery에서 Syslog 내보내기
- 루트 사용자로 BMC Discovery 인스턴스에 액세스합니다.
- syslog 구성 파일
etc/rsyslog.conf
을 수정합니다. - 상단에 다음 항목을 추가합니다.
# Send everything to the remote syslog server
. IP 주소를 syslog 서버의 IP 주소로 바꿉니다.
# Send everything to the remote syslog server *.* @192.168.1.100
어플라이언스에서 syslog 서비스를 다시 시작합니다.
sudo /usr/bin/systemctl restart rsyslog.service
전달 구성을 테스트합니다.
로거 유틸리티를 사용하여 syslog 메시지를 전송합니다.
logger this is a test of remote logging
다음이 로깅되었는지 확인합니다.
su - Password: tail -n5 /var/log/messages Jan 17 11:42:10 localhost seclab: this is a test of remote logging
Google SecOps에 로그인하여 동일한 메시지가 표시되는지 확인합니다.
UDM 매핑 표
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
data |
metadata.description | 로그 메시지에서 추출된 이벤트 설명입니다. |
data |
metadata.product_event_type | 로그 메시지에서 추출된 원시 이벤트 유형입니다. |
data |
principal.ip | 로그 메시지의 설명 필드에서 추출된 소스 IP 주소입니다. |
data |
security_result.summary | 로그 메시지에서 추출된 이벤트의 요약입니다. |
data |
target.user.userid | 로그 메시지에서 추출된 사용자 이름입니다. 빈 객체가 파서에 의해 생성됩니다. 원시 로그의 최상위 timestamp 필드에서 복사됩니다. product_event_type 및 desc 필드를 기반으로 파서에서 결정합니다. product_event_type 이 'logon'이거나 desc 에 'logged on'이 포함된 경우 'USER_LOGIN'으로 설정됩니다. product_event_type 이 'logoff'이거나 desc 에 'logged off'가 포함된 경우 'USER_LOGOUT'으로 설정됩니다. 그 외의 경우 src_ip 가 있으면 'STATUS_UPDATE'로 설정됩니다. 기본값은 'GENERIC_EVENT'입니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다. |
변경사항
2022-08-29
- 파서를 새로 만들었습니다.