BMC Helix Discovery 로그 수집

다음에서 지원:

이 파서는 grok 패턴을 사용하여 BMC Helix Discovery syslog 메시지에서 필드를 추출합니다. 로그인/로그아웃 이벤트 및 상태 업데이트에 중점을 둡니다. 타임스탬프, 사용자 이름, 소스 IP, 설명과 같은 추출된 필드를 UDM에 매핑합니다. 이벤트는 추출된 product_event_type 및 로그 세부정보를 기반으로 분류됩니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • BeyondTrust 인스턴스에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

BindPlane 에이전트 설치

  1. Windows 설치의 경우 다음 스크립트를 실행합니다.
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux 설치의 경우 다음 스크립트를 실행합니다.
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.

Syslog를 수집하고 Google SecOps로 전송하도록 BindPlane 에이전트 구성

  1. BindPlane이 설치된 머신에 액세스합니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: BMC_HELIX_DISCOVERY
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane 에이전트를 다시 시작하여 변경사항을 적용합니다.

    sudo systemctl restart bindplane
    

BMC Helix Discovery에서 Syslog 내보내기

  1. 루트 사용자로 BMC Discovery 인스턴스에 액세스합니다.
  2. syslog 구성 파일 etc/rsyslog.conf을 수정합니다.
  3. 상단에 다음 항목을 추가합니다. # Send everything to the remote syslog server.
  4. IP 주소를 syslog 서버의 IP 주소로 바꿉니다.

    # Send everything to the remote syslog server
    
    *.* @192.168.1.100
    
  5. 어플라이언스에서 syslog 서비스를 다시 시작합니다.

    sudo /usr/bin/systemctl restart rsyslog.service
    
  6. 전달 구성을 테스트합니다.

  7. 로거 유틸리티를 사용하여 syslog 메시지를 전송합니다.

    logger this is a test of remote logging
    
  8. 다음이 로깅되었는지 확인합니다.

    su -
    Password:
    
    tail -n5 /var/log/messages
    Jan 17 11:42:10 localhost seclab: this is a test of remote logging
    
  9. Google SecOps에 로그인하여 동일한 메시지가 표시되는지 확인합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
data metadata.description 로그 메시지에서 추출된 이벤트 설명입니다.
data metadata.product_event_type 로그 메시지에서 추출된 원시 이벤트 유형입니다.
data principal.ip 로그 메시지의 설명 필드에서 추출된 소스 IP 주소입니다.
data security_result.summary 로그 메시지에서 추출된 이벤트의 요약입니다.
data target.user.userid 로그 메시지에서 추출된 사용자 이름입니다. 빈 객체가 파서에 의해 생성됩니다. 원시 로그의 최상위 timestamp 필드에서 복사됩니다. product_event_typedesc 필드를 기반으로 파서에서 결정합니다. product_event_type이 'logon'이거나 desc에 'logged on'이 포함된 경우 'USER_LOGIN'으로 설정됩니다. product_event_type이 'logoff'이거나 desc에 'logged off'가 포함된 경우 'USER_LOGOUT'으로 설정됩니다. 그 외의 경우 src_ip가 있으면 'STATUS_UPDATE'로 설정됩니다. 기본값은 'GENERIC_EVENT'입니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다. 'BMC_HELIX_DISCOVERY'로 하드코딩됩니다.

변경사항

2022-08-29

  • 파서를 새로 만들었습니다.