收集 BMC Helix Discovery 日志

支持的平台:

此解析器使用 Grok 模式从 BMC Helix Discovery syslog 消息中提取字段。它侧重于登录/退出登录事件和状态更新。它会将提取的字段(例如时间戳、用户名、来源 IP 和说明)映射到 UDM。系统会根据提取的 product_event_type 和日志详细信息对事件进行分类。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 BeyondTrust 实例的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

  1. 对于 Windows 安装,请运行以下脚本:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问安装了 BindPlane 的机器。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 重启 BindPlane 代理以应用更改:

    sudo systemctl restart bindplane

从 BMC Helix Discovery 导出 Syslog

  1. root 用户身份访问 BMC Discovery 实例。
  2. 修改 syslog 配置文件:etc/rsyslog.conf
  3. 在顶部添加以下条目:# Send everything to the remote syslog server

  4. 将 IP 地址替换为您的 syslog 服务器的 IP 地址:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. 重启设备上的 syslog 服务:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. 测试转发配置。

  7. 使用 logger 实用程序发送 syslog 消息:

    logger this is a test of remote logging

  8. 验证是否已记录以下内容:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. 登录 Google SecOps,检查是否显示相同的消息。

UDM 映射表

日志字段 UDM 映射 逻辑
data metadata.description 从日志消息中提取的事件说明。
data metadata.product_event_type 从日志消息中提取的原始事件类型。
data principal.ip 从日志消息中的说明字段中提取的来源 IP 地址。
data security_result.summary 从日志消息中提取的事件摘要。
data target.user.userid 从日志消息中提取的用户名。解析器会创建一个空对象。从原始日志中的顶级 timestamp 字段复制。由解析器根据 product_event_typedesc 字段确定。如果 product_event_type 为“logon”或 desc 包含“logged on”,则将其设置为“USER_LOGIN”。如果 product_event_type 为“logoff”或 desc 包含“logged off”,则将其设置为“USER_LOGOUT”。否则,如果存在 src_ip,则将其设置为“STATUS_UPDATE”。默认为“GENERIC_EVENT”。已硬编码为“BMC_HELIX_DISCOVERY”。已硬编码为“BMC_HELIX_DISCOVERY”。已硬编码为“BMC_HELIX_DISCOVERY”。

更改

2022-08-29

  • 新创建的解析器。