本頁面由 Cloud Translation API 翻譯而成。

收集 Dell ECS 記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會從 DELL ECS 系統記錄檔訊息中擷取欄位，並對應至 UDM。這個外掛程式專門處理 UPDATE 和 DELETE 事件類型，並擷取登入/登出事件的使用者和 IP 資訊。其他事件則歸類為 GENERIC_EVENT。這項功能會使用 grok 模式剖析訊息，並變更篩選器來填入 UDM 欄位，捨棄格式不符預期的事件。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 Dell ECS 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

在 Linux 中，如要重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如要重新啟動 Bindplane 代理程式，可以使用「服務」主控台，也可以輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Dell ECS 將記錄檔轉送至系統記錄檔伺服器

使用管理員憑證登入 ECS 管理入口網站。
依序前往「設定」>「事件通知」>「系統記錄」。
按一下「新增伺服器」。
請提供下列詳細資料：
- 通訊協定：選取「UDP」或「TCP」 (請務必與系統記錄伺服器上設定的通訊協定相符)。
- 目標：輸入 Syslog 伺服器的 IP 位址或完整網域名稱 (FQDN)。
- 「Port」(通訊埠)：輸入通訊埠編號。
- 嚴重性：選取「資訊」做為要轉送的記錄最低嚴重程度。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
資料	read_only_udm.metadata.description	如果 eventType 為 UPDATE，系統會使用規則運算式從 data 欄位擷取說明。如果 eventType 為 DELETE，系統會使用規則運算式從 data 欄位擷取說明，並進一步處理以擷取使用者 ID。
資料	read_only_udm.principal.ip	如果 eventType 為 UPDATE，系統會使用規則運算式從 data 欄位擷取 IP 位址。
資料	read_only_udm.target.resource.product_object_id	如果 eventType 為 DELETE，系統會使用規則運算式從 data 欄位擷取 URN 符記。
資料	read_only_udm.target.user.userid	如果 eventType 為 UPDATE，系統會使用規則運算式從 data 欄位擷取使用者 ID。如果 eventType 為 DELETE，系統會在初步處理 data 欄位後，從說明欄位擷取使用者 ID。
eventType	read_only_udm.metadata.event_type	如果 eventType 為 UPDATE，且系統已擷取 userid，則事件類型會設為 USER_LOGIN。如果 eventType 為 DELETE，且系統已擷取 userid，則事件類型會設為 USER_LOGOUT。否則，事件類型會設為 GENERIC_EVENT。
eventType	read_only_udm.metadata.product_event_type	這個值是從原始記錄檔串連 serviceType 和 eventType 欄位而來，並以方括號括住，以「 - 」分隔。
hostname	read_only_udm.principal.asset.hostname	主機名稱是從 hostname 欄位複製而來。
hostname	read_only_udm.principal.hostname	主機名稱是從 hostname 欄位複製而來。
log_type	read_only_udm.metadata.log_type	記錄類型設為 DELL_ECS。這個機制會硬式編碼為 MECHANISM_UNSPECIFIED。事件時間戳記是從原始記錄項目的「時間戳記」欄位複製而來。產品名稱已硬式編碼為 ECS。供應商名稱會硬式編碼為 DELL。如果 eventType 為 DELETE，資源類型會硬式編碼為 CREDENTIAL。
時間戳記	read_only_udm.metadata.event_timestamp	事件時間戳記取自原始記錄項目的 timestamp 欄位。
時間戳記	時間戳記	時間戳記是從原始記錄項目的 timestamp 欄位剖析而來。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。