Dell ECS-Protokolle erfassen
Dieser Parser extrahiert Felder aus DELL ECS-Syslog-Nachrichten und ordnet sie dem UDM zu. Dabei werden insbesondere die Ereignistypen UPDATE
und DELETE
verarbeitet. Dabei werden Nutzer- und IP-Informationen für Anmelde-/Abmeldeereignisse extrahiert. Andere Ereignisse werden als GENERIC_EVENT
kategorisiert. Dabei werden Grok-Muster verwendet, um die Nachricht zu parsen, und Filter werden mutiert, um UDM-Felder zu befüllen. Ereignisse, die nicht dem erwarteten Format entsprechen, werden verworfen.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit
systemd
verwenden. - Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte für Dell ECS.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml
. Unter Linux befindet es sich normalerweise im Verzeichnis/etc/bindplane-agent/
, unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano
,vi
oder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yaml
so:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: dell_ecs raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>
durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.json
im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
BindPlane-Agent neu starten, um die Änderungen anzuwenden
Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:
sudo systemctl restart bindplane-agent
Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
Dell ECS so konfigurieren, dass Protokolle an den Syslog-Server weitergeleitet werden
- Melden Sie sich mit Administratoranmeldedaten im ECS-Verwaltungsportal an.
- Gehen Sie zu Einstellungen > Ereignisbenachrichtigungen > Syslog.
- Klicken Sie auf Neuer Server.
- Geben Sie die folgenden Informationen ein:
- Protokoll: Wählen Sie entweder UDP oder TCP aus. Das Protokoll muss mit dem auf dem Syslog-Server konfigurierten Protokoll übereinstimmen.
- Ziel: Geben Sie die IP-Adresse oder den voll qualifizierten Domainnamen (FQDN) des Syslog-Servers ein.
- Port: Geben Sie die Portnummer ein.
- Schweregrad: Wählen Sie Informationen als Mindestschweregrad der weiterzuleitenden Protokolle aus.
- Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
Daten | read_only_udm.metadata.description | Wenn eventType UPDATE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert und weiter verarbeitet, um die Nutzer-ID zu extrahieren. |
Daten | read_only_udm.principal.ip | Wenn eventType UPDATE ist, wird die IP-Adresse mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. |
Daten | read_only_udm.target.resource.product_object_id | Wenn eventType DELETE ist, wird das URN-Token mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. |
Daten | read_only_udm.target.user.userid | Wenn eventType UPDATE ist, wird die Nutzer-ID mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Nutzer-ID nach der anfänglichen Verarbeitung des Felds data aus dem Beschreibungsfeld extrahiert. |
eventType | read_only_udm.metadata.event_type | Wenn eventType UPDATE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGIN festgelegt. Wenn eventType DELETE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGOUT festgelegt. Andernfalls wird der Ereignistyp auf GENERIC_EVENT gesetzt. |
eventType | read_only_udm.metadata.product_event_type | Der Wert wird durch Zusammenführen der Felder serviceType und eventType aus dem Rohprotokoll abgeleitet, in eckige Klammern gesetzt und durch „–“ getrennt. |
hostname | read_only_udm.principal.asset.hostname | Der Hostname wird aus dem Feld hostname kopiert. |
hostname | read_only_udm.principal.hostname | Der Hostname wird aus dem Feld hostname kopiert. |
log_type | read_only_udm.metadata.log_type | Der Protokolltyp ist auf DELL_ECS festgelegt. Der Mechanismus ist auf MECHANISM_UNSPECIFIED hartcodiert. Der Zeitstempel des Ereignisses wird aus dem Feld timestamp des Roh-Logeintrags kopiert. Der Produktname ist auf ECS hartcodiert. Der Name des Anbieters ist auf DELL hartcodiert. Wenn eventType DELETE ist, ist der Ressourcentyp auf CREDENTIAL hartcodiert. |
timestamp | read_only_udm.metadata.event_timestamp | Der Ereigniszeitstempel wird aus dem Feld timestamp des Roh-Logeintrags übernommen. |
timestamp | timestamp | Der Zeitstempel wird aus dem Feld timestamp des Roheintrags geparst. |
Änderungen
2024-03-18
- Neu erstellter Parser.