Dell ECS-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus DELL ECS-Syslog-Nachrichten und ordnet sie dem UDM zu. Dabei werden insbesondere die Ereignistypen UPDATE und DELETE verarbeitet. Dabei werden Nutzer- und IP-Informationen für Anmelde-/Abmeldeereignisse extrahiert. Andere Ereignisse werden als GENERIC_EVENT kategorisiert. Dabei werden Grok-Muster verwendet, um die Nachricht zu parsen, und Filter werden mutiert, um UDM-Felder zu befüllen. Ereignisse, die nicht dem erwarteten Format entsprechen, werden verworfen.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte für Dell ECS.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie die Konfigurationsdatei auf:

    • Suchen Sie die Datei config.yaml. Unter Linux befindet es sich normalerweise im Verzeichnis /etc/bindplane-agent/, unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen anzuwenden

  • Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:

    sudo systemctl restart bindplane-agent

  • Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:

    net stop BindPlaneAgent && net start BindPlaneAgent

Dell ECS so konfigurieren, dass Protokolle an den Syslog-Server weitergeleitet werden

  1. Melden Sie sich mit Administratoranmeldedaten im ECS-Verwaltungsportal an.
  2. Gehen Sie zu Einstellungen > Ereignisbenachrichtigungen > Syslog.
  3. Klicken Sie auf Neuer Server.
  4. Geben Sie die folgenden Informationen ein:
    • Protokoll: Wählen Sie entweder UDP oder TCP aus. Das Protokoll muss mit dem auf dem Syslog-Server konfigurierten Protokoll übereinstimmen.
    • Ziel: Geben Sie die IP-Adresse oder den voll qualifizierten Domainnamen (FQDN) des Syslog-Servers ein.
    • Port: Geben Sie die Portnummer ein.
    • Schweregrad: Wählen Sie Informationen als Mindestschweregrad der weiterzuleitenden Protokolle aus.
  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Daten read_only_udm.metadata.description Wenn eventType UPDATE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert und weiter verarbeitet, um die Nutzer-ID zu extrahieren.
Daten read_only_udm.principal.ip Wenn eventType UPDATE ist, wird die IP-Adresse mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert.
Daten read_only_udm.target.resource.product_object_id Wenn eventType DELETE ist, wird das URN-Token mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert.
Daten read_only_udm.target.user.userid Wenn eventType UPDATE ist, wird die Nutzer-ID mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Nutzer-ID nach der anfänglichen Verarbeitung des Felds data aus dem Beschreibungsfeld extrahiert.
eventType read_only_udm.metadata.event_type Wenn eventType UPDATE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGIN festgelegt. Wenn eventType DELETE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGOUT festgelegt. Andernfalls wird der Ereignistyp auf GENERIC_EVENT gesetzt.
eventType read_only_udm.metadata.product_event_type Der Wert wird durch Zusammenführen der Felder serviceType und eventType aus dem Rohprotokoll abgeleitet, in eckige Klammern gesetzt und durch „–“ getrennt.
hostname read_only_udm.principal.asset.hostname Der Hostname wird aus dem Feld hostname kopiert.
hostname read_only_udm.principal.hostname Der Hostname wird aus dem Feld hostname kopiert.
log_type read_only_udm.metadata.log_type Der Protokolltyp ist auf DELL_ECS festgelegt. Der Mechanismus ist auf MECHANISM_UNSPECIFIED hartcodiert. Der Zeitstempel des Ereignisses wird aus dem Feld timestamp des Roh-Logeintrags kopiert. Der Produktname ist auf ECS hartcodiert. Der Name des Anbieters ist auf DELL hartcodiert. Wenn eventType DELETE ist, ist der Ressourcentyp auf CREDENTIAL hartcodiert.
timestamp read_only_udm.metadata.event_timestamp Der Ereigniszeitstempel wird aus dem Feld timestamp des Roh-Logeintrags übernommen.
timestamp timestamp Der Zeitstempel wird aus dem Feld timestamp des Roheintrags geparst.

Änderungen

2024-03-18

  • Neu erstellter Parser.