Diese Seite wurde von der Cloud Translation API übersetzt.

Dell ECS-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Felder aus DELL ECS-Syslog-Nachrichten und ordnet sie dem UDM zu. Dabei werden insbesondere die Ereignistypen UPDATE und DELETE verarbeitet. Dabei werden Nutzer- und IP-Informationen für Anmelde-/Abmeldeereignisse extrahiert. Andere Ereignisse werden als GENERIC_EVENT kategorisiert. Dabei werden Grok-Muster verwendet, um die Nachricht zu parsen, und Filter werden mutiert, um UDM-Felder zu befüllen. Ereignisse, die nicht dem erwarteten Format entsprechen, werden verworfen.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für Dell ECS.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen anzuwenden

Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Unter Windows können Sie den Bindplane-Agenten entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Dell ECS so konfigurieren, dass Protokolle an den Syslog-Server weitergeleitet werden

Melden Sie sich mit Administratoranmeldedaten im ECS-Verwaltungsportal an.
Gehen Sie zu Einstellungen > Ereignisbenachrichtigungen > Syslog.
Klicken Sie auf Neuer Server.
Geben Sie die folgenden Informationen ein:
- Protokoll: Wählen Sie entweder UDP oder TCP aus. Das Protokoll muss mit dem auf dem Syslog-Server konfigurierten Protokoll übereinstimmen.
- Ziel: Geben Sie die IP-Adresse oder den voll qualifizierten Domainnamen (FQDN) des Syslog-Servers ein.
- Port: Geben Sie die Portnummer ein.
- Schweregrad: Wählen Sie Informationen als Mindestschweregrad der weiterzuleitenden Protokolle aus.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Daten	read_only_udm.metadata.description	Wenn eventType UPDATE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Beschreibung mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert und weiter verarbeitet, um die Nutzer-ID zu extrahieren.
Daten	read_only_udm.principal.ip	Wenn eventType UPDATE ist, wird die IP-Adresse mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert.
Daten	read_only_udm.target.resource.product_object_id	Wenn eventType DELETE ist, wird das URN-Token mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert.
Daten	read_only_udm.target.user.userid	Wenn eventType UPDATE ist, wird die Nutzer-ID mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert. Wenn eventType DELETE ist, wird die Nutzer-ID nach der anfänglichen Verarbeitung des Felds data aus dem Beschreibungsfeld extrahiert.
eventType	read_only_udm.metadata.event_type	Wenn eventType UPDATE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGIN festgelegt. Wenn eventType DELETE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGOUT festgelegt. Andernfalls wird der Ereignistyp auf GENERIC_EVENT gesetzt.
eventType	read_only_udm.metadata.product_event_type	Der Wert wird durch Zusammenführen der Felder serviceType und eventType aus dem Rohprotokoll abgeleitet, in eckige Klammern gesetzt und durch „–“ getrennt.
hostname	read_only_udm.principal.asset.hostname	Der Hostname wird aus dem Feld hostname kopiert.
hostname	read_only_udm.principal.hostname	Der Hostname wird aus dem Feld hostname kopiert.
log_type	read_only_udm.metadata.log_type	Der Protokolltyp ist auf DELL_ECS festgelegt. Der Mechanismus ist auf MECHANISM_UNSPECIFIED hartcodiert. Der Zeitstempel des Ereignisses wird aus dem Feld timestamp des Roh-Logeintrags kopiert. Der Produktname ist auf ECS hartcodiert. Der Name des Anbieters ist auf DELL hartcodiert. Wenn eventType DELETE ist, ist der Ressourcentyp hartcodiert auf CREDENTIAL.
timestamp	read_only_udm.metadata.event_timestamp	Der Ereigniszeitstempel wird aus dem Feld timestamp des Roh-Logeintrags übernommen.
timestamp	timestamp	Der Zeitstempel wird aus dem Feld timestamp des Roheintrags geparst.

Änderungen

2024-03-18

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten