Recopila registros de Dell ECS

Compatible con:

Este analizador extrae campos de los mensajes de syslog de DELL ECS y los asigna a la UDM. Controla específicamente los tipos de eventos UPDATE y DELETE, y extrae información del usuario y la IP para los eventos de acceso y salida. Los demás eventos se clasifican como GENERIC_EVENT. Usa patrones grok para analizar el mensaje y mutar los filtros para propagar los campos de la AUA y descartar los eventos que no coincidan con el formato esperado.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a Dell ECS.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.
  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.
  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).
  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: dell_ecs
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de BindPlane para aplicar los cambios.

  • En Linux, para reiniciar el agente de BindPlane, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent
    
  • En Windows, para reiniciar el agente de BindPlane, puedes usar la consola Services o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configura Dell ECS para que reenvíe registros al servidor Syslog

  1. Accede al portal de administración de ECS con credenciales de administrador.
  2. Ve a Configuración > Notificaciones de eventos > Syslog.
  3. Haz clic en Nuevo servidor.
  4. Proporciona los siguientes detalles:
    • Protocolo: Selecciona UDP o TCP (asegúrate de que coincida con el protocolo configurado en el servidor de Syslog).
    • Destino: Ingresa la dirección IP o el nombre de dominio completamente calificado (FQDN) del servidor Syslog.
    • Puerto: Ingresa el número de puerto.
    • Gravedad: Selecciona Informativo como el nivel de gravedad mínimo de los registros que se reenviarán.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
data read_only_udm.metadata.description Si eventType es UPDATE, la descripción se extrae del campo data con una expresión regular. Si eventType es DELETE, la descripción se extrae del campo data con una expresión regular y se procesa más para extraer el ID del usuario.
data read_only_udm.principal.ip Si eventType es UPDATE, la dirección IP se extrae del campo data con una expresión regular.
data read_only_udm.target.resource.product_object_id Si eventType es DELETE, el token de URN se extrae del campo data con una expresión regular.
data read_only_udm.target.user.userid Si eventType es UPDATE, el ID del usuario se extrae del campo data con una expresión regular. Si eventType es DELETE, el ID del usuario se extrae del campo de descripción después del procesamiento inicial del campo data.
eventType read_only_udm.metadata.event_type Si eventType es UPDATE y se extrae un userid, el tipo de evento se establece en USER_LOGIN. Si eventType es DELETE y se extrae un userid, el tipo de evento se establece en USER_LOGOUT. De lo contrario, el tipo de evento se establece como GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type El valor se obtiene concatenando los campos serviceType y eventType del registro sin procesar, encerrados entre corchetes y separados por " - ".
hostname read_only_udm.principal.asset.hostname El nombre de host se copia del campo hostname.
hostname read_only_udm.principal.hostname El nombre de host se copia del campo hostname.
log_type read_only_udm.metadata.log_type El tipo de registro se establece en DELL_ECS. El mecanismo está codificado en MECHANISM_UNSPECIFIED. La marca de tiempo del evento se copia del campo timestamp de la entrada de registro sin procesar. El nombre del producto está codificado como ECS. El nombre del proveedor está codificado como DELL. Si eventType es DELETE, el tipo de recurso se codifica en CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp La marca de tiempo del evento se toma del campo timestamp de la entrada de registro sin procesar.
timestamp timestamp La marca de tiempo se analiza a partir del campo timestamp de la entrada de registro sin procesar.

Cambios

2024-03-18

  • Sin embargo, el analizador se creó recientemente.