Recopila registros de Dell ECS
Este analizador extrae campos de los mensajes de syslog de DELL ECS y los asigna a la UDM. Controla específicamente los tipos de eventos UPDATE
y DELETE
, y extrae información del usuario y la IP para los eventos de acceso y salida. Los demás eventos se clasifican como GENERIC_EVENT
. Usa patrones grok para analizar el mensaje y mutar los filtros para propagar los campos de la AUA y descartar los eventos que no coincidan con el formato esperado.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd
. - Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a Dell ECS.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación de Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml
. Por lo general, se encuentra en el directorio/etc/bindplane-agent/
en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano
,vi
o Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yaml
de la siguiente manera:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: dell_ecs raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>
por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.json
a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.
Reinicia el agente de BindPlane para aplicar los cambios.
En Linux, para reiniciar el agente de BindPlane, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agent
En Windows, para reiniciar el agente de BindPlane, puedes usar la consola Services o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Dell ECS para que reenvíe registros al servidor Syslog
- Accede al portal de administración de ECS con credenciales de administrador.
- Ve a Configuración > Notificaciones de eventos > Syslog.
- Haz clic en Nuevo servidor.
- Proporciona los siguientes detalles:
- Protocolo: Selecciona UDP o TCP (asegúrate de que coincida con el protocolo configurado en el servidor de Syslog).
- Destino: Ingresa la dirección IP o el nombre de dominio completamente calificado (FQDN) del servidor Syslog.
- Puerto: Ingresa el número de puerto.
- Gravedad: Selecciona Informativo como el nivel de gravedad mínimo de los registros que se reenviarán.
- Haz clic en Guardar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
data | read_only_udm.metadata.description | Si eventType es UPDATE, la descripción se extrae del campo data con una expresión regular. Si eventType es DELETE, la descripción se extrae del campo data con una expresión regular y se procesa más para extraer el ID del usuario. |
data | read_only_udm.principal.ip | Si eventType es UPDATE, la dirección IP se extrae del campo data con una expresión regular. |
data | read_only_udm.target.resource.product_object_id | Si eventType es DELETE, el token de URN se extrae del campo data con una expresión regular. |
data | read_only_udm.target.user.userid | Si eventType es UPDATE, el ID del usuario se extrae del campo data con una expresión regular. Si eventType es DELETE, el ID del usuario se extrae del campo de descripción después del procesamiento inicial del campo data. |
eventType | read_only_udm.metadata.event_type | Si eventType es UPDATE y se extrae un userid, el tipo de evento se establece en USER_LOGIN. Si eventType es DELETE y se extrae un userid, el tipo de evento se establece en USER_LOGOUT. De lo contrario, el tipo de evento se establece como GENERIC_EVENT. |
eventType | read_only_udm.metadata.product_event_type | El valor se obtiene concatenando los campos serviceType y eventType del registro sin procesar, encerrados entre corchetes y separados por " - ". |
hostname | read_only_udm.principal.asset.hostname | El nombre de host se copia del campo hostname. |
hostname | read_only_udm.principal.hostname | El nombre de host se copia del campo hostname. |
log_type | read_only_udm.metadata.log_type | El tipo de registro se establece en DELL_ECS. El mecanismo está codificado en MECHANISM_UNSPECIFIED. La marca de tiempo del evento se copia del campo timestamp de la entrada de registro sin procesar. El nombre del producto está codificado como ECS. El nombre del proveedor está codificado como DELL. Si eventType es DELETE, el tipo de recurso se codifica en CREDENTIAL. |
timestamp | read_only_udm.metadata.event_timestamp | La marca de tiempo del evento se toma del campo timestamp de la entrada de registro sin procesar. |
timestamp | timestamp | La marca de tiempo se analiza a partir del campo timestamp de la entrada de registro sin procesar. |
Cambios
2024-03-18
- Sin embargo, el analizador se creó recientemente.